手把手教你玩转ARP包【数据包的游戏系列之一】 by PiggyXP【小猪】
前 言
首先要感谢网络安全资深专家卢湖川博士以及VC网络版的limin朋友提供的资料以及帮助^_^
经常看到论坛有人问起关于数据包的截获、分析等问题,幸好本人也对此略有所知,所以就想写一系列的文章来详细深入的探讨关于数据包的知识,,我希望通过这一系列的文章,能使得关于数据包的知识得以普及,所以这系列的每一篇文章我都会有由浅入深的解释、详细的分析、以及编码步骤,另外附上带有详细注释的源码(为了照顾大多数朋友,我提供的都是MFC的源码)。
不过由于也是初学者,疏漏之处还望不吝指正。
本文凝聚着笔者心血,如要转载,请指明原作者及出处,谢谢!^_^
OK,. Let’s go ! Have fun!! q^_^p
第一篇 手把手教你玩转ARP包
目录:
一. 关于ARP协议的基础知识
1. ARP的工作原理
2. ARP包的格式
作者:
CSDN VC/MFC 网络编程 PiggyXP ^_^
一. 关于ARP协议的基础知识
1.ARP的工作原理
本来我不想在此重复那些遍地都是的关于ARP的基本常识,但是为了保持文章的完整性以及照顾初学者,我就再啰嗦一些文字吧,资深读者可以直接跳过此节。
我们都知道以太网设备比如网卡都有自己全球唯一的MAC地址,它们是以MAC地址来传输以太网数据包的,但是它们却识别不了我们IP包中的IP地址,所以我们在以太网中进行IP通信的时候就需要一个协议来建立IP地址与MAC地址的对应关系,以使IP数据包能发到一个确定的地方去。这就是ARP(Address Resolution Protocol,地址解析协议)。
讲到此处,我们可以在命令行窗口中,输入
arp –a
来看一下效果,类似于这样的条目
210.118.45.100 00-0b -5f -e6-c5-d7 dynamic
就是我们电脑里存储的关于IP地址与MAC地址的对应关系,dynamic表示是临时存储在ARP缓存中的条目,过一段时间就会超时被删除(xp/2003系统是2分钟)。
这样一来,比如我们的电脑要和一台机器比如210.118.45.1通信的时候,它会首先去检查arp缓存,查找是否有对应的arp条目,如果没有,它就会给这个以太网络发ARP请求包广播询问210.118.45.1的对应MAC地址,当然,网络中每台电脑都会收到这个请求包,但是它们发现210.118.45.1并非自己,就不会做出相应,而210.118.45.1就会给我们的电脑回复一个ARP应答包,告诉我们它的MAC地址是xx-xx-xx-xx-xx-xx,于是我们电脑的ARP缓存就会相应刷新,多了这么一条:
210.118.45.1 xx-xx-xx-xx-xx-xx dynamic
为什么要有这么一个ARP缓存呢,试想一下如果没有缓存,我们每发一个IP包都要发个广播查询地址,岂不是又浪费带宽又浪费资源?
而且我们的网络设备是无法识别ARP包的真伪的,如果我们按照ARP的格式来发送数据包,只要信息有效计算机就会根据包中的内容做相应的反应.
试想一下,如果我们按照ARP响应包的相应的内容来刷新自己的ARP缓存中的列表,嘿嘿,那我们岂不是可以根据这点在没有安全防范的网络中玩些ARP包的小把戏了?在后面的文章里我就手把手来教你们如何填充发送ARP包,不过先别急,我们再继续学点基础知识^_^
2.ARP包的格式
既然我们要来做一个我们自己的ARP包,当然首先要学习一下ARP包的格式。
从网络底层看来,一个ARP包是分为两个部分的,前面一个是物理帧头,后面一个才是ARP帧。
首先,物理帧头,它将存在于任何一个协议数据包的前面,我们称之为DLC Header,因为这个帧头是在数据链路层构造的,并且其主要内容为收发双方的物理地址,以便硬件设备识别。
| DLC Header |
|||
| 字段 |
长度(Byte) |
默认值 |
备注 |
| 接收方MAC |
6 |
|
广播时,为 ff-ff-ff-ff-ff-ff |
| 发送方MAC |
6 |
|
|
| Ethertype |
2 |
0x0806 |
0x0806是ARP帧的类型值 |
图1 物理帧头格式
图1是需要我们填充的物理帧头的格式,我们可以看到需要我们填充的仅仅是发送端和接收端的物理地址罢了,是不是很简单呢?
接下来我们看一下ARP帧的格式.
| ARP Frame |
|||
| 字段 |
长度(Byte) |
默认值 |
备注 |
| 硬件类型 |
2 |
0x1 |
以太网类型值 |
| 上层协议类型 |
2 |
0x0800 |
上层协议为IP协议 |
| MAC地址长度 |
1 |
0x6 |
以太网MAC地址长度为 6 |
| IP地址长度 |
1 |
0x4 |
IP地址长度为 4 |
| 操作码 |
2 |
|
0x1表示ARP请求包,0x2表示应答包 |
| 发送方MAC |
6 |
|
|
| 发送方IP |
4 |
|
|
| 接收方MAC |
6 |
|
|
| 接收方IP |
4 |
|
|
| 填充数据 |
18 |
|
因为物理帧最小长度为64字节,前面的42字节再加上4个CRC校验字节,还差18个字节 |
图2 ARP帧格式
我们可以看到需要我们填充的同样也只是MAC,IP,再加上一个1或2的操作码而已。
..................
=======================================================================
晕,本来想一口气发完,没想到这么点字就到了64k限额了,不知道是不是彩色字和表格的关系,没办法,只好把文章掰成四、五瓣来发了-_-b,下次再说吧
请期待下文 : )
------- Finished at 2004-05-29 19:41
------- Made In DLUT | DIP
第二篇 手把手教你捕获数据包
目录:
一.捕获数据包的实现原理
二.捕获数据包的编程实现:
1. raw socket的实现方法
2. Winpcap的实现方法
a. 枚举本机网卡的信息
b. 打开相应网卡并设置为混杂模式
c. 截获数据包并保存为文件
作者:
CSDN VC/MFC 网络编程版主 PiggyXP
一.捕获数据包的实现原理:--------------------------------------------------------------------
在通常情况下,网络通信的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧,对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取与自己无关的的数据包。
所以我们要想实现截获流经网络设备的所有数据包,就要采取一点特别的手段了:
将网卡设置为混杂模式。
这样一来,该主机的网卡就可以捕获到所有流经其网卡的数据包和帧。
但是要注意一点,这种截获仅仅是数据包的一份拷贝,而不能对其进行截断,要想截断网络流量就要采用一些更底层的办法了,不在本文的讨论范围之内。
二. 捕获数据包的编程实现:
1.raw socket的实现方法--------------------------------------------------------------------
不同于我们常用的数据流套接字和数据报套接字,在创建了原始套接字后,需要用WSAIoctl()函数来设置一下,它的定义是这样的
int WSAIoctl(
SOCKET s,
DWORD dwIoControlCode,
LPVOID lpvInBuffer,
DWORD cbInBuffer,
LPVOID lpvOutBuffer,
DWORD cbOutBuffer,
LPDWORD lpcbBytesReturned,
LPWSAOVERLAPPED lpOverlapped,
LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine
);
虽然咋一看参数比较多,但是其实我们最关心的只是其中的第二项而已,我们需要做的就是把第二项设置为SIO_RCVALL,讲了这么多其实要做的就是这么一行代码,很简单吧?^_^
当然我们还可以指定是否亲自处理IP头,但是这并不是必须的。
完整的代码类似与如下这样,加粗的代码是与平常不同的需要注意的地方:
( 为了让代码一目了然,我把错误处理去掉了,下同)
#include “WinSock2.h”
#define SIO_RCVALL _WSAIOW(IOC_VENDOR,1)
SOCKET SnifferSocket
WSADATA wsaData;
iFlag=WSAStartup(MAKEWORD(2,2),&wsaData); //开启winsock.dll
SnifferSocket=WSASocket(AF_INET, //创建raw socket
SOCK_RAW,IPPROTO_IP,NULL,0,WSA_FLAG_OVERLAPPED);
char FAR name[128]; //获取本机IP地址
gethostname(name, sizeof(name));
struct hostent FAR * pHostent;
pHostent = gethostbyname(name);
SOCKADDR_IN sa; //填充SOCKADDR_IN结构的内容
sa.sin_family = AF_INET;
sa.sin_port = htons(6000); // 端口号可以随便改,当然与当然系统不能冲突
memcpy(&(sa.sin_addr),pHostent->h_addr,pHostent->h_length);
bind(SnifferSocket,(LPSOCKADDR)&sa,sizeof(sa)); //绑定
// 置ioctl来接收所有网络数据,关键步骤
DWORD dwBufferLen[10] ;
DWORD dwBufferInLen = 1 ;
DWORD dwBytesReturned = 0 ;
WSAIoctl(SnifferSocket, IO_RCVALL,&dwBufferInLen, izeof(dwBufferInLen),
&dwBufferLen, sizeof(dwBufferLen),&dwBytesReturned , NULL , NULL );
至此,实际就可以开始对网络数据包进行嗅探了,而对于数据包的接收还是和普通的socket一样,通过recv()函数来完成,因为这里涉及到不同的socket模型,接收方法差别很大,所以在此就不提供接收的代码了。
2.winpcap的实现方法:-----------------------------------------------------------------------
winpcap驱动包,是我们玩转数据包不可或缺的好东东,winpcap的主要功能在于独立于主机协议(如TCP-IP)而发送和接收原始数据报,主要为我们提供了四大功能:
功能:
1> 捕获原始数据报,包括在共享网络上各主机发送/接收的以及相互之间交换的数据报;
2> 在数据报发往应用程序之前,按照自定义的规则将某些特殊的数据报过滤掉;
3> 在网络上发送原始的数据报;
4> 收集网络通信过程中的统计信息
如果环境允许的话(比如你做的不是木马程序),我还是推荐大家用winpcap来截获数据包,因为它的功能更强大,工作效率更高,唯一的缺点就是在运行用winpcap开发的程序以前,都要在主机上先安装winpcap的driver。
而且一会我们就会发现它比raw socket功能强大的多,而且工作得更为底层,最明显的理由就是raw socket捕获的数据包是没有以太头的,此乃后话。
至于怎么来安装使用,请参考本系列的系列一《手把手教你玩转ARP包中的》,里面有详细的加载winpcap驱动的方法^_^
废话不多说了,让我们转入正题, 具体用winpcap来截获数据包需要做如下的一些工作:
A . 枚举本机网卡的信息(主要是获得网卡的名称)
其中要用到pcap_findalldevs函数,它是这样定义的
/*************************************************
int pcap_findalldevs ( pcap_if_t ** alldevsp,
char * errbuf
)
功能:
枚举系统所有网络设备的信息
参数: alldevsp: 是一个pcap_if_t结构体的指针,如果函数pcap_findalldevs函数执行成功,将获得一个可用网卡的列表,而里面存储的就是第一个元素的指针。
Errbuf: 存储错误信息的字符串
返回值: int : 如果返回0 则执行成功,错误返回 -1。
*************************************************/
我们利用这个函数来获得网卡名字的完整代码如下:
pcap_if_t* alldevs;
pcap_if_t* d;
char errbuf[PCAP_ERRBUF_SIZE];
pcap_findalldevs(&alldevs,errbuf); // 获得网络设备指针
for(d=alldevs;d;d=d->next) // 枚举网卡然后添加到ComboBox中
{
d->name; // d->name就是我们需要的网卡名字字符串,按照你// 自己的需要保存到你的相应变量中去
}
pcap_freealldevs(alldevs); // 释放alldev资源
请期待下文。。。。。^_^
目录:
四。ARP包的游戏
1 . 小伎俩
2. ARP欺骗的实现
3. 基于ARP欺骗的监听原理
四.ARP包的游戏
既然我们可以自己来填充数据包,那么来玩些ARP的“小游戏”欺骗就是易如反掌了,当然,是在没有安全防护的网络里 ,比如只有hub或者交换机把你们相连,而没有路由分段……^_^
下面我就由浅入深的讲一些介绍一些关于ARP的小伎俩。
1. 小伎俩
1) 你可以试着发一个请求包广播,其中的ARP帧里关于你的信息填成这样:
(为了节省篇幅,我只写需要特别指出的填充字段)
| 发送方MAC |
6 |
随便乱填一个错误的 |
| 发送方IP |
4 |
填上你的IP |
出现什么结果?是不是弹出一个IP地址冲突的提示?呵呵,同样的道理,如果发送方IP填成别人的,然后每隔1秒发一次………..-_-b
2) 比如你们都靠一个网关192.168.0.1 上网 ,如果你想让192.168.0.77 上不了网,就可以伪装成网关给192.168.0.77发一个错误的ARP响应包, like this
| 发送方MAC |
6 |
随便乱填一个错误的 |
| 发送方IP |
4 |
网关IP 192.168.0.1 |
接收方就填192.168.0.77的相关信息,发送之后,它还能上网不?
这样能折腾他好一阵子了,只要它的系统得不到正确的到网关的ARP映射表它就一直上不了网了 ^_^
呵呵类似的伎俩还有很多,不过只停留在这点东西上也没什么意思,还是看看稍微高深一点的吧^_^
2. ARP欺骗
因为在以太网里,网络设备就是靠MAC信息来识别的计算机的,比如A电脑知道MAC地址为22-22-22-22-22-22的电脑是B,而如果我给A发送一个ARP响应包,告诉它我的MAC是22-22-22-22-22-22的话,A同样会认为我的计算机是B了,那么好,我们设想有这么一个环境,
A的防火墙只对IP为192.168.0.2 MAC为 22-22-22-22-22-22的B有信任关系,而且A打开了21端口提供FTP服务,正常情况下因为防火墙的缘故我们的计算机是连不到A的,
于是我们想办法让B down掉,或者在它关机的时候,我们把我们的IP改成B的192.168.0.2,然后给A发送一个ARP回应包,告诉A更新一下ARP缓存列表,192.168.0.2的IP映射到我们的
MAC地址上来,于是,奇迹出现了,我们可以连到A的FTP上了,防火墙失效了^_^
不过这个办法只能在同网段内生效,如果我们和A不在一个网段内,那就要复杂的多了,还要配合ICMP的重定向来控制报文的路由,这个我准备在以后阐述ICMP包的时候详细讲解,就不再此多说了。
3. 基于ARP欺骗的监听原理
监听的技术有很多了,不过我们常用的sniffer工具只能在基于hub的网络中起作用,碰到哪怕是交换机都无能为力了,这个时候我们的ARP欺骗技术就派上用场了。
还是假设有三台主机A,B,还有我们的主机,位于同一个交换式局域网中
A与B正在通信,如果我们想要刺探A――>B通信的内容,于是我们就可以给A发送一个伪造的ARP回应包,告诉A,B的IP对应的MAC条目为我们的MAC地址,于是,A也就会相应的刷新自己的ARP缓存,将发给B的数据,源源不断的发送到我们的主机上来,这样我就可以对接收到的数据包进行分析就好了,达到了监听的目的。当然,因为动态ARP缓存是动态的,有超时时间的,所以我们必须每隔一段时间就给A发送一个ARP回应包
虽然我们这样达到了目的,但是A到B的通信却被停止了,为了不让B发现,我们还要对每次接收到的数据包进行转发,全部都转发给B,这样就天衣无缝了^_^
同样的,如果我们还想监听B à A的数据包,一样给B发一个ARP回应包,告诉B,A的IP对应的MAC是我们的主机MAC,于是B到A的数据包也源源不断的发到我们的主机上来了,当然我们也是一样要对这些数据包进行转发,如图:
A <------> 我们的主机 <------> B
一切都无误的话,A和B的通信内容就这样不知不觉的被我们监听到了^_^
具体的代码实现由于篇幅的关系我就不放在这里讲了,如果需要我就专门另写篇文章附上完整代码吧
至此,我们的ARP基础知识就讲完了,但愿您能从中有所收获
后记:
因为本人开发都是使用VC++.net 2003,所以没有安装.net的朋友是打不开工程的,可以试一下vckbase上的工程转换工具,本人没有试过,不保证有效
http://www.vckbase.com/tools/assist/prjconverter.rar
而且本文的代码使用了winpcap开发包,是要另外安装ainpcap驱动。
读者可以安装我代码包里的驱动,不过它更新很快,可以到它主页上去下载最新版本
http://winpcap.polito.it/install/default.htm
不做开发的读者,只用下载并安装这个就可以了WinPcap auto-installer (driver +DLLs)
我的原文及源码下载地址稍后贴出,请关注本帖^_^
源码下载地址,新鲜出炉,非常感谢 _foo 兄弟提供的空间
http://iunknown.com.cn/csdn/network/ARPPlayer_By_PiggyXP.rar