淺述交換機ACM表端口轉發攻擊
大家看到這個題目可能感覺有點奇怪,網絡安全圈里好像沒有人定義過這種名詞,起初我也不清楚該定義一個什么樣的名詞,我只是根據攻擊的原里定義這樣的名詞,如果那位有更好的建議為他來填上一個更響亮的名字,例如“熊貓燒香”等,天下皆知。
這種攻擊方式不知有人研究過沒,我在網上沒有看到過,最近一段時間花費了點心思,把這種攻擊技術稍微鉆研了下,希望能對安全技術愛好者又提供一個奠基石,但不希望大家用他來做網絡破壞,因為后果很嚴重,網管很生氣,因為他找不到攻擊源,對于防護這種攻擊目前沒有很好的解決辦法,所以大家三思而后行。
廢話說了不少,進入正題。起初對于這種攻擊的發現是來源早期對ARP協議的學習與研究,在當時發現發送特定格式的ARP數據包會對網絡造成一定影響,假如我是B機器,捕獲到C機器發向A的ARP返回包。
在B機器上使用SNIFFER PRO 捕獲后,進行數據包重放,就是說B機器上發出了源MAC 為C機器的這樣的數據包,交換機時收到這樣連續不段的數據包時(發送的數量與攻擊的效果有很大關系)C機器突然就與網絡中的其他機器失去聯系,網絡中的其他機器也訪問不到C機器,根據抓包發現C機器的數據包是能夠發送出去的,只是沒有收到回應包,問題出在那里?。
有想法的人肯定會想到數據包被交換機轉發到B機器上來了,為了證實我們的想法,在B機器上抓包發現,有很多數據包是其他IP對C機器的回應包。很多人會不明白為什么會這樣那。大家知道交換機和HUB的區別,交換機不對數據包進行廣播。
他工作的模式是:A機器--->B機器的數據包 C機器是接收不到的,應為交換機內部有轉發列表(ACM), AMC表的作用是建立MAC地址與端口的對應關系,一個端口可以和很多MAC地址建立對應關系。
(在802.1x下好像只能建立一個),這看上去沒什么問題,問題是出在ACM是實時動態更新的, 說到這里在看上面的問題就清楚了,原本C機器發送數據包到A沒有問題,C機器的MAC在3口建立了臨時的對應關系,A機器收到后如果再與C機器進行通訊,交換機會把數據包直接轉向了3口,他們之間的數據連接就會成功。
在B機器捕獲到這個數據包時進行連續重放,剛才也說了是從B機器上發送源地址為C機器MAC的數據包,數據包通過交換機時會改變C機器MAC與3口的對應關系,交換機發現這個數據包的源MAC地址是從交換機的2口發送。
所以會建立C機器的MAC 與2號端口建立ACM表的對應關系,A機器再發向C機器的數據包,全被交換機轉到2號端口B機器上面,所有就形成了C機器的斷網現象,大家現在應該明白了吧,上面是我自己的理解,可能有些地方解釋的有問題,希望大家提出。
下面有人會說C機器也在不斷的發包,也會改變ACM表上C機器MAC與2號端口的對應關系,上面我也說過,這就要看B機器的重放數據包的數量了,經過我測試發現在B機器重放每秒500-1000個數據包的同時。
C機器應經與機器不能通訊或通訊非常非常的慢,有意思的是在C機器上能PING 的通其他機器,這讓C機器挺郁悶吧,而且C機器收不到任何攻擊數據包,應為是C對應A機器的數據包,沒有進行廣播,如數據包的數量在1萬左右,C機器收不到任何信息。
你又會說為什么不進行數據包廣播那,應為數據包進行廣播的話,對交換機影響很大,會對其他機器造成影響,而且容易讓別人發現這種數據包,(雖然他不查看交換機MAC表是找不到你,但是就怕他看),如果你網絡很大,廣播對你自己利用說也會造成影響。
所以我們要把數據包做成定向發送,找個傀儡機嘍,在上面A就是我們的傀儡機了,假如還有D機器的話,在D機器上抓包是發現不了這種攻擊的,是不是很可怕,下面還有更可怕的那。
大家又要開動腦筋了,既然可以對單臺機器發動攻擊,也可以對網關發動攻擊,對網關發送攻擊會出現什么后果那,就是大家都不能和網關進行通訊,網絡全部斷掉(包括你自己),前提只需在B機器上發送源地址為網關的數據包。
我們已經說了廣播包是最不可取的,那我們就要找個傀儡機器,還找機器A嗎,不行啦,因為是定向包B機器和A機器在同一交換機上面,所能更改的也只是這臺交換機的ACM表,也只是對這個交換機的下面的機器有影響,我們怎么突破范圍那,上面說了廣播可以,但是又是最不可行的方法,怎么辦?
放心,聰明人總會有辦法的,在這個時候傀儡機器的作用顯現出來了,用專業術語說下,從B機器發送源地址為網關MAC的數據包,它所經過的交換機都會被更改與網關ACM的對應關系。
也就是說傀儡機有多遠我們攻擊的交換機就有多遠,所以說選擇傀儡機所在網絡拓撲的位置很重要,他決定了我們攻擊交換機的范圍。如果我想讓全網掉線的話,我會選擇主干交換下面的機器做傀儡機器,是不是我很壞。
大家都看懂了吧,也可能會說這種攻擊很完美了,我反對,因為大家想,這種攻擊如只局限于ARP協議是很容易被封殺的,因為測試過程中這種攻擊很多ARP防火墻是不允許的,然后我只好在想辦法啦,大家又要動腦筋了。
我們在回到原理上,是數據包的那個部分對交換機ACM造成影響,是DLC鏈路層,在數據包中的頭十四個字節,這十四個字節包含了數據的源MAC地址6個字節,目的MAC地址6個字節 協議類型2個字節。
我們想一想還有什么數據包包含這十四個字節那,很多啦例如有TCP /UDP /ICMP等,我們馬上操刀開練,在B機器上發送源地址為C機器MAC的UDP數據包,發送到A機器,哈哈,TCP/ICMP等效果一樣,后來發現高興的太早了,彩影和巡路做的ARP防火墻還是會針對IP欺騙做過濾。
好像我可以睡覺了,又有人說了你搞了這么多原理就把我們搞迷糊了,你還讓我們做測試的時候先學下SNIFFER PRO怎么用,然后在填充幾十到上百字節的數據包嗎,到時候黃花菜都涼了。
【編輯推薦】
