若未加說(shuō)明，文章中的三層指的是網(wǎng)絡(luò)層，二層指的是數(shù)據(jù)鏈路層。

一.數(shù)據(jù)在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)過(guò)程：

1.數(shù)據(jù)在交換網(wǎng)絡(luò)中的傳輸過(guò)程如下圖(PC1發(fā)包給PC2)

注:此圖是以公網(wǎng)網(wǎng)絡(luò)為基礎(chǔ)，如果PC為內(nèi)網(wǎng)或者加入私有網(wǎng)絡(luò)則在出口要考慮NAT等情況

a)PC1發(fā)現(xiàn)目標(biāo)IP110.1.1.2(網(wǎng)絡(luò)號(hào)110.1.1.0)與本機(jī)不在同網(wǎng)段(掩碼為24位，所以本機(jī)網(wǎng)絡(luò)號(hào)為1.1.1.0)，因此PC1會(huì)將數(shù)據(jù)包丟給網(wǎng)關(guān)，為了數(shù)據(jù)報(bào)文能夠到達(dá)網(wǎng)關(guān)，PC1封裝的報(bào)文里頭會(huì)以網(wǎng)關(guān)的MAC作為目的MAC(網(wǎng)絡(luò)數(shù)據(jù)傳輸，原目的IP不變，原目的MAC通過(guò)三層網(wǎng)絡(luò)時(shí)會(huì)不斷改變)。

b)數(shù)據(jù)報(bào)文到達(dá)二層交換機(jī)(這里只涉及二層交換，如果是三層交換機(jī)并設(shè)置了端口IP，則會(huì)有所不同)后，由于二層交換機(jī)拆解數(shù)據(jù)報(bào)文時(shí)只拆解到二層(只拆解到原目的MAC),根本看不懂IP，所以會(huì)查找MAC-接口映射表(所謂的建立虛擬鏈路)，發(fā)現(xiàn)網(wǎng)關(guān)MAC對(duì)應(yīng)的是E5口，則將數(shù)據(jù)包從E5口丟出去。

c)路由器R1收到數(shù)據(jù)報(bào)文后查看原目的IP(路由器屬于三層設(shè)備，拆解數(shù)據(jù)包到IP層)，查看數(shù)據(jù)包的目的IP為110.1.1.1，進(jìn)而查找路由表，發(fā)現(xiàn)數(shù)據(jù)要到達(dá)目的網(wǎng)絡(luò)，數(shù)據(jù)包必須往下一跳218.1.1.2發(fā)送，因此路由器對(duì)數(shù)據(jù)包進(jìn)行重封裝，查看ARP表，原、目的IP保持不變，將原MAC修改成R1出接口(連接到R2的那個(gè)端口)的MAC地址，目的MAC改成R2的進(jìn)接口(R2接R1的接口MAC地址)，接下來(lái)和二層傳輸一樣，將數(shù)據(jù)包丟給R2。

d)R2收到數(shù)據(jù)包后與R1做的操作一樣，直到數(shù)據(jù)報(bào)文到達(dá)目標(biāo)。根據(jù)之前的步驟可以推出數(shù)據(jù)報(bào)文到達(dá)目標(biāo)后，原IP、目的IP不變，原MAC為R2接PC2的接口MAC、目的MAC為PC2的MAC。PC2發(fā)現(xiàn)數(shù)據(jù)報(bào)文的目的IP和目的MAC與本機(jī)相符(非攻擊者)，從而拆解數(shù)據(jù)包，獲得數(shù)據(jù)報(bào)文內(nèi)容?；貜?fù)報(bào)文的時(shí)候和之前的傳輸一樣。

2.數(shù)據(jù)在共享網(wǎng)絡(luò)中的傳輸圖(PC1發(fā)包給PC2)

數(shù)據(jù)報(bào)文在共享網(wǎng)絡(luò)中的傳輸和交換網(wǎng)絡(luò)唯一的不同在于第二個(gè)步驟，交換網(wǎng)絡(luò)中交換機(jī)會(huì)根據(jù)MAC-端口對(duì)應(yīng)表進(jìn)行傳輸，也就是說(shuō)除了網(wǎng)關(guān)(以圖為例)，其他同交換機(jī)下的PC機(jī)無(wú)法收到數(shù)據(jù)報(bào)文(沒(méi)出現(xiàn)攻擊的情況下)。而在共享網(wǎng)絡(luò)中，由于HUB屬于一層設(shè)備，對(duì)于到達(dá)本身的數(shù)據(jù)報(bào)文，HUB會(huì)對(duì)報(bào)文進(jìn)行廣播(除了收到報(bào)文的那個(gè)接口)，因此接在同HUB的所有PC都能收到該報(bào)文。注：通常情況下，網(wǎng)卡都是工作在非混雜模式，也就是說(shuō)即使收到數(shù)據(jù)報(bào)文，網(wǎng)卡會(huì)判斷目的MAC是否和自己的一樣，不一樣的話代表數(shù)據(jù)包不是給自己的，因此會(huì)丟棄，只接收那些目的MAC和自己一樣的數(shù)據(jù)報(bào)文。在嗅探時(shí)必須開(kāi)啟混雜模式，在該模式下，網(wǎng)卡不對(duì)數(shù)據(jù)報(bào)文進(jìn)行判斷，一鍋端!二.ARP欺騙：1.欺騙過(guò)程及原理從上面的數(shù)據(jù)報(bào)文傳輸過(guò)程可以知道二層傳輸是通過(guò)MAC進(jìn)行傳輸?shù)?，在傳輸過(guò)程中PC需要查詢ARP表。因此攻擊者只要可以改變目標(biāo)的ARP表就能實(shí)現(xiàn)攻擊,從而將數(shù)據(jù)牽引到自己的機(jī)器上，如圖

a)在正常情況下，PC1通過(guò)本地ARP表知道網(wǎng)關(guān)1.1.1.2的MAC地址為1.1.1.10260.8c01.1111，所以PC1封裝包的時(shí)候會(huì)將目的MAC設(shè)置成路由器的MAC地址。交換機(jī)通過(guò)MAC-端口對(duì)應(yīng)表能夠正常的將數(shù)據(jù)報(bào)文從E1口轉(zhuǎn)發(fā)給路由器，實(shí)現(xiàn)數(shù)據(jù)傳輸。

b)黑客對(duì)PC2有完全的控制權(quán)，通過(guò)不斷發(fā)送(假冒的)ARP報(bào)文告訴PC1，自己才是1.1.1.1對(duì)應(yīng)的MAC是0260.8c01.1113。

c)PC1收到黑客發(fā)的ARP報(bào)文后，刷新自己的ARP表，將1.1.1.1的MAC誤認(rèn)為是0260.8c01.1113。

d)PC1將要訪問(wèn)外網(wǎng)數(shù)據(jù)報(bào)文的目的MAC設(shè)置成0260.8c01.1113(PC2的MAC,目測(cè)PC1被自己的ARP表給騙了)。

e)交換機(jī)通過(guò)拆解包發(fā)現(xiàn)目的MAC對(duì)應(yīng)的端口為E4(PC2的那個(gè)接口，連鎖反應(yīng)了!)，就將數(shù)據(jù)報(bào)文從E4口丟出。

f)PC2成功得到PC1發(fā)往外網(wǎng)的請(qǐng)求報(bào)文。偷看后重新封包，原IP、目的IP不改變，將原MAC改成PC2的MAC，目的MAC改成網(wǎng)關(guān)的(數(shù)據(jù)包恢復(fù)正常，看起來(lái)和沒(méi)攻擊時(shí)PC1發(fā)出的報(bào)文完全一樣)，PC2修改完后將數(shù)據(jù)包丟給交換機(jī)，從而欺騙實(shí)現(xiàn)，當(dāng)然對(duì)于該包的回應(yīng)報(bào)文，由于路由器ARP表沒(méi)被污染，所以能夠正常的將返回報(bào)文直接丟給PC1。

2.如何選擇欺騙方向 在欺騙過(guò)程中，選擇正確的欺騙方向也是很重要的，通過(guò)閱讀我們可以看到上面的欺騙方向是PC1à網(wǎng)關(guān)。那么我們?nèi)绾未_定正確的欺騙方向呢?

a) 員工工作網(wǎng)絡(luò)，我們知道正常請(qǐng)求報(bào)文里面含有大量的敏感信息，如網(wǎng)站管理后臺(tái)賬戶密碼等。而請(qǐng)求包的走向是員工PCà網(wǎng)關(guān)，如果黑客控制的電腦與員工內(nèi)部同一網(wǎng)段，那么正常情況下黑客會(huì)欺騙員工的PC機(jī)自己是網(wǎng)關(guān)，從而截獲請(qǐng)求報(bào)文

b)服務(wù)器網(wǎng)絡(luò)，而在機(jī)房(服務(wù)器網(wǎng)絡(luò))中，管理員一般會(huì)在外部進(jìn)行訪問(wèn)，即請(qǐng)求報(bào)文是由網(wǎng)關(guān)轉(zhuǎn)發(fā)給服務(wù)器，也就是說(shuō)請(qǐng)求報(bào)文的走向是網(wǎng)關(guān)à服務(wù)器，如果黑客控制的是機(jī)房里的一臺(tái)服務(wù)器，為了截獲到請(qǐng)求報(bào)文中的服務(wù)器登錄密碼等敏感信息，攻擊者一般會(huì)對(duì)網(wǎng)關(guān)發(fā)起欺騙，告訴網(wǎng)關(guān)自己是某臺(tái)或者某些服務(wù)器。

c) 實(shí)際上不管在員工網(wǎng)絡(luò)或者機(jī)房?jī)?nèi)部網(wǎng)絡(luò)，黑客比較習(xí)慣與進(jìn)行雙向欺騙，一方面告訴網(wǎng)關(guān)自己是某些終端，另一方面告訴同網(wǎng)段的其他終端自己是網(wǎng)關(guān)，但是該方法會(huì)產(chǎn)生大量的垃圾信息，因?yàn)樵诨貞?yīng)報(bào)文中基本上不會(huì)攜帶敏感的信息。

3. ARP欺騙的瓶頸為了得到更多的敏感信息，很多人會(huì)使用雙向+批量的欺騙方式，一方面告訴網(wǎng)關(guān)自己的MAC對(duì)應(yīng)的IP是網(wǎng)段內(nèi)所有的IP(這樣無(wú)論數(shù)據(jù)報(bào)文是給哪臺(tái)機(jī)子的，只要是發(fā)送給同網(wǎng)段機(jī)器網(wǎng)關(guān)都會(huì)轉(zhuǎn)發(fā)給攻擊者);另一方面欺騙所有同網(wǎng)段終端自己是網(wǎng)關(guān)(實(shí)際上欺騙同網(wǎng)段所有的終端比較容易，直接將ARP包的目的mac設(shè)置成FFFFFFFFF就行了)，從而所有終端發(fā)出的報(bào)文都會(huì)經(jīng)過(guò)攻擊者的機(jī)器。但是如果這樣子做，攻擊者控制的機(jī)器直接承載了整個(gè)網(wǎng)段的數(shù)據(jù)流量，要對(duì)整個(gè)網(wǎng)段的數(shù)據(jù)進(jìn)行處理，重封裝、再轉(zhuǎn)發(fā)，這在服務(wù)器的性能和配置上要求可不是一般的苛刻，所以選擇好欺騙對(duì)象和方向顯得非常重要。

三.嗅探和ARP欺騙的區(qū)別

a) 嗅探一般存在于共享網(wǎng)絡(luò)中，在共享網(wǎng)絡(luò)中一般使用HUB作為接入層，經(jīng)過(guò)HUB的數(shù)據(jù)報(bào)文不管長(zhǎng)得什么樣，因?yàn)镠UB工作在第一層，看不懂二層以上的報(bào)文是啥樣子的，所以一律以廣播處理，在同一網(wǎng)段的計(jì)算機(jī)只要將網(wǎng)卡設(shè)置成混雜模式即可。

b) 嗅探在交換網(wǎng)絡(luò)中不適用，因?yàn)榻粨Q機(jī)是通過(guò)MAC-端口對(duì)應(yīng)表來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文的，所以在交換網(wǎng)絡(luò)中如果只將網(wǎng)卡設(shè)置成混雜模式，而不進(jìn)行ARP欺騙，其結(jié)果只能接受到網(wǎng)絡(luò)中的廣播包。

c) 共享網(wǎng)絡(luò)中適用ARP欺騙，那是多此一舉，適用ARP欺騙的方式會(huì)對(duì)影響網(wǎng)絡(luò)流量，對(duì)網(wǎng)絡(luò)造成很大的影響，另外適用ARP欺騙會(huì)產(chǎn)生大量的ARP報(bào)文，很容易被發(fā)現(xiàn)。而嗅探對(duì)整個(gè)網(wǎng)絡(luò)幾乎沒(méi)有影響，因?yàn)樾崽街皇亲霰O(jiān)聽(tīng)，而不會(huì)產(chǎn)生多余的數(shù)據(jù)報(bào)文。

四.加密是否安全

很多人說(shuō)使用HTTPS或者VPN等手段就可以防止嗅探或者ARP欺騙，這是不全面的。具體要看什么網(wǎng)絡(luò)及什么技術(shù)。下面筆者針對(duì)HTTPS和VPN在共享、交換網(wǎng)絡(luò)中進(jìn)行探討。

1. 共享網(wǎng)絡(luò)+嗅探

a) 在共享網(wǎng)絡(luò)使用HTTPS確實(shí)可以很好的解決數(shù)據(jù)被竊取的問(wèn)題(當(dāng)然個(gè)人證書泄露除外)，由于監(jiān)聽(tīng)的機(jī)器沒(méi)有證書也就無(wú)法進(jìn)行解密。

b) 在共享網(wǎng)絡(luò)中使用VPN技術(shù)不一定能夠防止，部分VPN技術(shù)只是在原有的數(shù)據(jù)報(bào)文多加一個(gè)IP報(bào)頭，對(duì)于數(shù)據(jù)內(nèi)容本身未做加密，攻擊者使用監(jiān)聽(tīng)技術(shù)獲取該類數(shù)據(jù)還是能正常獲取報(bào)文的內(nèi)容的

2. 交換網(wǎng)絡(luò)+ARP嗅探從原理上講，該類型的攻擊屬于中間人攻擊，可以偽造任何證書，因此對(duì)于HTTPS等來(lái)說(shuō)，攻擊者只要偷梁換柱，偽造證書就可以成功獲得數(shù)據(jù)的明文信息。但對(duì)于部分使用秘鑰不通過(guò)公網(wǎng)傳輸?shù)膮f(xié)議(例如使用publikey驗(yàn)證的SSH,KEY不通過(guò)網(wǎng)絡(luò)傳輸)就無(wú)法截取明文信息，也無(wú)法偽造。

3. 共享網(wǎng)絡(luò)+ARP欺騙該類型攻擊和第2中攻擊沒(méi)啥兩樣，就不做詳細(xì)討論了五.如何防止ARP欺騙及嗅探。實(shí)際上網(wǎng)上已經(jīng)有很多種解決方案了，但在這邊還是小提一下簡(jiǎn)單的防止方式。第四點(diǎn)也有提到了一部分。在交換網(wǎng)絡(luò)中一般使用雙向綁定就可以解決ARP欺騙的問(wèn)題了，有些牛人說(shuō)可以直接偽造MAC欺騙交換機(jī)，這也是一種繞過(guò)方法，但實(shí)際上這種方法可行性不高，雖然有時(shí)候確實(shí)能夠截獲到數(shù)據(jù)報(bào)文，但會(huì)時(shí)交換機(jī)的MAC-端口對(duì)應(yīng)表產(chǎn)生混亂，另外報(bào)文若發(fā)給你就不會(huì)發(fā)給目標(biāo)服務(wù)器，會(huì)產(chǎn)生拒絕服務(wù)攻擊。在共享網(wǎng)絡(luò)中使用雙向綁定理論上是沒(méi)效果的，因?yàn)橹灰?jīng)過(guò)HUB的數(shù)據(jù)都會(huì)進(jìn)行廣播，即使綁定，所有終端也會(huì)收到數(shù)據(jù)報(bào)文。Hub不像二層交換，有MAC-端口對(duì)應(yīng)表。當(dāng)然對(duì)于嗅探和ARP攻擊的原理、利用和防御不止文中提到的這些，文章只是筆者的一點(diǎn)心得體會(huì)，僅供參考。說(shuō)這么多，實(shí)際上要進(jìn)行ARP攻擊的話，一個(gè)cain、一個(gè)sniffer、一個(gè)ettercap就可以完全搞定了。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。