【正文】 1 )判斷網(wǎng)絡(luò)類型的函數(shù) ，其函數(shù)原型為 ： 。最后一 個(gè)參數(shù) err_buffer 用于存儲(chǔ)錯(cuò)誤信息。 pro 指明網(wǎng)卡是否處于混雜模式，默認(rèn)情況下值為 l ，即處于混在模式 。 參數(shù) len主要用于數(shù)據(jù)包的捕獲上，默認(rèn)為 65536。 if ( (ad handle = pcap _open lived name ,65536,1 ,1000,errbuf) ) == NULL ) { fprintf (stde rr， ”\n 網(wǎng)卡打開失敗 ， WinPcap 不支持 %s\n ”) pcap_ free alldevs(alldevs) return 1 ： } 此語句 的功能是打開目標(biāo)網(wǎng)卡準(zhǔn)備捕獲數(shù)據(jù)包，函數(shù)原型如下 ： pcap_tpcap open_live feonstchadev， int len, int pro,int i_m , char err_buffer) 第一個(gè)參數(shù) const char *dev 指的是要打開的網(wǎng)卡。其原型為：int fprintf( FILE stream ， const char format ， argm nent …) ，第一個(gè)參數(shù)是保存錯(cuò)誤信息的文件指針，本程序用的參數(shù)是 stderr，是系統(tǒng)默認(rèn)標(biāo)準(zhǔn)錯(cuò)誤輸出文件的句 柄。此函數(shù)成功運(yùn)行返回值為 0：運(yùn)行失敗返回值為 1。)== 1 { fpritf {stderr， ”pcap_findalldevs出現(xiàn)錯(cuò)誤：％ skn”,errbuf)； return 1。具體流程圖如下 : 否 是 否 是 否 是 否 是 檢測(cè)程序流程圖 錯(cuò)誤處理 編譯過濾條件 選擇網(wǎng)卡 開始 獲取網(wǎng)卡列表 打開網(wǎng)卡 錯(cuò)誤處理 打印網(wǎng)卡信息 成功？ 成功？ 成功？ 捕包分析 結(jié)束 成功？ 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 20 頁 共 48 頁 核心函數(shù)說明 (1) 獲得網(wǎng)卡信息列表模塊和選擇目標(biāo)網(wǎng)卡模塊中所使用的函數(shù)。 ARP 的攻擊次數(shù)如圖所示 ,然后點(diǎn)擊 flood 進(jìn)行攻擊，如圖 。當(dāng)你用鼠標(biāo)在上面移動(dòng)時(shí)，會(huì)顯示對(duì)于該事件的說明。能夠檢測(cè)的事件列表請(qǐng)看英文說明文檔。 Traffic：轉(zhuǎn)發(fā)的流量，是 K為單位，這個(gè)信息在進(jìn)行 SPOOF 時(shí)才有用。他的主界面如 圖 ： 圖 WinARPAttacker 主界面 的界面分為四塊輸出區(qū)域： 第一個(gè)區(qū)域：主機(jī)列表區(qū)，顯示的信息有局域網(wǎng)內(nèi)的機(jī)器 IP、 MAC、主機(jī)名、是否在線、是否在監(jiān)聽、是否處于被攻擊狀態(tài)。 （ 1）用代碼實(shí)現(xiàn)對(duì)交換機(jī)的泛洪攻擊，如圖 先打印網(wǎng)卡的列表，然后選擇我的網(wǎng)卡： 2，如圖 。 (2)導(dǎo)致 IP 沖突死機(jī)：用 ARP 欺騙導(dǎo)致 IP 沖突， WINDOWS在處理 IP 沖突時(shí)，處理不過來，導(dǎo)致死機(jī)。需要保持較大的 ARP 包數(shù)量才能起效。這種效果正是前文所描述的， ARP 欺騙成功。 以上程序使 A接收到一個(gè)被偽造的 ARP 應(yīng)答，對(duì)目標(biāo) A進(jìn)行欺騙。 //k。//一個(gè)裝有要發(fā)送數(shù)據(jù)的緩沖區(qū)，要發(fā)送的長(zhǎng)度，和一個(gè)適配器 printf(OK)。 ARP欺騙幀 在 ARP 回復(fù)報(bào)文，接下來需要將數(shù)據(jù)包發(fā)送 到局域網(wǎng)內(nèi)主機(jī) A上。 /* op， 01表示請(qǐng)求， 02 表示回復(fù) */ packet[20]=0x00。 /*硬件地址長(zhǎng)度 */ packet[18]=0x06。 /* 協(xié)議類型， 0800IP 協(xié)議 */ packet[16]=0x08。 /* 硬件類型， 0001以太網(wǎng) */ packet[14]=0x00。 /* 幀類型， 0806表示 ARP 協(xié)議 */ packet[12]=0x08。 packet[10]=0Xad。 packet[8]=0X97。所以，我們要進(jìn)行 ARP 欺騙所需要構(gòu)造的偽裝應(yīng)答報(bào)文如下 所示： 構(gòu)造報(bào)文的結(jié)構(gòu)代碼可以這樣寫： /* 以太網(wǎng)目的地址 */ /* 以太網(wǎng)源地址，當(dāng)然是假的 */ packet[6]=0xf0。 對(duì)于一個(gè) ARP 請(qǐng)求來說，除目的端硬件地址外的所有其他的字段都有填充值。 A發(fā)送了一個(gè)ARP詢問報(bào)文，在這個(gè)報(bào)文中，目的地址為全 1（ FFFF FFFFFFFF）的特殊廣播地址。 另外，由于 ARP 請(qǐng)求或回答的數(shù)據(jù)幀長(zhǎng)都是 42字節(jié)（ 28字節(jié)的 ARP 數(shù)據(jù)加上 14字節(jié)的以太網(wǎng)幀頭），因此，每一幀都必須加入填充字符以達(dá)到以太網(wǎng)數(shù)據(jù)幀 60 字節(jié)的最小長(zhǎng)度要求。 報(bào)文最后的四個(gè)字段將重復(fù)出現(xiàn)發(fā)送與接受端的硬件地址（在以太網(wǎng)的數(shù)據(jù)幀報(bào)頭中出現(xiàn)過）。接下來的 OP為“操作字段”，可以選擇四種操作類型，分別是 ARP 請(qǐng)求（值為 1）、 ARP 應(yīng)答（值為 2）、 R ARP 請(qǐng)求（值為 3）和 R ARP 應(yīng)答（值為 4）。當(dāng)用于在以太網(wǎng)上進(jìn)行 IP 地址的 ARP 查詢時(shí)，“硬件地址長(zhǎng)度”的值為 6，“協(xié)議地址長(zhǎng)度”為 4。這些類型字段的值在以太網(wǎng)數(shù)據(jù)幀中是固定的。頭部后面的 2字節(jié)的“硬件類型”和兩字節(jié)的“協(xié)議類型”用來描述 ARP 分 組中的各個(gè)字段。在以太網(wǎng)首部最后兩個(gè)字節(jié)長(zhǎng)的以太網(wǎng)“幀類型”表示后面數(shù)據(jù)的類型。 ARP 報(bào) 文使用是工作在數(shù)據(jù)鏈接層的協(xié)議，所以可以用于其他類型的網(wǎng)絡(luò)以解析 IP 地址以外的地址（報(bào)文第 1 14兩字節(jié)的“幀類型”以及 1 16字節(jié)“硬件類型”以及 118 字節(jié)“協(xié)議類型”說明了解析的是什么網(wǎng)絡(luò)）。以下來研究如何使用編程實(shí)現(xiàn)這樣的 ARP 欺騙。當(dāng) A 接收到C 偽造的 ARP 應(yīng)答后，由于 A 并不知道地址是被 C 偽造的，就會(huì)更新自己的 ARP 緩存。當(dāng)計(jì)算機(jī)接收到ARP 應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)立即對(duì)本地的 ARP 緩存進(jìn)行更新，將應(yīng)答中的 IP 和 MAC 地址存儲(chǔ)在 ARP 緩存中。在 ARP 攻擊程序編寫中，使用 Parcket 開發(fā)包編寫程序?qū)崿F(xiàn)攻擊。 (4)增加預(yù)編譯信息： Project→Settings→C/C++→Preprocessor definition s，在文本框的末尾添加 CAP,HAVE_REMOTE。 (2)增加 WinPcap 的 include 和 lib 路徑： Tools→Options→Directories ，其中 include 文件的路徑增加 WinPcap 的 include 路徑（其中有）， library 文件的路徑增加 WinPcap 的 lib 路徑（其中有 和 ）。 檢測(cè)器利采用 VC++ 在 WinPcap 開發(fā)包基礎(chǔ)上開發(fā)實(shí)現(xiàn)。 WinPcap 基于 Libpcap，它的目的是使一些 Windows 應(yīng)用程序可以訪問網(wǎng)絡(luò)底層。 [Sysname] display macaddress interface Ether 1/0/2 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000fe20fdc71 1 Static Ether1/0/2 NOAGED 00e0fc17a7d6 1 Learned Ether1/0/2 AGING 00e0fc5eb1fb 1 Learned Ether1/0/2 AGING 00e0fc55f116 1 Learned Ether1/0/2 AGING 4 mac address(es) found . port Ether1/0/2 通過禁止端口動(dòng)態(tài)學(xué)習(xí) MAC 地址功能與手工添加靜態(tài) MAC 表項(xiàng)功能的配合，保證其他主機(jī)無法通過此端口通信。 [Sysname] macaddress static 000fe20fdc71 interface Ether 1/0/2 vlan 10 設(shè)置交換機(jī)上動(dòng)態(tài) MAC 地址表項(xiàng)的老化時(shí)間為 500秒。端口 Ether1/0/10 連接 NMS（ Network Management Server，網(wǎng)管服務(wù)器），為增加網(wǎng)絡(luò)管理的安全性，要求該端口僅允許這臺(tái) NMS接入。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 12 頁 共 48 頁 圖 IP 和 MAC 綁定示意圖 要求： 服務(wù)器通過 Ether1/0/2 端口連接到交換機(jī)。 [SwitchA] interface Ether1/0/1 將 Host 1 的 MAC 地址和 IP 地址綁定到 Ether1/0/1 端口。 配置 Switch A 進(jìn)入系統(tǒng)視圖。進(jìn)行綁定操作后，交換機(jī)只對(duì)從該端口收到的指定 MAC 地址和 IP 地址的用戶發(fā)出的報(bào)文進(jìn)行轉(zhuǎn)發(fā)，提高了系統(tǒng)的安全性，增強(qiáng)了對(duì)網(wǎng)絡(luò)安全的監(jiān)控。缺點(diǎn)是每臺(tái)電腦需綁定，且重啟后任需綁定，工作量較大，雖說綁定可以通過批處理文件來實(shí)現(xiàn)，但也比較麻煩。 舉例： 開啟 VLAN 1 內(nèi)所有端口的 ARP 入侵檢測(cè)功能。 當(dāng) ARP 報(bào)文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與 DHCP Snooping 表項(xiàng)或者手工配置的IP 靜態(tài)綁定表項(xiàng)匹配，且 ARP 報(bào)文的入端口及其所屬 VLAN 與 DHCP Snooping表項(xiàng)或者手工配置 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 11 頁 共 48 頁 的 IP 靜態(tài)綁定表項(xiàng)一致，則為合法 ARP 報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。 SwitchA systemview [SwitchA] dhcpsnooping 設(shè)置端口 Ether1/0/1為 DHCP Snooping信任端口， ARP 信任端口。通過監(jiān)聽 DHCP 報(bào)文，記錄DHCP 客戶端 IP 地址與 MAC 地址的對(duì)應(yīng)關(guān)系；通過設(shè)置 DHCP Snooping信任端口，保證客戶端從合法的服務(wù)器獲取 IP 地址 [19]。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 9 頁 共 48 頁 圖 “中間人”攻擊示意圖 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 10 頁 共 48 頁 3 ARP 防范 下面介紹防范 ARP 攻擊的幾種常用方法：根據(jù) ARP 攻擊的特點(diǎn)，給出了攻擊和防范對(duì)應(yīng)表。此后， Host A 和 Host C 之間看似“直接”的通信，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即 Host B擔(dān)當(dāng)了“中間人”的角色，可以對(duì)信息進(jìn)行了竊取和篡改 [18]。同樣，也會(huì)表現(xiàn)為局域網(wǎng)內(nèi) PC 機(jī)之間共享文件等正常通信非常慢的現(xiàn)象。查看該 PC 機(jī)的 ARP 表，網(wǎng)關(guān) MAC 地址已被修改，而且網(wǎng)關(guān)上該 PC 機(jī)的 MAC 也是偽造的。 “中間人”攻擊 ARP “中間人”攻擊，又稱為 ARP 雙向欺騙。[主要是通過在鏈路層捕獲所有流經(jīng)的 ARP 請(qǐng)求數(shù)據(jù)包進(jìn)行分析，若是對(duì)虛擬主機(jī)的 ARP 請(qǐng)求就會(huì)發(fā)送對(duì)應(yīng)虛擬物理地址的 ARP 響應(yīng)，并且虛擬主機(jī)本身也會(huì)發(fā)送 ARP 請(qǐng)求。 ，這些 ARP 請(qǐng)求廣播包是來自和交換機(jī)相連的其它主機(jī)。出現(xiàn)原因（可能）： ，偵聽程序，掃描程序。 ARP 掃描過程（ ARP 請(qǐng)求風(fēng)暴） 通訊模式（可能）： 請(qǐng)求 請(qǐng)求 請(qǐng)求 請(qǐng)求 請(qǐng)求 請(qǐng)求 應(yīng)答 請(qǐng)求 請(qǐng)求 請(qǐng)求 ... 描述： 網(wǎng)絡(luò)中出現(xiàn)大量 ARP 請(qǐng)求廣播包，幾乎都是對(duì)網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行掃描。攻擊源通過 ARP 掃描來獲得所要攻擊主機(jī)的 IP 和 MAC 地址。 ARP 掃描攻擊 向局域網(wǎng)內(nèi)的所有主機(jī)發(fā)送 ARP 請(qǐng)求，從而獲得正在運(yùn)行主機(jī)的 IP 和 MAC 地址映射對(duì)。假設(shè)有 3 臺(tái)主機(jī)分別為 A、 B、 C，其中主機(jī) C 已經(jīng)感染了 ARP 地址欺騙病毒。主機(jī)每隔一定時(shí)間或者每當(dāng)收到 ARP 應(yīng)答，都會(huì)用新的地址映射記錄對(duì) ARP 緩存進(jìn)行更新 ，以保證自己擁有最新的地址解析緩存。而在接收到 ARP廣播的所有計(jì)算機(jī)中，只有具有目的主機(jī) IP 地址的主機(jī) B收到該廣播報(bào)文后，才會(huì)向源主機(jī) A回送一個(gè)包含其 MAC 地址的應(yīng)答，這樣一次正常的地址解析過程就完成了 [16]。假如主機(jī) A要與目的主機(jī) B進(jìn)行通信，為了查找與目的主機(jī) IP 地址相對(duì)應(yīng)的 MAC 地址，主機(jī) A 使用 ARP 協(xié)議來查找目的主機(jī) B的 MAC 地址。在這種情形之下，缺少防范措施的交換機(jī)就會(huì)以廣播的模式處理報(bào)文，形成泛洪向所有接口轉(zhuǎn)發(fā)通信信息流。 由于交換機(jī)是通過學(xué)習(xí)進(jìn)入各端口數(shù)據(jù)幀的源 MAC 地址來構(gòu)建 CAM 表，將各端口和端口所連接主機(jī)的 MAC 地址的對(duì)應(yīng)關(guān)系進(jìn)行記錄，因而可根據(jù) CAM 表來決定數(shù)據(jù)幀發(fā)往哪個(gè)端口。 MACIP 映射對(duì)的 IP 地址是非本地網(wǎng)的虛擬不存在的 IP 地址而且 MAC 地址也是虛擬變化的。 ARP 溢出攻擊 ARP 溢出攻擊是惡意用戶發(fā)出大量的 ARP 報(bào)文，造成 L3設(shè)備的 ARP 表項(xiàng)溢出，影響