- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
巧用ARP 探測網絡中的黑客軟件 |
| 發布時間: 2012/7/4 14:11:24 |
|
嗅探器(Sniffer)一直以來都是一種讓人惱火的黑客工具,因為它是一種靜態的攻擊軟件,它的存在不會留下任何痕跡,因此人們很難將它揪出來。可是,它的危害性卻又是相當大的(它就像一個監視器,你的“一舉一動”都在它的監視之下,你說危害大不大)。所以,我們不能不要想個辦法出來檢查網絡中是否存在Sniffer,這是非常必要的。 1. Sniffer原理 所謂知己知彼方能百戰不殆,要了解探測Sniffer的方法,就先得了解Sniffer的原理。首先,讓我們來看一看局域網中是怎樣傳輸數據的。當一個數據包的目的地是局域網內的某臺計算機時,此數據包將以廣播的形式被發送到網內每一臺計算機上。而每臺計算機的網卡將分析數據包中的目的Mac地址(即以太網地址),如果此地址為本計算機Mac地址或為廣播地址(FF-FF-FF-FF-FF-FF),那么,數據包將被接收,而如果不是,網卡將直接將其丟棄。但是,這里有一個前提,就是接收端計算機的網卡是在正常模式下工作的。而如果網卡被設置為混雜模式,那么它就可以接收所有經過的數據包了(當然也包括目的地不是本機的數據包)。就是說,只要是發送到局域網內的數據包,都會被設置成混雜模式的網卡所接收!這也就是Sniffer的基本原理了。至于Sniffer的具體實現和一些細節,這里就不多講了,大家有興趣可以參考相關資料。 2. 以太網中傳輸的ARP數據報 知道了Sniffer的基本原理,現在,我們就要想想怎么才能將局域網中隱藏的Sniffer揪出來,這才是本篇文章的主題。這里,我們需要自己構造ARP數據包,所以,就先簡單介紹一下ARP請求和應答數據報的結構: typedef struct _et_header //以太網頭部 { unsigned char eh_dst[6]; unsigned char eh_src[6]; unsigned short eh_type; }ET_HEADER; { unsigned short arp_hdr; unsigned short arp_pro; unsigned char arp_hln; unsigned char arp_pln; unsigned short arp_opt; unsigned char arp_sha[6]; unsigned long arp_spa; unsigned char arp_tha[6]; unsigned long arp_tpa; }ARP_HEADER; 以上就是網絡中傳輸的ARP數據包的結構了。至于結構中每個字段所表示的具體含義以及如何初始化,超出了本文章的討論范圍,大家有興趣可以參看《TCP-IP協議詳解》一書。 3. 探測局域網中的Sniffer 終于進入主題了。既然Sniffer是一種靜態的黑軟,不會留下任何日志,那么我們就要主動的去探測它。鑒于Sniffer的原理是設置網卡為混雜模式,那么,我們就可以想辦法探測網絡中被設置為混雜模式的網卡,以此來判斷是否存在Sniffer。 這里,讓我們再來看看計算機接收數據包的規則。前面已經講過,在正常模式下,首先由網卡判斷數據包的目的Mac地址,如果為本機Mac地址或為廣播地址,那么數據包將被接收進入系統核心,否則將被丟棄。而如果網卡被設置為混雜模式,那么所有的數據包都將直接進入系統核心。數據包到達系統核心后,系統還將進一步對數據包進行篩選:系統只會對目的Mac地址為本機Mac地址或廣播地址的數據包做出響應――如果接收到的是ARP請求報文,那么系統將回饋一個ARP應答報文。但是,不同的是,系統核心和網卡對廣播地址的判斷有些不一樣:以Windows系統為例,網卡會判斷Mac地址的所有六位,而系統核心只判斷Mac地址的前兩位(Win98甚至只判斷前一位),也就是說,對于系統核心而言,正確的廣播地址FF-FF-FF-FF-FF-FF和錯誤的廣播地址FF-FF-FF-FF-FF-FE是一樣的,都被認為是廣播地址,甚至FF-FF-00-00-00-00也會被系統核心認為是廣播地址! 寫到這里,聰明的讀者大概已經知道該怎么做了。如果我們構造一個目的Mac 4. 主要源碼分析 由以上分析可知,程序大概分為兩個模塊,一個是發送偽裝廣播地址的ARP請求報文,另一個是接收回饋的ARP應答報文并做出分析。我們就分別用兩個線程來實現。主線程負責發送,監聽線程負責接收。 首先是創建以太網頭部和ARP頭部的結構: typedef struct _et_header //以太網頭部 { unsigned char eh_dst[6]; unsigned char eh_src[6]; unsigned short eh_type; }ET_HEADER; { unsigned short arp_hdr; unsigned short arp_pro; unsigned char arp_hln; unsigned char arp_pln; unsigned short arp_opt; unsigned char arp_sha[6]; unsigned long arp_spa; unsigned char arp_tha[6]; unsigned long arp_tpa; }ARP_HEADER; 然后是發送ARP請求報文的主線程,取得所有適配器的名字。其中,“adapter_name”表示一個用于存放適配器名字的緩沖區,而這些適配器名字將以UNICODE編碼方式存入此緩沖區中。UNICODE編碼方式就是用一個字的空間(兩個字節)來存放一個字符。這樣,每個字符間自然會出現一個’\0’。而兩個適配器名字之間將會有一個字為’\0’作為間隔。adapter_length:這個緩沖區的大小: if(PacketGetAdapterNames((char*)adapter_name, &adapter_length)==FALSE) { printf("PacketGetAdapterNames error:%d\n",GetLastError()); return 0; } 打開適配器,此處我默認打開第一塊適配器: lpAdapter=(LPADAPTER)PacketOpenAdapter((LPTSTR)adapter_list[0]); if (!lpAdapter||(lpAdapter->hFile==INVALID_HANDLE_ 以太網頭部和ARP頭部結構賦值,StrToMac函數是筆者自定義的字符串轉換為Mac地址的函數: StrToMac("00E06E41508F",s_Mac); //"00E06E41508F"是筆者測試程序所用的本地機的網卡地址,測試者應將其改為測試機網卡地址 memcpy(et_header.eh_src,s_Mac,6); StrToMac("FFFFFFFFFFFE",d_Mac); //目的物理地址設置為FFFFFFFFFFFE。 memcpy(et_header.eh_dst,d_Mac,6); et_header.eh_type=htons(0x0806); //類型為0x0806表示這是ARP包 arp_header.arp_hdr=htons(0x0001); //硬件地址類型以太網地址 arp_header.arp_pro=htons(0x0800); //協議地址類型為IP協議 arp_header.arp_hln=6; //硬件地址長度為6 arp_header.arp_pln=4; //協議地址長度為4 arp_header.arp_opt=htons(0x0001); //標識為ARP請求 arp_header.arp_spa=inet_addr("172.24.21.10"); //"172.24.21.10"是我測試程序所用的本地機的IP,測試者應將其改為測試機IP memcpy(arp_header.arp_sha,et_header.eh_src,6); arp_header.arp_tpa=inet_addr(argv[1]); memcpy(arp_header.arp_tha,et_header.eh_dst,6); 發送數據包: lpPacket=PacketAllocatePacket(); //給PACKET結構指針分配內存 PacketInitPacket(lpPacket,buffer,512); //初始化PACKET結構指針 PacketSetNumWrites(lpAdapter,5); //設置發送次數 PacketSendPacket(lpAdapter,lpPacket,TRUE);//發送ARP請求包 最后別忘了掃尾工作: PacketFreePacket(lpPacket); //釋放PACKET結構指針 PacketCloseAdapter(lpAdapter); //關閉適配器 最后是監聽線程,設置接收數據包的系列參數: PacketSetHwFilter(lpAdapter, NDIS_PACKET_TYPE_DIRECTED); //設置網卡為直接模式 PacketSetBuff(lpAdapter,1024); //設置網卡接收數據包的緩沖區大小 PacketSetReadTimeout(lpAdapter,2); //設置接收到一個包后的“休息”時間 接收數據包: PacketReceivePacket(lpAdapter, lpPacket, TRUE); //接收數據包 對數據包進行分析,以得出結論: char *buf; bpf_hdr *lpBpfhdr; ET_HEADER *lpEthdr; in_addr addr={0}; buf=(char *)lpPacket->Buffer; lpBpfhdr=(bpf_hdr *)buf; lpEthdr=(ET_HEADER *)(buf+lpBpfhdr->bh_hdrlen); if(lpEthdr->eh_type==htons(0x0806)) //判斷是否為ARP包 { ARP_HEADER *lpArphdr=(ARP_HEADER*)(buf+lpBpfhdr->bh_hdrlen+sizeof(ET_HEADER)); char source_ip[20]={0},dest_ip[20]={0}; addr.S_un.S_addr=lpArphdr->arp_spa; memcpy(source_ip,inet_ntoa(addr),strlen(inet_ntoa(addr))); memset(&addr,0,sizeof(in_addr)); addr.S_un.S_addr=lpArphdr->arp_tpa; memcpy(dest_ip,inet_ntoa(addr),strlen(inet_ntoa(addr))); if(!strcmp(source_ip,ip) && !strcmp(dest_ip,"172.24.21.10")) //判斷接收到的包的源IP與目的IP是否正確(字符串變量ip是從主線程傳遞過來的被探測機的ip) { if(lpArphdr->arp_opt==htons(0x0002)) //判斷是否為ARP應答 { printf("There is a Sniffer!\n"); } } } 本文出自:億恩科技【www.laynepeng.cn】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
