p2p終結(jié)者工作原理詳細分析（原創(chuàng)）

神人自有天助 2016-11-19

展開全文

p2p終結(jié)者工作原理分析：
原因：
這幾天局域網(wǎng)貌似被arp欺騙攻擊了，百思不得其解,，所以想弄清楚到底怎么回事,。于是下了一個最新版的p2p終結(jié)者，開了一臺虛擬機,，模擬攻擊自己的虛擬機,，本人一般不干壞

事:(。并用winpcap聽包,。

環(huán)境：
192.168.1.1 00:1e:58:8e:6a:8e （Dlink路由器,，網(wǎng)關(guān)）
192.168.1.101 00:24:8c:15:76:34 （我的機器）
192.168.1.99 00:0c:29:5e:01:ff（被攻擊的機器，vmware虛擬機）

部分包入下：（注意00:1e:58:8e:6a:90 也就是 D-Link_8e:6a:90 這個是我的機器虛擬出的假mac地址）
1649 233.810563 D-Link_8e:6a:90 D-Link_8e:6a:8e ARP Who has 192.168.1.1? Tell 0.0.0.0
1650 233.810906 D-Link_8e:6a:8e D-Link_8e:6a:90 ARP 192.168.1.1 is at 00:1e:58:8e:6a:8e (duplicate use of 192.168.1.1 detected!)
這兩個包挺奇怪，我覺得主要是用來讓路由器生成對這個D-Link_8e:6a:90地址的端口映射關(guān)系,。具體分析下：
1. 從D-Link_8e:6a:90 到 D-Link_8e:6a:8e的arp請求,這個包是我的機器生成的,它的源mac填的是假mac,。目標是路由器（這樣這個請求只有路由器會收到了）。 Who has

192.168.1.1? Tell 0.0.0.0請求路由器的mac地址,。至于0.0.0.0這個ip地址應(yīng)該是告訴路由器不要生成假mac和某個ip地址的arp緩存條目,。
附：根據(jù)路由器的端口學(xué)習(xí)功能，比如當(dāng)路由器從端口3收到源地址是假mac的請求時,，路由器會建立該假mac和端口3的映射關(guān)系,。以后有發(fā)往假mac的數(shù)據(jù)幀時，會自動發(fā)給3號端

口,。
2. 從D-Link_8e:6a:8e 到 D-Link_8e:6a:90的arp響應(yīng),，這個數(shù)據(jù)幀應(yīng)該只有我的機器才能收到，因為路由器已經(jīng)有了該假mac對應(yīng)的端口號信息了,。
附：我覺得第2步作用不大,，我的機器可能會忽略掉該數(shù)據(jù)幀。關(guān)鍵在第一步在路由器上建立了假mac到端口號的映射關(guān)系,。

1632 232.355676 00:24:8c:15:76:34 D-Link_8e:6a:8e ARP 192.168.1.99 is at 00:1e:58:8e:6a:90 (duplicate use of 192.168.1.1 detected!)
1631 232.355535 D-Link_8e:6a:90 Vmware_5e:01:ff ARP 192.168.1.1 is at 00:1e:58:8e:6a:90
這兩個包是欺騙的關(guān)鍵所在,。具體分析如下：
1. 從00:24:8c:15:76:34到D-Link_8e:6a:8e的arp響應(yīng)。偽造的arp響應(yīng),，更新了路由器的ip=99的arp緩存（這個是最讓人頭痛的事情,，我用的dlink好像不支持路由器端的ip mac

綁定，靜態(tài)arp緩存,，所以沒法破arp攻擊）
2. 從D-Link_8e:6a:90 到 Vmware_5e:01:ff的arp響應(yīng),。偽造的arp響應(yīng)，更新了被攻擊機器的路由器arp緩存（這個可以通過arp防火墻或者什么ip mac綁定的來解決,，但是由于上

面一步已經(jīng)污染了路由器的arp緩存了,，所以這個即使防住了好像也沒有什么作用）。
綜上所述：就是欺騙路由器和被攻擊者機器的arp緩存,。讓被攻擊者機器的所有發(fā)給網(wǎng)關(guān)的數(shù)據(jù)全部發(fā)送給假mac,，網(wǎng)關(guān)從外面接受的所有數(shù)據(jù)也都發(fā)給假mac。由于假mac就是我的

機器,，所以我可以收到從被攻擊者出去的所有數(shù)據(jù)（出去主要就是發(fā)給網(wǎng)關(guān)的數(shù)據(jù)了啊,，ip=192.168.1.1）。并且收到所有外網(wǎng)發(fā)給被攻擊者的數(shù)據(jù),，路由器外網(wǎng)卡收到數(shù)據(jù)時,，

會通過nat之類的轉(zhuǎn)換發(fā)給內(nèi)網(wǎng)的機器。

敘述一下具體的詳細的變態(tài)的步驟把：
1.被攻擊者瀏覽網(wǎng)頁www.google.cn
2.忽略dns解析等,。,。,。
3.被攻擊者要發(fā)給一個tcp同步請求給比如 1.2.3.4(google的ip地址)
4.組裝ip數(shù)據(jù)包， tcp部分（源端口:6666,目標端口：80）,，ip部分（源ip=192.168.1.99 目標ip=1.2.3.4）
5.組裝數(shù)據(jù)幀,，根據(jù)目標ip=1.2.3.4，知道該數(shù)據(jù)包不在局域網(wǎng)內(nèi),，所以發(fā)給默認網(wǎng)關(guān)192.168.1.1（當(dāng)然也有可能根據(jù)路由表什么的發(fā)給其他的機器）,。由于路由器的arp緩存是

假mac。所以構(gòu)造的數(shù)據(jù)幀的源mac=00:0c:29:5e:01:ff,，目標mac=00:1e:58:8e:6a:90,。
6.將該數(shù)據(jù)幀發(fā)送到網(wǎng)卡上。
7.路由器收到了該數(shù)據(jù)幀,。（比如是2號端口收到了該數(shù)據(jù)幀,，見23）檢查到目標mac不是自己的mac（因為是假mac了啊）,。路由器便認為該數(shù)據(jù)幀是局域網(wǎng)內(nèi)的數(shù)據(jù)幀需要轉(zhuǎn)發(fā),。直接根據(jù)目標的mac地址查找相應(yīng)的映射端

口號。由于假mac已經(jīng)成功的在路由器上建立了mac和端口的映射關(guān)系了,。所以路由器會直接將該數(shù)據(jù)幀發(fā)送給端口3,。(有一點又比較奇怪了，據(jù)我理解,，即使路由上沒有該假mac和

端口的映射的話,，路由器就會把該數(shù)據(jù)幀發(fā)送到所有端口上，只要我的機器用這個假mac響應(yīng)路由器也會學(xué)習(xí)到,，并且建立該假mac與端口號的映射關(guān)系的，好像也行)
8.我的機器收到了該數(shù)據(jù)幀,。發(fā)現(xiàn)目標mac是假mac(嘿嘿,，原來是我被我攻擊的一個家伙啊)。是割是閹,，悉聽尊便了,。這里假設(shè)我放過它了（一般是不會的）。于是我的機器要幫

它在轉(zhuǎn)發(fā)給真正的路由器,。
9.修改數(shù)據(jù)幀的源mac=假mac,，目標mac=00:1e:58:8e:6a:8e（真正的路由器mac）。ip包體等不變（源ip=192.168.1.99 目標ip=1.2.3.4）,。發(fā)送到網(wǎng)卡,。
10.路由器收到了該數(shù)據(jù)幀。發(fā)現(xiàn)目標mac是自己的,，ohyeah,！進入到了ip處理單元,。發(fā)現(xiàn)目標ip不是局域網(wǎng)內(nèi)（192.168.1.0）。ok,，是時候轉(zhuǎn)發(fā)給外網(wǎng)卡了,。
11.路由器修改ip數(shù)據(jù)包。tcp部分（源端口=7777,，通過nat轉(zhuǎn)換之類的,，目標端口=80），ip部分（源ip=180.110.39.144,，電信分的,。目地ip=1.2.3.4。）
12.封裝外網(wǎng)的鏈路層數(shù)據(jù)幀,。（不太清楚了,，沒接觸過，應(yīng)該類似于以太網(wǎng)的東西但是絕對不是以太網(wǎng)）
13.將該包發(fā)送到外網(wǎng)卡,。
14.google的盛情處理,。發(fā)送了一個syn+ack包回來了。
15.路由器外網(wǎng)卡收到了該數(shù)據(jù)包,。tcp部分（源端口=80,，目標端口=7777），ip部分（源ip=1.2.3.4,，目地ip=180.110.39.144電信分的）
16.通過nat轉(zhuǎn)換,，發(fā)現(xiàn)7777的數(shù)據(jù)應(yīng)該轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的192.168.1.99：6666。
17.修改該ip數(shù)據(jù)包,。tcp部分（源端口=80,，目標端口=6666），ip部分（源ip=1.2.3.4,，目地ip=192.168.1.99）
18.封裝內(nèi)網(wǎng)的以太網(wǎng)數(shù)據(jù)幀,。根據(jù)arp緩存得到192.168.1.99的mac地址是假mac。（源mac=路由器的mac,，目標mac=假mac）
19.根據(jù)端口和mac的映射關(guān)系,，直接發(fā)到3號端口上。
20.我的機器收到了該數(shù)據(jù)幀,。發(fā)現(xiàn)了目標mac=假mac（嘿嘿,，是被我攻擊的小子的數(shù)據(jù)）。是割是閹,，悉聽尊便了,。這里假設(shè)我又放過它了（一般還是不會的）。于是我的機器要幫它轉(zhuǎn)發(fā)給被攻擊的家伙,。
21.修改數(shù)據(jù)幀,。源mac=假mac,，目標mac=00:0c:29:5e:01:ff（終于出現(xiàn)被攻擊者的真實的mac地址了，好像是配角噢,，說這么多了才露臉一次唉）,。
22.將數(shù)據(jù)幀發(fā)送到網(wǎng)卡。
23.路由器收到了該數(shù)據(jù)幀,。檢查到目標mac不是自己的mac（因為是假mac了?。Ｂ酚善鞅阏J為該數(shù)據(jù)幀是局域網(wǎng)內(nèi)的數(shù)據(jù)幀需要轉(zhuǎn)發(fā),。直接根據(jù)這個目標mac的端口映射關(guān)系,。發(fā)送給了被攻擊者的所在端口（比如是2號端口）.
24.被攻擊者收到了該數(shù)據(jù)幀。
25.被攻擊者收到了數(shù)據(jù)包,。tcp部分（源端口=80,，目標端口=6666），ip部分（源ip=1.2.3.4,，目地ip=192.168.1.99）,。恩，跟發(fā)出去的時候?qū)?yīng)的,。google的響應(yīng)不錯,，關(guān)鍵扎的就這么慢了- -。（這么多的步驟打字都要打個個把小時的,，當(dāng)然慢了haha～～）
附：這個時候被攻擊者收到了服務(wù)器響應(yīng)的syn+ack,，由于是收到了ack，所以connect函數(shù)這個時候也就返回了,，順便復(fù)習(xí)一下網(wǎng)絡(luò)編程:)

注意：如果被攻擊者機器使用了arp防火墻,，或者靜態(tài)的ip mac綁定的話。那么7~9步就是不通的了,。我就不能監(jiān)測到被攻擊的家伙到底往外發(fā)了什么了,。但是從外網(wǎng)發(fā)給被攻擊的家伙的數(shù)據(jù)還是需要經(jīng)過我的（路由器端并沒有設(shè)置ip mac綁定，但是我的dlink不支持設(shè)置,，郁悶）

結(jié)束語：
關(guān)鍵是虛擬一個mac，同時使用arp欺騙網(wǎng)關(guān)和被攻擊的機器,。from:hjlin.cublog.cn

p2p終結(jié)者工作原理分析：

原因：
這幾天局域網(wǎng)貌似被arp欺騙攻擊了,，百思不得其解，所以想弄清楚到底怎么回事,。于是下了一個最新版的p2p終結(jié)者,，開了一臺虛擬機，模擬攻擊自己的虛擬機,，本人一般不干壞

事:(,。并用winpcap聽包,。

環(huán)境：
192.168.1.1 00:1e:58:8e:6a:8e （Dlink路由器，網(wǎng)關(guān)）
192.168.1.101 00:24:8c:15:76:34 （我的機器）
192.168.1.99 00:0c:29:5e:01:ff（被攻擊的機器,，vmware虛擬機）

部分包入下：（注意00:1e:58:8e:6a:90 也就是 D-Link_8e:6a:90 這個是我的機器虛擬出的假mac地址）
1649 233.810563 D-Link_8e:6a:90 D-Link_8e:6a:8e ARP Who has 192.168.1.1? Tell 0.0.0.0
1650 233.810906 D-Link_8e:6a:8e D-Link_8e:6a:90 ARP 192.168.1.1 is at 00:1e:58:8e:6a:8e (duplicate use of 192.168.1.1 detected!)
這兩個包挺奇怪,，我覺得主要是用來讓路由器生成對這個D-Link_8e:6a:90地址的端口映射關(guān)系。具體分析下：
1. 從D-Link_8e:6a:90 到 D-Link_8e:6a:8e的arp請求,這個包是我的機器生成的,它的源mac填的是假mac,。目標是路由器（這樣這個請求只有路由器會收到了）,。 Who has

192.168.1.1? Tell 0.0.0.0請求路由器的mac地址。至于0.0.0.0這個ip地址應(yīng)該是告訴路由器不要生成假mac和某個ip地址的arp緩存條目,。
附：根據(jù)路由器的端口學(xué)習(xí)功能,，比如當(dāng)路由器從端口3收到源地址是假mac的請求時，路由器會建立該假mac和端口3的映射關(guān)系,。以后有發(fā)往假mac的數(shù)據(jù)幀時,，會自動發(fā)給3號端

口。
2. 從D-Link_8e:6a:8e 到 D-Link_8e:6a:90的arp響應(yīng),，這個數(shù)據(jù)幀應(yīng)該只有我的機器才能收到,，因為路由器已經(jīng)有了該假mac對應(yīng)的端口號信息了。
附：我覺得第2步作用不大,，我的機器可能會忽略掉該數(shù)據(jù)幀,。關(guān)鍵在第一步在路由器上建立了假mac到端口號的映射關(guān)系。

1632 232.355676 00:24:8c:15:76:34 D-Link_8e:6a:8e ARP 192.168.1.99 is at 00:1e:58:8e:6a:90 (duplicate use of 192.168.1.1 detected!)
1631 232.355535 D-Link_8e:6a:90 Vmware_5e:01:ff ARP 192.168.1.1 is at 00:1e:58:8e:6a:90
這兩個包是欺騙的關(guān)鍵所在,。具體分析如下：
1. 從00:24:8c:15:76:34到D-Link_8e:6a:8e的arp響應(yīng),。偽造的arp響應(yīng)，更新了路由器的ip=99的arp緩存（這個是最讓人頭痛的事情,，我用的dlink好像不支持路由器端的ip mac

綁定,，靜態(tài)arp緩存，所以沒法破arp攻擊）
2. 從D-Link_8e:6a:90 到 Vmware_5e:01:ff的arp響應(yīng),。偽造的arp響應(yīng),，更新了被攻擊機器的路由器arp緩存（這個可以通過arp防火墻或者什么ip mac綁定的來解決，但是由于上

面一步已經(jīng)污染了路由器的arp緩存了,，所以這個即使防住了好像也沒有什么作用）,。
綜上所述：就是欺騙路由器和被攻擊者機器的arp緩存。讓被攻擊者機器的所有發(fā)給網(wǎng)關(guān)的數(shù)據(jù)全部發(fā)送給假mac,，網(wǎng)關(guān)從外面接受的所有數(shù)據(jù)也都發(fā)給假mac,。由于假mac就是我的

機器，所以我可以收到從被攻擊者出去的所有數(shù)據(jù)（出去主要就是發(fā)給網(wǎng)關(guān)的數(shù)據(jù)了啊,，ip=192.168.1.1）,。并且收到所有外網(wǎng)發(fā)給被攻擊者的數(shù)據(jù)，路由器外網(wǎng)卡收到數(shù)據(jù)時,，

會通過nat之類的轉(zhuǎn)換發(fā)給內(nèi)網(wǎng)的機器,。

敘述一下具體的詳細的變態(tài)的步驟把：
1.被攻擊者瀏覽網(wǎng)頁www.google.cn
2.忽略dns解析等,。。,。
3.被攻擊者要發(fā)給一個tcp同步請求給比如 1.2.3.4(google的ip地址)
4.組裝ip數(shù)據(jù)包,， tcp部分（源端口:6666,目標端口：80），ip部分（源ip=192.168.1.99 目標ip=1.2.3.4）
5.組裝數(shù)據(jù)幀,，根據(jù)目標ip=1.2.3.4,，知道該數(shù)據(jù)包不在局域網(wǎng)內(nèi)，所以發(fā)給默認網(wǎng)關(guān)192.168.1.1（當(dāng)然也有可能根據(jù)路由表什么的發(fā)給其他的機器）,。由于路由器的arp緩存是

假mac,。所以構(gòu)造的數(shù)據(jù)幀的源mac=00:0c:29:5e:01:ff，目標mac=00:1e:58:8e:6a:90,。
6.將該數(shù)據(jù)幀發(fā)送到網(wǎng)卡上,。
7.路由器收到了該數(shù)據(jù)幀。（比如是2號端口收到了該數(shù)據(jù)幀,，見23）檢查到目標mac不是自己的mac（因為是假mac了?。Ｂ酚善鞅阏J為該數(shù)據(jù)幀是局域網(wǎng)內(nèi)的數(shù)據(jù)幀需要轉(zhuǎn)發(fā),。直接根據(jù)目標的mac地址查找相應(yīng)的映射端

口號,。由于假mac已經(jīng)成功的在路由器上建立了mac和端口的映射關(guān)系了。所以路由器會直接將該數(shù)據(jù)幀發(fā)送給端口3,。(有一點又比較奇怪了,，據(jù)我理解，即使路由上沒有該假mac和

端口的映射的話,，路由器就會把該數(shù)據(jù)幀發(fā)送到所有端口上,，只要我的機器用這個假mac響應(yīng)路由器也會學(xué)習(xí)到，并且建立該假mac與端口號的映射關(guān)系的,，好像也行)
8.我的機器收到了該數(shù)據(jù)幀,。發(fā)現(xiàn)目標mac是假mac(嘿嘿，原來是我被我攻擊的一個家伙啊),。是割是閹,，悉聽尊便了。這里假設(shè)我放過它了（一般是不會的）,。于是我的機器要幫

它在轉(zhuǎn)發(fā)給真正的路由器,。
9.修改數(shù)據(jù)幀的源mac=假mac，目標mac=00:1e:58:8e:6a:8e（真正的路由器mac）,。ip包體等不變（源ip=192.168.1.99 目標ip=1.2.3.4）。發(fā)送到網(wǎng)卡,。
10.路由器收到了該數(shù)據(jù)幀,。發(fā)現(xiàn)目標mac是自己的,，ohyeah！進入到了ip處理單元,。發(fā)現(xiàn)目標ip不是局域網(wǎng)內(nèi)（192.168.1.0）,。ok，是時候轉(zhuǎn)發(fā)給外網(wǎng)卡了,。
11.路由器修改ip數(shù)據(jù)包,。tcp部分（源端口=7777，通過nat轉(zhuǎn)換之類的,，目標端口=80）,，ip部分（源ip=180.110.39.144，電信分的,。目地ip=1.2.3.4,。）
12.封裝外網(wǎng)的鏈路層數(shù)據(jù)幀。（不太清楚了,，沒接觸過,，應(yīng)該類似于以太網(wǎng)的東西但是絕對不是以太網(wǎng)）
13.將該包發(fā)送到外網(wǎng)卡。
14.google的盛情處理,。發(fā)送了一個syn+ack包回來了,。
15.路由器外網(wǎng)卡收到了該數(shù)據(jù)包。tcp部分（源端口=80,，目標端口=7777）,，ip部分（源ip=1.2.3.4，目地ip=180.110.39.144電信分的）
16.通過nat轉(zhuǎn)換,，發(fā)現(xiàn)7777的數(shù)據(jù)應(yīng)該轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的192.168.1.99：6666,。
17.修改該ip數(shù)據(jù)包。tcp部分（源端口=80,，目標端口=6666）,，ip部分（源ip=1.2.3.4，目地ip=192.168.1.99）
18.封裝內(nèi)網(wǎng)的以太網(wǎng)數(shù)據(jù)幀,。根據(jù)arp緩存得到192.168.1.99的mac地址是假mac,。（源mac=路由器的mac，目標mac=假mac）
19.根據(jù)端口和mac的映射關(guān)系,，直接發(fā)到3號端口上,。
20.我的機器收到了該數(shù)據(jù)幀。發(fā)現(xiàn)了目標mac=假mac（嘿嘿,，是被我攻擊的小子的數(shù)據(jù)）,。是割是閹，悉聽尊便了。這里假設(shè)我又放過它了（一般還是不會的）,。于是我的機器要幫它轉(zhuǎn)發(fā)給被攻擊的家伙,。
21.修改數(shù)據(jù)幀。源mac=假mac,，目標mac=00:0c:29:5e:01:ff（終于出現(xiàn)被攻擊者的真實的mac地址了,，好像是配角噢，說這么多了才露臉一次唉）,。
22.將數(shù)據(jù)幀發(fā)送到網(wǎng)卡,。
23.路由器收到了該數(shù)據(jù)幀。檢查到目標mac不是自己的mac（因為是假mac了?。?。路由器便認為該數(shù)據(jù)幀是局域網(wǎng)內(nèi)的數(shù)據(jù)幀需要轉(zhuǎn)發(fā)。直接根據(jù)這個目標mac的端口映射關(guān)系,。發(fā)送給了被攻擊者的所在端口（比如是2號端口）.
24.被攻擊者收到了該數(shù)據(jù)幀,。
25.被攻擊者收到了數(shù)據(jù)包。tcp部分（源端口=80,，目標端口=6666）,，ip部分（源ip=1.2.3.4，目地ip=192.168.1.99）,。恩,，跟發(fā)出去的時候?qū)?yīng)的。google的響應(yīng)不錯,，關(guān)鍵扎的就這么慢了- -,。（這么多的步驟打字都要打個個把小時的，當(dāng)然慢了haha～～）
附：這個時候被攻擊者收到了服務(wù)器響應(yīng)的syn+ack,，由于是收到了ack,，所以connect函數(shù)這個時候也就返回了，順便復(fù)習(xí)一下網(wǎng)絡(luò)編程:)

注意：如果被攻擊者機器使用了arp防火墻,，或者靜態(tài)的ip mac綁定的話,。那么7~9步就是不通的了。我就不能監(jiān)測到被攻擊的家伙到底往外發(fā)了什么了,。但是從外網(wǎng)發(fā)給被攻擊的家伙的數(shù)據(jù)還是需要經(jīng)過我的（路由器端并沒有設(shè)置ip mac綁定,，但是我的dlink不支持設(shè)置，郁悶）

結(jié)束語：
關(guān)鍵是虛擬一個mac,，同時使用arp欺騙網(wǎng)關(guān)和被攻擊的機器,。from:hjlin.cublog.cn