|
|
近来与Arp相关恶意软件越来越猖獗,受害者的也不少,国内的各大杀毒厂商也纷纷推出Arp墙,这篇文章不是科普,主要是思路,更想起到抛砖引玉的作用。此外,末学接触并熟悉Arp协议到写出欺骗和反欺骗的test code,前前后后也不过一个星期多一点的时间。经验有限,疏漏之处,再所难免,各位见谅。
Arp协议和欺骗这里就不做介绍了,这方面的文章比比皆是。
为了便于理解,下面构造一些名词:
受骗主机:假如局域网内,有网关,发起欺骗的主机(以下简称欺骗主机),受骗主机。
双向欺骗:欺骗主机使得网关认为欺骗主机是受骗主机,同时让受骗主机认为欺骗主机是网关;
单向欺骗网关:欺骗主机只使网关认为欺骗主机是受骗主机;
单向欺骗目标主机:欺骗主机只使受骗主机认为它是网关;
Arp除了能sniffer之外,现在比较流行的做法就是利用进行HTTP挂马的情况,所以下面考虑的影响基本以这个角度的方面来衡量。
由于环境不同,继续往下分,一个机房被欺骗的情况,机房一般以服务器为主,对外发的数据多以http应答包为主,此时单向欺骗目标主机的危害比较大。另外一个普通的公司、家庭及网吧之类的局域网环境,对外发的数据多以http请求为主,接收的数据多以http应答包为主,此时单向欺骗网关危害比较大。
还有的就是和网关有关了,网关简单的先分两种:
1、支持IP和MAC绑定的;
2、不支持IP和MAC绑定。
支持IP和MAC绑定的网关都好办,所以这里就不讨论这种情况了,主要讨论不支持IP和MAC绑定的情况:
下面举的例子都是Arp双向欺骗已经存在的情况,装上 FW后FW将处理以下一些情况。
第一种情况:普通公司,家庭及网吧之类局域网环境下,网关不支持IP和MAC绑定。
先说欺骗策略,说到这里不得不提Arpspoof(以下简称AS),最近流行这个工具,并且开源,好分析,也确实写的不错。我手头拿到的3.1版本的源代码。若不修改AS代码,在当前情况下,并处在双向欺骗时,只要把配置文件稍微改改,就能够实现利用挂马。但如果受骗主机绑定了正确网关的MAC,就不灵了。但如果有人修改了AS代码,使其能支持gzip解码,并且把本应发给受害主机的包,重组并解码然后再发给受害主机,就又能欺骗了。
然后再回来看看现在国内的 FW。比较弱的,FW一进去,连正确的网关MAC都检测不出来,需要手动填。好点的能自动检测正确的网关的MAC,一般步骤是:
1.获取当前网关MAC(如利用send函数等等);
2.利用网关IP发一个广播包,获取网关的MAC;
3.抓包对比,如果第一步和第二步获得网关的MAC相同,则认为网关MAC不是伪造的。如过第二步获得两个Arp reply,则把这两个包与第一步的MAC对比,相同的说明是伪造的。如果第二步只获得一个 reply,以第二步获得M
1 |
|
发表于 2019-4-12 10:20:08