ARP攻击源查找之原理分析

对于arp攻击认识，以前总认为做了双向绑定就可以搞定，可后来知道原来还有一种基于二层交换机的攻击，对于这种攻击，网络一样还是over~~；本以为除了中间人欺骗攻击能找到攻击源，对于那种假mac假ip的攻击无法找到其攻击源，但今天发现~~~唉！惭愧……

 

当我在狂搜怎么找到arp攻击源信息时，有种方法，那就是找到处于混杂模式工作的网卡，决对没有干好事，嘿嘿!让我们来了解一些基本的知识。之前我们一直在说，将网卡变成混杂模式的，变成混杂模式的有什么用呢？一般情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包，因为硬件与tcp/ip堆栈不支持接收非本机mac的数据包。当一些特殊应用出现之时，就不得不想办法绕过这种限制了。

如我要用arp软件攻击别人：不管你是想充当中间人还是想破坏网络的可用性，你不希望别人通过真实的mac地址找到你吧，所以主机发送的数据包源mac必需是假的。 盗用别人的ip与mac上网：些某些网络中，为了限制只有特定的机器才可以上网，做了ip与mac地址的绑定，为了能攻破这种限制，攻击者要将自己的网卡mac与ip地址修改成可以上网的mac地址与ip。 抓取网络上的数据包分析网络情况：当网络变得不可用时，我们就得分析一下网络中的数据包，从此来查找情况。

 

当我们把网卡设置成混杂模式的时候，情况就变了，在这种模式下工作的网卡能够收到一切通过它的数据包，而不管数据的目标mac地址是不是它。上面我们说到了ip与mac地址的修改，ip的修改就不用说了吧！mac地址的修改是怎么回事呢？物理网卡的mac地址本存在于网卡EEPROM中，当我们主机发送数据包的时候，并不是从EEPROM读取mac的，而是在内存中建立一块缓存区把mac地址放到这，发送数据包时从这里读取mac地址进行对数据包进行封装，我们通过修改操作系统，来实现本机mac地址的改变，修改方法在网卡属性—高级选项里,当然修改后的网卡也就成了工作于混杂模式的网卡，要不不能发送假的源mac，企不很郁闷。

 

当我们网络中存在arp攻击的主机时，发送假源mac地址的数据包时，网卡的工作模式已是混杂模式，要不怎么发送出去假的mac源地址啊？所以说如果能找到其哪个主机网卡处于混杂模式，就是找到凶手的根本。今天看了一些文章说用一些工具可以找到，如ARPKiller，sniffer。。。想了很久也不明白究竟是为何？所用技术手段是什么？后来终于推算出一种办法可以，后又实验验证成功，但不保证这就是软件的技术原理，还望高人指点。看图：

当我们用a主机去ping 这个b主机的时候，顺利返回数据包，b 主机的网卡没有经过任何修改也没有进行arp攻击，网卡工作于正常模式下，网络一切正常。然后我用抓包工具去编辑这个ping包，将它的目标mac改成6c:f0:a9:4c:bb:4b，然后发送这个包，结果一去不复返，没有收到任何返回包。分析下过程，当这个包到达交换机时，交换机不认识目标地址，所以泛洪这个数据包，故主机b 也能收到这个数据包，但主机b网卡不会理会这个目标地址不符自己mac地址的数据包，丢弃掉。为了验证结论，我将主机b 安装了抓包工具，使之网卡处于混杂工作模式。继续发送原来的修改过的错误mac包，交换机泛洪数据包，主机b接收这个包并交付于网络层，网络层发现目标ip是自己于是对数据包进行回复，链路层用真实的网卡mac地址封装该数据包(回复包)，其结果就是主机a成功收到主机b的回复包，证明主机b网卡工作在混杂模式下，凶手现形。在一个网络中，网卡很少会处于混杂模式下工作，除非上面那几种情况，所以攻击者就无所遁形了。以向当网络中出现类似于arp攻击时，可以用arp扫描到存活主机，然后逐个用目标mac地址错误，ip地址正确的数据包发送ping，当能收到某主机的回复包，我们不防去怀疑一下。后面的抓包实验图就不贴了自己可以做下实验，很简单的。

 

标签分类： 反病毒