基于ARP欺骗的网络监听原理及实现

1、基于ARP欺骗的网络监听原理及实现    随着计算机网络技术的高速发展,网络正日益成为政治、经济、文化、生活中不可缺少的一部分.在它给人们的生活、学习、工作带来前所未有的方便和机遇的同时ssbbww. com,由于www.ddd tt. com网络自身固有的不安全性,网络安全问题也越来越引起人们的关注.所谓网络监听,即将网络上传输的数据捕获并进行分析的行为.网络监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有十分重要的作用.然而,网络监听也给网络的安全带来了极大的隐患,许多8ttt8的网络入侵往往www.8 t t t8. com都伴随着以太

2、网内网络监听行为,从而造成口令失窃,敏感数据被截获等连锁性安全代写论文2网络监听的原理运行网络监听程序的主机要实现网络监听必须ssbbww. c om满足两个条件:其一,是该主机的网卡必须ssbbww. c om工作在混杂模式下;其二,是传输的数据包能够SSBBww到达该主机.根据连接的网络设备不同,以太网分为共享式以太网和交换式以太网.2.1共享式以太网在共享式以太网中,由于www.ddd tt. com是基于广播的方式来发送数据的,所以8ttt8数包会被发送到连在一起的所有8 tt 的主机(图1所示ssBbww).因此www.8 t tt8. com,只要运行了网络监听程序的主机的网卡处在

3、混杂模式下就可以实施网络监听了.所以8ttt8,在共享式以太网中实施网络监听还是很容易Dddtt将数据报发送到相应端口上.所以8ttt8,即使监听主机的网卡设置成混杂模式,也不能接收到传给其他主机的数据帧.因此www.8 t tt8. com,在交换式网络中实施网络监听的关键,就是要使发送给其他主机的数据帧能够SSBBww到达运行了网络监听程序的主机.在交换式以太网中最常见ssbbww的方式是利用www.8 t t t8. comARP欺骗的中间8 tt 源主机的ARP表没有目的IP和目的MAC的映射,则通过广播的方式发送ARP请求.只有具有此目的IP的主机才会对这个广ARP请求作出反应,向源

4、主机发送一个包含其MAC地址的ARP应答报文.ARP协议是一个无状态www .ddd Tt. com的协议.一旦8ttt8收到ARP应答就会对其高速缓存中存放的IP地址到物理地址映射记录进行更新,而不会关心之前是否发出过ARP请求.ARP欺骗的核心就是www.8 t t t8. com中间人攻击进行监听的原理利用www.8 t t t8. comARP欺骗进行监听其实就是要实现中间人攻击,它是利用www.8 t t t8. comARP欺骗进行攻击的主要方式之一.其原理是使进行监听的主机插入S到被监听主机与其它8ttt8网络主机之间,使进行监听的主机成为被监听主机与其它8ttt8网络主机通信的

5、中继.在这种情况8 tt t 8. com下,其他网络主机发往被监听主机的信息和被监听主机发往其他网络主机的信息都必须ssbbww. c om经过ssbbww进行网络监听的主机.这样,进行网络监听的主机就很容易Dddtt对被监听主机进行网络监听了.如图2所示ssBbww,C为进行网络监听的主机,A为被监听主机,B为网络中的任一其他(1) C向A发送ARP应答报文,A修改ARP高速缓冲,使B的IP地址与C的MAC地址相对,如果8 tt A向B发送信息,根据A高速缓冲中的IP-MAC映射,信息实际8ttt8上是被发送到了C,再由C转发到B;同理,从B发送到A的信息也将会被C转发一次.此时,A与B之

6、间的通信已经被C完全8 t tt8. com监控.如果8 tt 运行了网络监听程序的主机C的网卡又工作在混杂模式下,那么8ttt8,主机C就满足了前面所提到的实现网络监听的两个条件,可以对A与B间的通信进行监听了.3利用www.8 t t t8. comARP欺骗的网络监听实现的程序设计3.1程序总体设计程序的总体设计思想就是:首先要实现中间人攻击,使实施监听主机成为被监听主机之间的中继,然后分析接收到的数据包,根据自行约定的标志确定监听的开始,再根据用户的需要sSbBwW.cOm对监听到的数据包作出相应的操作.因此www.8 t tt8. com,该程序需要sSbBwW.cOm实现的主要功能

7、有两个:(1)根据中间人攻击原理实现ARP欺骗;(2)处理8tTt8接收到的数据包,根据用户的输入,完成相应的功能.分别建立函数ArpCheatApplication和使用带参数的main函数作为dddtt主函数.主函数的功能主要是初始化网卡以及一些8 tt 全局变量,并使用函数CreateThread来建立新线程,实现对ArpCheatApplication等子函数的调用,完成相应的功能.main的算法如下:int main(int argc, char *argv) /带参数的main函数声明部分,定义变量;if (argc!=3) return 0; /参数输入错误,返回0/取得参数Se

8、rverSideIP<-inet_addr(argv1); /第二个命令行参数代表Server端的IPClientSideIP<-inet_addr(argv2); /第三个命令行参数代表Client端的IP使用InitAdapter函数初始化网卡;使用自定义函数GetMACAddr函数取得Server端和Client端的MAC地址;/使用CreateThread函数生成实现ARP欺骗的新线程i=1;CreateThread(NULL, 0, ArpCheatApplication, &i, 0, 0); /实现对Server端的ARP欺骗i=2;CreateThread(

9、NULL, 0, ArpCheatApplication, &i, 0, 0); /实现对Client端的ARP欺骗/使用CreateThread函数生成处理8tTt8接收到的数据包的新线程CreateThread(0, 0, AnalysePacketsApplication, NULL, 0, 0);/使用CreateThread函数生成处理8tTt8用户输入的新线程CreateThread(0, 0, CustomerApplication, NULL, 0, 0);./其他所需的操作使用PacketFreePacket和PacketCloseAdapter函数释放资源;retu

10、rn 0;上面算法中使用到的GetMACAddr函数是一个自定义的用来根据目标IP获得ssbbww相应MAC地址的函,其代码如下:BOOL GetMACAddr(DWORD DestIP, char *pMAC)DWORD dwRet;ULONG ulLen=6, pulMac2;dwRet=SendARP(DestIP, 0, pulMac, &ulLen); /调用SDK函数来获取目标IP的MAC地址if(dwRet=NO_ERROR) /判断是否找到了目标IP相应的MACmemcpy(pMAC, pulMac, 6);return TRUE;else return FALSE;

11、/如果8 tt 没有找到目标IP相应的MAC,则返回FALSE基于ARP欺骗的网络监听原理及实现|有关计算机网络的论文资料人攻击的分析可知,函数ArpCheatApplication要实现的功能有两个(如图2,假定A为ServerSide,B为ClientSide):C告诉ServerSide,ClientSide的MAC是ownmac;C告诉ClientSide,ServerSide的MAC是ownmac.函数ArpCheatApplication的流程图如图3所示ssBbww8tTt8收到的数据包,通过筛选只分析不属于自己的TCP包,然后根据用户的输入,完成各种功能.其流程如图4所示ssB

12、bww.图4AnalysePacketsApplication流程图Fig.4AnalysePacketsApplication flow chart对图4有:(1)对接收到的数据包需要sSbBwW.cOm进行以下筛选,其中continue代表跳出当前的数据包筛选,重新读入新数据包进行筛选./不处理8tTt8监听主机本身发送和转发的数据包if(memcmp(TCPPacket->ehhdr.SourceMAC, OwnMAC, 6)=0) continue;/不处理8tTt8目的IP为监听主机本身的数据包for(i=0; i<TotalIP; i+) /TotalIP为监听主机所拥

13、有的所有8 tt IP数目if(TCPPacket->iphdr.destIP=OwnIP i) break; /判断目的IP是否为监听主机的某一IP717第4期向昕等:基于ARP欺骗的网络监听原理及实现if(i !=TotalIP) continue;/检查是否IP包,以太网首部中IP包的类型代码为十六进制的0800if(TCPPacket->ehhdr.EthernetType !=htons(0x0800) continue;/检查是否TCP包if(TCPPacket->to !=IPPROTO_TCP) continue;(2)设置开始劫持的标志有多

14、种选择,在这里假设捕获到一个从ClientSide -> ServerSide的纯ack后才开始劫持,即检查TCP首部中的6个标志位是否为010000,函数IsACKPacket就是用来判断一个据包是不是只有ACK标志的,代码如下:BOOL IsACKPacket(unsigned char flag) /flag代表TCP首部的标志位int i, j=1;for(i=0 ; i<4; i+)if(flag & j) return FALSE; /判断标志位低4位是否为1,有为1的,则返回falsej <<=1;if(! (flag & 0x10) return FALSE; /判断ACK位是否为0,为0则返回falseif(flag & 0x20) return FALSE; /判断最高位标志位的最高位是否为1,为1则返回falsereturn TRUE; /4结束语事物都有两面性,网络监听也是8tt t 8. com这样.我