基于A(yíng)RP欺騙的網(wǎng)絡(luò )監聽(tīng)技術(shù)研究

由以上的分析可知，ARP數據包用C語(yǔ)言表示如下：

typedef struct _ARP_RHDR

{

UCHAR HardwareType[2];//數據類(lèi)型，以太網(wǎng)為OX0001

UCHAR ProtocolType[2];//協(xié)議類(lèi)型

UCHAR LengthOfHardware;//硬件地址長(cháng)度

UCHAR LengthOfProtocol;//協(xié)議地址長(cháng)度

UCHAR OpCode[2];//操作類(lèi)型

UCHAR SrcMAC[6];// 發(fā)送端以太網(wǎng)地址

UCHAR SrcIP[4];// 發(fā)送端IP地址

UCHAR DesMAC[6];// 接收端以太網(wǎng)地址

UCHAR DesIP[4];// 接收端IP地址

}

ARP_RHDR,*PARP_RHDR;

2.2利用ARP欺騙在交換網(wǎng)絡(luò )下捕包

由以上對 ARP 協(xié)議的分析和對其原理的介紹可知，利用 ARP 欺騙已經(jīng)可以使子網(wǎng)內的別的機器的網(wǎng)絡(luò )流量都會(huì )流到攻擊者機器來(lái)，為了使他們還能夠“正常”地使用網(wǎng)絡(luò )，攻擊者就必須將他們的數據包轉發(fā)到他們真正應該到達的主機去，這就需要進(jìn)行數據轉發(fā)，因此，要實(shí)現交換式以太網(wǎng)正常的網(wǎng)絡(luò )監控，就要使用ARP欺騙結合IP轉發(fā)的發(fā)式來(lái)進(jìn)行捕包，可以使用兩個(gè)線(xiàn)程：一個(gè)進(jìn)行數據包的獲取、分析和轉發(fā)，一個(gè)定時(shí)發(fā)送ARP應答包。

在網(wǎng)絡(luò )監控系統中，實(shí)現對 HTTP 訪(fǎng)問(wèn)則是基于目標地址的過(guò)濾，通過(guò)對 IP 首部的各個(gè)數據域的分析判斷 Destination IP Address 是否屬于規則庫中設定限制訪(fǎng)問(wèn)集合，如果是，系統可以采用一定的手段阻止用戶(hù)的繼續訪(fǎng)問(wèn)，采用的方法是切斷或關(guān)閉TCP連接。我們可以人為的構造一個(gè)FIN報文發(fā)送給用戶(hù)，從而關(guān)閉用戶(hù)與Web服務(wù)器間的TCP連接，禁止用戶(hù)對該URL地址的訪(fǎng)問(wèn)。Winpcap庫的核心函數pcap_sendpacket提供了繞過(guò)操作系統正常網(wǎng)絡(luò ) Socket編程而直接讀寫(xiě)網(wǎng)卡的能力,在完成該TCP連接的重要信息分析后,即可完成對其的強制中斷。在構造中斷TCP報文時(shí),需要將源、目的IP進(jìn)行交換,源、目的端口交換,然后將標志位置為RST,然后使用 pcap_sendpacket 直接將報文發(fā)送即可實(shí)現目的。核心實(shí)現函數:

Void SendData(PIP_RHDR IpData)

{

PTCP_RHDR ptcpheader=(PTCP_RHDR)IpData->Data;

int iRstFlag = ptcpheader->Flags 0x04;

if(iRstFlag = 0x04)

return;

……

SetMACToEther(MACADDR_SRC,EtherFrame,0);//源為發(fā)到本機的 mac

SetMACToEther(MACCADDR_GATEWAY,EtherFrame,1);//目標為默認網(wǎng)關(guān)的 mac

……

}

3 　軟件的實(shí)現和結論

基于ARP欺騙的網(wǎng)絡(luò )監聽(tīng)軟件采用了虛擬路由技術(shù)，以實(shí)現報文的收發(fā)。軟件經(jīng)過(guò)測試，基本上達到了預期的目的。這樣的系統，可以用來(lái)對現在正在使用的，用于各種功能的交換式以太網(wǎng)(如校園網(wǎng)、企業(yè)網(wǎng)等)進(jìn)行監聽(tīng)，從而解決在網(wǎng)絡(luò )管理上的諸多不便，進(jìn)而實(shí)現網(wǎng)絡(luò )管理的最終目標――資源的合理、充分利用和提供可靠的通信服務(wù)。