基于ETHERNET的网络监听以及ARP欺骗.pdfVIP

基于 ETHERNET 的网络监听以及 ARP 欺骗 １　引　 网络 监听,亦称为网络嗅探,是利用 计算 机的网络接口监视并查看网络中传输的数据包的 一种技术。它工作在网络的底层,能够把网络中传输的全部数据记录下来。监听器(sniffer) 不仅可以帮助网络管理员查找网络漏洞和检测网络性能,还可以 分析 网络的流量,以便找出 网络中存在的潜在 问题 。不同传输介质的网络,其可监听性是不同的。但一般说来,以太网 、FDDIToken、微波和无线网络都有很高的可能性被监听。实际 应用 中的 sniffer 分软、 硬两种。软件监听器便宜,易于使用,缺点是往往无法抓取网络上所有的传输数据(比如碎片 ),也就可能无法全面了解网络的故障和运行情况;硬件监听器通常称为协议分析仪,它的优点 恰恰是软件监听器所欠缺的 ,但是价格昂贵。 目前 主要使用的是软件监听器代写论文 2　网络监听的原 在以太网中,所有的通讯都是“广播”式的,也就是说通常同一个网段的所有网络接口都可以访 问在信道上传输的所有数据。在一个实际系统中,数据的收发是由网卡来完成,每个网卡都 有一个唯一的 MAC 地址。网卡接收到传输来的数据以后,网卡内的单片程序检查数据帧的 目的 MAC 地址,根据计算机上的网卡驱动程序设置的接收模式来判断该不该接收该帧。若 认为应该接收,则接收后产生中断信号通知 CPU,若认为不该接收则丢弃不管。正常情况下, 网卡应该只是接收发往自身的数据包,或者广播和组播报文,对不属于自己的报文则不予响 应。可如果网卡处于混杂模式,那么它就能接收一切流经它的数据,而不管该数据帧的目的 地址是否是该网卡。因此,只要将网卡设置成混杂模式(promiscuous),那么它就可以捕获网 络上所有的报文和帧,这样也就达到了网络监听的目的。由此可见,网络监听必须要满足两 个条件 ①网络上的通讯是广播型的 ②网卡应设置为混杂模式。这在传统的以太网中是满足的。因为传统的以太网是共享型的 ,所有的主机都连接到 HUB,而 HUB 对数据包的传输形式是广播。这意味着发给某个主机的 数据包也会被其它所有主机的网卡所收到。因此在这样的环境中,任何设置成混杂模式的 主机,都可以捕获发送给其它主机的数据包,从而窃听网络上的所有通信。可如今,随着交换 机的广泛使用,更多的以太网是属于交换型的。所有的主机都连接到 SWITCH,对于发给某 个特定主机的数据包会被 SWITCH 从特定的端口送出,而不是像 HUB 那样,广播给网络上所 有的机器。这种传输形式使得交换型以太网的性能大大提高,但同时也破坏了网络监听的 第一个前提条件,使得上文中所述的传统网络监听器无法工作。因此,在交换网络中进行网 络监听面临的一个主要问题就是:如何使本不应到达的数据包到达本网段。通常的解决 方 法 主要有两种,一种是 ARP 欺骗(ARP Spoof),另一种就是 MAC 水包(MAC Flooding)。其中 MAC Flooding 就是指向交换机发送大量含有虚假 MAC 地址和 IP 地址的 IP 包,从而使得交 换机内部的地址表“溢出”,进入所谓的“打开失效”模式,迫使 SWITCH 以类似于 HUB 的广播 方式工作,向网络上所有的机器广播数据包。本文将要详细分析 ARP 欺骗模式 3　ARP 欺 3. 1　ARP(AddressResolution Protocol)的工作机制在以太网中传输的数据包是以太包,而 以太包是依据其首部的 MAC 地址来进行寻址的。发送方必须知道目的主机的 MAC 地址才 能向其发送数据。ARP 协议的作用就在于把逻辑地址转换成物理地址,也即是把 32bit 的 IP 地址变换成 48bit 的以太网地址。为避免频繁发送 ARP 包进行寻址,每台主机都有一个 ARP 高速缓存,其中记录了最近一段时间内其它 IP 地址与其 MAC 地址的对应关系。如果本 机想与某台主机通信,则首先在 ARP 缓存中查找这台主机的 IP 和 MAC 信息,若存在,则直接 利用此 MAC 地址构造以太包;若不存在,则向网络上广播一个 ARP 请求包。目的主机收到 此请求包后,发送一个 ARP 应答包。本机收到此应答包后,把相关信息记录在 ARP 高速缓存 中,然后再进行发送。由此可见,ARP 协议是有缺陷的。一台恶意的主机可以构造一个 ARP 欺骗包,而源主机却无法分辨真假 3.2　相关协议的帧格式为了论述的简洁性,文中我们对以太网中 ARP 帧格式做 3. 3　ARP Spoof 原 实验环境如下图所示:在这个交换网络中有四台 PC,其中 HostD 试图进行 ARP 欺骗来监听 Hos