關(guān)于嗅探與ARP欺騙的原理,，網(wǎng)絡(luò)上有很多很好的帖子和文章,，但大部分都忽略了數(shù)據(jù)在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)過程。實際上用嗅探和ARP欺騙來做標(biāo)題有點忽悠的成分,，因為嗅探本身就包含了主動嗅探和被動嗅探,，而ARP欺騙又是一個單獨的技術(shù)，欺騙的目的只是讓數(shù)據(jù)經(jīng)過本機,，即：主動嗅探=ARP欺騙+抓包,。在了解嗅探和ARP欺騙原理之前，我們必須對數(shù)據(jù)包在各種(交換網(wǎng)絡(luò),、共享網(wǎng)絡(luò)等)網(wǎng)絡(luò)環(huán)境中的傳輸過程,，筆者在這邊也只針對交換網(wǎng)絡(luò)和共享網(wǎng)絡(luò)進行探討。

若未加說明,，文章中的三層指的是網(wǎng)絡(luò)層,，二層指的是數(shù)據(jù)鏈路層。

一.數(shù)據(jù)在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)過程：

1.數(shù)據(jù)在交換網(wǎng)絡(luò)中的傳輸過程如下圖(PC1發(fā)包給PC2)

注:此圖是以公網(wǎng)網(wǎng)絡(luò)為基礎(chǔ)，如果PC為內(nèi)網(wǎng)或者加入私有網(wǎng)絡(luò)則在出口要考慮NAT等情況

a)PC1發(fā)現(xiàn)目標(biāo)IP110.1.1.2(網(wǎng)絡(luò)號110.1.1.0)與本機不在同網(wǎng)段(掩碼為24位,，所以本機網(wǎng)絡(luò)號為1.1.1.0),，因此PC1會將數(shù)據(jù)包丟給網(wǎng)關(guān)，為了數(shù)據(jù)報文能夠到達網(wǎng)關(guān),，PC1封裝的報文里頭會以網(wǎng)關(guān)的MAC作為目的MAC(網(wǎng)絡(luò)數(shù)據(jù)傳輸,，原目的IP不變，原目的MAC通過三層網(wǎng)絡(luò)時會不斷改變),。

b)數(shù)據(jù)報文到達二層交換機(這里只涉及二層交換,，如果是三層交換機并設(shè)置了端口IP，則會有所不同)后,，由于二層交換機拆解數(shù)據(jù)報文時只拆解到二層(只拆解到原目的MAC),根本看不懂IP,，所以會查找MAC-接口映射表(所謂的建立虛擬鏈路)，發(fā)現(xiàn)網(wǎng)關(guān)MAC對應(yīng)的是E5口,，則將數(shù)據(jù)包從E5口丟出去。

c)路由器R1收到數(shù)據(jù)報文后查看原目的IP(路由器屬于三層設(shè)備,，拆解數(shù)據(jù)包到IP層),，查看數(shù)據(jù)包的目的IP為110.1.1.1，進而查找路由表,，發(fā)現(xiàn)數(shù)據(jù)要到達目的網(wǎng)絡(luò),，數(shù)據(jù)包必須往下一跳218.1.1.2發(fā)送，因此路由器對數(shù)據(jù)包進行重封裝,，查看ARP表,，原、目的IP保持不變,，將原MAC修改成R1出接口(連接到R2的那個端口)的MAC地址,，目的MAC改成R2的進接口(R2接R1的接口MAC地址)，接下來和二層傳輸一樣,，將數(shù)據(jù)包丟給R2,。

d)R2收到數(shù)據(jù)包后與R1做的操作一樣，直到數(shù)據(jù)報文到達目標(biāo),。根據(jù)之前的步驟可以推出數(shù)據(jù)報文到達目標(biāo)后,，原IP、目的IP不變,，原MAC為R2接PC2的接口MAC,、目的MAC為PC2的MAC。PC2發(fā)現(xiàn)數(shù)據(jù)報文的目的IP和目的MAC與本機相符(非攻擊者),，從而拆解數(shù)據(jù)包,，獲得數(shù)據(jù)報文內(nèi)容。回復(fù)報文的時候和之前的傳輸一樣,。

2.數(shù)據(jù)在共享網(wǎng)絡(luò)中的傳輸圖(PC1發(fā)包給PC2)

數(shù)據(jù)報文在共享網(wǎng)絡(luò)中的傳輸和交換網(wǎng)絡(luò)唯一的不同在于第二個步驟,，交換網(wǎng)絡(luò)中交換機會根據(jù)MAC-端口對應(yīng)表進行傳輸，也就是說除了網(wǎng)關(guān)(以圖為例),，其他同交換機下的PC機無法收到數(shù)據(jù)報文(沒出現(xiàn)攻擊的情況下),。而在共享網(wǎng)絡(luò)中，由于HUB屬于一層設(shè)備,，對于到達本身的數(shù)據(jù)報文,，HUB會對報文進行廣播(除了收到報文的那個接口)，因此接在同HUB的所有PC都能收到該報文,。注：通常情況下,，網(wǎng)卡都是工作在非混雜模式，也就是說即使收到數(shù)據(jù)報文,，網(wǎng)卡會判斷目的MAC是否和自己的一樣,，不一樣的話代表數(shù)據(jù)包不是給自己的，因此會丟棄,，只接收那些目的MAC和自己一樣的數(shù)據(jù)報文,。在嗅探時必須開啟混雜模式，在該模式下,，網(wǎng)卡不對數(shù)據(jù)報文進行判斷,，一鍋端!二.ARP欺騙：1.欺騙過程及原理從上面的數(shù)據(jù)報文傳輸過程可以知道二層傳輸是通過MAC進行傳輸?shù)模趥鬏斶^程中PC需要查詢ARP表,。因此攻擊者只要可以改變目標(biāo)的ARP表就能實現(xiàn)攻擊,從而將數(shù)據(jù)牽引到自己的機器上,，如圖

a)在正常情況下，PC1通過本地ARP表知道網(wǎng)關(guān)1.1.1.2的MAC地址為1.1.1.10260.8c01.1111,，所以PC1封裝包的時候會將目的MAC設(shè)置成路由器的MAC地址,。交換機通過MAC-端口對應(yīng)表能夠正常的將數(shù)據(jù)報文從E1口轉(zhuǎn)發(fā)給路由器，實現(xiàn)數(shù)據(jù)傳輸,。

b)黑客對PC2有完全的控制權(quán),，通過不斷發(fā)送(假冒的)ARP報文告訴PC1，自己才是1.1.1.1對應(yīng)的MAC是0260.8c01.1113,。

c)PC1收到黑客發(fā)的ARP報文后,，刷新自己的ARP表，將1.1.1.1的MAC誤認為是0260.8c01.1113,。

d)PC1將要訪問外網(wǎng)數(shù)據(jù)報文的目的MAC設(shè)置成0260.8c01.1113(PC2的MAC,目測PC1被自己的ARP表給騙了),。

e)交換機通過拆解包發(fā)現(xiàn)目的MAC對應(yīng)的端口為E4(PC2的那個接口，連鎖反應(yīng)了!),，就將數(shù)據(jù)報文從E4口丟出,。

f)PC2成功得到PC1發(fā)往外網(wǎng)的請求報文,。偷看后重新封包，原IP,、目的IP不改變,，將原MAC改成PC2的MAC，目的MAC改成網(wǎng)關(guān)的(數(shù)據(jù)包恢復(fù)正常,，看起來和沒攻擊時PC1發(fā)出的報文完全一樣),，PC2修改完后將數(shù)據(jù)包丟給交換機，從而欺騙實現(xiàn),，當(dāng)然對于該包的回應(yīng)報文,，由于路由器ARP表沒被污染，所以能夠正常的將返回報文直接丟給PC1,。

2.如何選擇欺騙方向 在欺騙過程中,，選擇正確的欺騙方向也是很重要的，通過閱讀我們可以看到上面的欺騙方向是PC1à網(wǎng)關(guān),。那么我們?nèi)绾未_定正確的欺騙方向呢?

a) 員工工作網(wǎng)絡(luò),，我們知道正常請求報文里面含有大量的敏感信息，如網(wǎng)站管理后臺賬戶密碼等,。而請求包的走向是員工PCà網(wǎng)關(guān),，如果黑客控制的電腦與員工內(nèi)部同一網(wǎng)段，那么正常情況下黑客會欺騙員工的PC機自己是網(wǎng)關(guān),，從而截獲請求報文

b)服務(wù)器網(wǎng)絡(luò)，而在機房(服務(wù)器網(wǎng)絡(luò))中,，管理員一般會在外部進行訪問,，即請求報文是由網(wǎng)關(guān)轉(zhuǎn)發(fā)給服務(wù)器，也就是說請求報文的走向是網(wǎng)關(guān)à服務(wù)器,，如果黑客控制的是機房里的一臺服務(wù)器,，為了截獲到請求報文中的服務(wù)器登錄密碼等敏感信息，攻擊者一般會對網(wǎng)關(guān)發(fā)起欺騙,，告訴網(wǎng)關(guān)自己是某臺或者某些服務(wù)器,。

c) 實際上不管在員工網(wǎng)絡(luò)或者機房內(nèi)部網(wǎng)絡(luò)，黑客比較習(xí)慣與進行雙向欺騙,，一方面告訴網(wǎng)關(guān)自己是某些終端,，另一方面告訴同網(wǎng)段的其他終端自己是網(wǎng)關(guān)，但是該方法會產(chǎn)生大量的垃圾信息,，因為在回應(yīng)報文中基本上不會攜帶敏感的信息,。

3. ARP欺騙的瓶頸為了得到更多的敏感信息，很多人會使用雙向+批量的欺騙方式,，一方面告訴網(wǎng)關(guān)自己的MAC對應(yīng)的IP是網(wǎng)段內(nèi)所有的IP(這樣無論數(shù)據(jù)報文是給哪臺機子的,，只要是發(fā)送給同網(wǎng)段機器網(wǎng)關(guān)都會轉(zhuǎn)發(fā)給攻擊者);另一方面欺騙所有同網(wǎng)段終端自己是網(wǎng)關(guān)(實際上欺騙同網(wǎng)段所有的終端比較容易,，直接將ARP包的目的mac設(shè)置成FFFFFFFFF就行了)，從而所有終端發(fā)出的報文都會經(jīng)過攻擊者的機器,。但是如果這樣子做,，攻擊者控制的機器直接承載了整個網(wǎng)段的數(shù)據(jù)流量，要對整個網(wǎng)段的數(shù)據(jù)進行處理,，重封裝,、再轉(zhuǎn)發(fā)，這在服務(wù)器的性能和配置上要求可不是一般的苛刻,，所以選擇好欺騙對象和方向顯得非常重要,。

三.嗅探和ARP欺騙的區(qū)別

a) 嗅探一般存在于共享網(wǎng)絡(luò)中，在共享網(wǎng)絡(luò)中一般使用HUB作為接入層,，經(jīng)過HUB的數(shù)據(jù)報文不管長得什么樣,，因為HUB工作在第一層，看不懂二層以上的報文是啥樣子的,，所以一律以廣播處理,，在同一網(wǎng)段的計算機只要將網(wǎng)卡設(shè)置成混雜模式即可。

b) 嗅探在交換網(wǎng)絡(luò)中不適用,，因為交換機是通過MAC-端口對應(yīng)表來轉(zhuǎn)發(fā)數(shù)據(jù)報文的,，所以在交換網(wǎng)絡(luò)中如果只將網(wǎng)卡設(shè)置成混雜模式，而不進行ARP欺騙,，其結(jié)果只能接受到網(wǎng)絡(luò)中的廣播包,。

c) 共享網(wǎng)絡(luò)中適用ARP欺騙，那是多此一舉,，適用ARP欺騙的方式會對影響網(wǎng)絡(luò)流量,，對網(wǎng)絡(luò)造成很大的影響，另外適用ARP欺騙會產(chǎn)生大量的ARP報文,，很容易被發(fā)現(xiàn),。而嗅探對整個網(wǎng)絡(luò)幾乎沒有影響，因為嗅探只是做監(jiān)聽,，而不會產(chǎn)生多余的數(shù)據(jù)報文,。

四.加密是否安全

很多人說使用HTTPS或者VPN等手段就可以防止嗅探或者ARP欺騙，這是不全面的,。具體要看什么網(wǎng)絡(luò)及什么技術(shù),。下面筆者針對HTTPS和VPN在共享、交換網(wǎng)絡(luò)中進行探討,。

1. 共享網(wǎng)絡(luò)+嗅探

a) 在共享網(wǎng)絡(luò)使用HTTPS確實可以很好的解決數(shù)據(jù)被竊取的問題(當(dāng)然個人證書泄露除外),，由于監(jiān)聽的機器沒有證書也就無法進行解密。

b) 在共享網(wǎng)絡(luò)中使用VPN技術(shù)不一定能夠防止,，部分VPN技術(shù)只是在原有的數(shù)據(jù)報文多加一個IP報頭,，對于數(shù)據(jù)內(nèi)容本身未做加密,，攻擊者使用監(jiān)聽技術(shù)獲取該類數(shù)據(jù)還是能正常獲取報文的內(nèi)容的

2. 交換網(wǎng)絡(luò)+ARP嗅探從原理上講，該類型的攻擊屬于中間人攻擊,，可以偽造任何證書,，因此對于HTTPS等來說，攻擊者只要偷梁換柱,，偽造證書就可以成功獲得數(shù)據(jù)的明文信息,。但對于部分使用秘鑰不通過公網(wǎng)傳輸?shù)膮f(xié)議(例如使用publikey驗證的SSH,KEY不通過網(wǎng)絡(luò)傳輸)就無法截取明文信息，也無法偽造,。

3. 共享網(wǎng)絡(luò)+ARP欺騙該類型攻擊和第2中攻擊沒啥兩樣,，就不做詳細討論了五.如何防止ARP欺騙及嗅探。實際上網(wǎng)上已經(jīng)有很多種解決方案了,，但在這邊還是小提一下簡單的防止方式,。第四點也有提到了一部分。在交換網(wǎng)絡(luò)中一般使用雙向綁定就可以解決ARP欺騙的問題了,，有些牛人說可以直接偽造MAC欺騙交換機,，這也是一種繞過方法，但實際上這種方法可行性不高,，雖然有時候確實能夠截獲到數(shù)據(jù)報文,，但會時交換機的MAC-端口對應(yīng)表產(chǎn)生混亂，另外報文若發(fā)給你就不會發(fā)給目標(biāo)服務(wù)器,，會產(chǎn)生拒絕服務(wù)攻擊,。在共享網(wǎng)絡(luò)中使用雙向綁定理論上是沒效果的，因為只要經(jīng)過HUB的數(shù)據(jù)都會進行廣播,，即使綁定,，所有終端也會收到數(shù)據(jù)報文。Hub不像二層交換,，有MAC-端口對應(yīng)表,。當(dāng)然對于嗅探和ARP攻擊的原理,、利用和防御不止文中提到的這些,，文章只是筆者的一點心得體會，僅供參考,。說這么多,，實際上要進行ARP攻擊的話，一個cain,、一個sniffer,、一個ettercap就可以完全搞定了。

【編輯推薦】