基于ARP欺騙的網絡監聽技術研究

引言

當前局域網大部分屬于以太網，其主要連接方式主要是通過交換機進行連接。交換機在外型上類似于集線器，但在內部采用了電路交換的原理，將一個端口的輸入交換到另一指定的端口。交換式以太網彌補了共享式以太網（用集線器連接的網絡）的缺陷，但也從一定程度上增加了網絡監聽的難度。交換機在工作時維護著一張ARP的數據庫表，在這個庫中記錄著交換機每個端口綁定的MAC地址，當有數據包發送到交換機上時，交換機會將數據包的目的MAC地址與自己維護的數據庫內的端口對照，然后將數據包發送到相應的端口上。交換機與集線器最大的不同是通信數據包不再復制到其他所有端口，而是精確地發往目標機器所在的那個端口，所以，其它機器就無法監聽這種目的性較強的通信，當然也就無法實現數據包的抓取了。因此我們需要在交換式以太網中尋求一種簡單方便的監控部署軟件，以實現對現在廣泛存在的交換式以太網進行有效的監聽。

1　ARP協議及欺騙技術

1.1 ARP協議

IP數據包常通過以太網發送，以太網設備并不識別32位IP地址，它們是以48位以太網地址傳輸以太網數據包的。因此，IP 驅動器必須把IP目的地址轉換成以太網目的地址。在這兩種地址之間存在著某種靜態的或算法的映射，常常需要查看一張表。ARP地址解析協議 (Address Resolution Protocol)就是負責把網絡層的IP地址轉變成數據鏈路層的MAC地址，建立IP地址和MAC地址之間的一一映射。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

1.2 ARP欺騙技術

ARP 協議雖然是一個高效的數據鏈路層協議，但是作為一個局域網協議，它是建立在各主機之間相互信任的基礎上的，因此也存在一些安全問題。根據ARP 協議存在的這些安全問題，可以使用以下幾種手段來進行ARP欺騙：

(1) 攻擊者也就可以在接收到該ARP請求包之后進行應答，進行假冒。

(2) 由于被假冒的機器所發送的ARP應答包有可能比攻擊者的應答包晚到達，為了確保被攻擊者機器上的緩存中絕大部分時間存放的是攻擊者的MAC地址，可以在收到ARP請求廣播后稍微延遲一段時間再發送一遍ARP應答。

(3) 由于各種操作系統對于ARP緩存處理實現的不同，一些操作系統（例如Linux）會用向緩存地址發非廣播的ARP請求來要求更新緩存。在交換網絡環境下，別的機器是不能捕獲到這種緩存更新的，這就需要盡量阻止主機發送更新緩存消息。

ARP欺騙技術可以實現全交換環境下的數據監聽。因此，我們可以利用該技術對交換式以太網進行監控。

2　采用ARP欺騙技術捕獲交換式以太網數據

通過前面的敘述，我們知道，交換式以太網可以利用ARP欺騙技術進行監控。下面說明如何采用ARP欺騙技術捕獲交換式以太網數據。

2.1 ARP協議實現

在以太網上解析IP地址時，ARP請求和應答分組的格式如圖2所示

6 6 2 2 2 1 1 2 6 4 6 4

以太網報頭中的前兩個字段是以太網的目的地址和源地址。目的地址為全1的特殊地址是廣播地址。同一局域網上的所有以太網接口都要接收廣播數據幀。接著是以太網幀類型，2字節長，表示后面數據的類型。對于ARP請求或應答來說，該字段的值為0x0806。硬件類型字段表示硬件地址的類型。值為1即表示以太網地址。協議類型字段表示要映射的協議地址類型。值為0x0800即表示IP地址。硬件地址長度和協議地址長度分別指出硬件地址和協議地址的長度，以字節為單位。對于以太網上IP地址的ARP請求或應答來說，它們的值分別為6和4。操作字段指出操作類型，可以為ARP請求（值為1）、ARP應答（值為2）。其余的四個字段是發送端的硬件地址（以太網地址）、發送端的協議地址（IP地址）、目的端的硬件地址和目的端的協議地址。

對于ARP請求來說，除目的端硬件地址外的所有其它的字段都有填充值。當系統收到一份目的端為本機的ARP請求報文后，它就把硬件地址填進去，然后用兩個目的端地址分別替換兩個發送端地址，并把操作字段置為2，最后把它發送回去。