协议全面实战手册详解、攻击与防御

1章ARP协议基ARP ARPARPARP缓存表工具——arp命ARPARPARPARPGratuitousARP（ARPARP2章ARPARP和ARP的原ARP的原ARP的原实施ARP原ARP工使用Arpspoof实施ARPARP网 3章ARP防主机ARPArpspoof防御ARPArpoison防ARP防御360流量之ARP防护功能分查找进行 或ARP的主第1 ARP协议基ARPIPMAC地址。在学习将介绍ARP协议的基础。学习必需工具Wireshark是一个网络封包。使用该工具，可以捕获局域网中其它计算机通信的数据包。为了验证ARPWireshark捕获数据包，并进行详细分析。本节将介绍Wireshark工具的安装及使用。Wireshark的安直接与网卡进行数据报文交换。该工具支持Windows和Linux操作系统。下面将介绍Wireshark的安装。 Wireshark的源码包，其包名为wireshark-1.10.7.tar.bz2[root@localhost~]#tarjxvfwireshark-1.10.7.tar.bz2-C 中[root@localhost~]#cd/usr/wireshark-1.10.7/Wireshark[root@localhost~]#cd/usr/wireshark-1.10.7/ [root@localhostwireshark-1.10.7]#make 以上过程成功执行完后，表示Wireshark已成功安装【实例1-2】启动Wireshark。具体操作步骤[root@localhost~]# 1.1该界面提示使用root用户运行Wireshark工具，可能是的。在该界面可以直thismessageagain前面的复选框勾上。1.2WiresharkInterfaceList1.3所示的界面。或者Start命令下的方框中选择接口，然后单击Start命令。1.31.4eth0接口上传输的数据。Wireshark以列的形式显示了捕设置过滤如果使用Wireshark捕获数据包时，默认捕获所有协议的数据包。如果接收到的数据包过多时，想要查看自己想看的数据包，可能非常。幸运的是，Wireshark工具可以通过创建过滤器的方式，实现数据滤。下面将介绍Wireshark工具的过滤器使用规则。捕捉过滤ProtocolDirectionHost(s)ValueLogicalOperationsOther 该选项可使用的值有：src、dst、srcanddst、srcordst。Host（s）host关键字。可能使用的值net、port、host、portrange。（1）在Wireshark主界面的中依次选择Capture|Options命令，将显示如图1.5在该界面CaptureFilter对应的文本框中添加过滤条件，然后单击Start按钮，将开始捕tcpdstport 1.6意：当使用关键字作为值时，需使用反斜杠“\etherprotoip（ip相同）IPipmulticastbroadcast关键字。当用户想排除广播请求时，nobroadcast就非常有用。1.5Wireshark默认定义好的捕捉过滤器。如果用户指定的捕捉过滤器不存在的话，可以手动添加。在Wireshark中依次单击Capture|CaptureFilters命令，将显示如图1.7所示的界面。1.7Capturenew1.7所示。此时用户可显示过滤ProtocolString1String2ComparisonoperatorValueLogicalOperationsOther 到所有可用的协议，如图1.8所示。1.8Wireshark或者在中依次单击Internals|SupportedProtocols命令，将显示如图1.9所示的1.9其子类，如图1.10所示。1.101-1><1-2!的Filter文本框中输入，如图1.11所示。1.11色则呈粉红色，如图1.12所示。1.12IP：ip.srcaddrorip.srcaddreqIP：ip.dstaddrorip.dstaddreq端口过显示来源或目标端口。tcp.porteq过滤端口范围。tcp.port>=1andtcp.port<=80协议过udp、arp、icmp、http、smtp、ftp、dns、msnms、ip、ssl等排除ssl包。!ssl或者notssl包长度过frame.len==119：表示整个数据包长度，从eth开始到最httphttp.request.method=="GET"&&httpcontains"Host:"http.request.method=="GET"&&httpcontainshttp.request.method=="GET"&&httpcontains"Host:"http.request.method=="GET"&&httpcontains"User-Agent:"指定POST包。如下所http.request.method=="POST"&&httpcontains"Host:"http.request.methodhttp.request.method=="POST"&&httpcontains"Host:"http.request.method=="POST"&&httpcontains"User-Agent:"httphttpcontains"HTTP/1.1200OK"&&httpcontains"Content-Type:"httpcontains"HTTP/1.0200OK"&&httpcontains"Content-连接tcpand !(arp.src==)and!(to_ipv4==43) 下面将介绍显示过滤器的自定义方法。在Wireshark的中依次单击yze|DisplayFilters1.13所示的界面。1.13DisplayARP议必备的基础知识，如ARP、地址广播。本节将介绍ARP协议基础知识。 ARPIP数据包时，需要先封装第三层标IP地址，不知道其MAC地址，而又不能第二、三层，所以需要使用地址解析已知的IP地址解析成MAC地址，以便主机间能正常进行通信。1.14ARP1.14所示，假PC1发送数据给主机PC2时，需PC2MAC地址。道也不可能全部记录下来。所以，当PC1PC2之前就要询问PC2的IP地址所对应的MAC地址是什么？这时就需要通过ARP请求广播实现。IP地址是否IP地址，如果是，则继续处理数据包中承载的数据；如果不是，则丢弃数据。交换机会转发MAC地址广播，而路由器会限制MAC地址广播。IP地址是IP协议提供的一种的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来物理地址的差异。IP网段的最后一个地址为广播地址，即主机部分全部为1.在数据帧中，目的MAC地址是FF-FF-FF-FF-FF-FF，目的IP地址是IP网段的广播地址。同样路由器会限制IP地址广播。MACARP地址解析协议实现的。所以，ARPIP地址获取物理地址的一个TCP/IP协议。本节将介绍ARP工作流程和ARP1.151.15PC1IP地址；主机PC2IP地址。当主PC1和主PC2PC2IP地址（）PC2的MAC地址，工作流程如图1.15所示。1.15ARP机PC2匹配的MAC地址。ARPPC1IP地址址和MAC地址添加到本地缓存表。地址添加的自己的ARPARP缓存表的有效期是主机PC1将能向主机PC2发送IP通信了。【实例1-4】用抓包的方式验证ARP工作流双方的ARP缓存中不会有彼此的IP地址和MAC地址的。图 验证ARP工作流本例中使用的主机A和主机B分别指的是Kali和Windows7。具体实验步骤如下所示root@kali:~# Link HWaddrinetaddr: UPBROADCASTRUNNINGMULTICAST MTU:1500 RXpackets:4308errors:0dropped:0overruns:0frame:0TXpackets:152errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:1000RXbytes:279300(272.7KiB)TXbytes:12790(12.4从输出的信息中可以看到主机A的IP地址和MAC地址分别为描述........... :RealtekPCIeGBEFamily物理地址........... DHCP已启用........ :否IPv4地 子网掩码........ :默认网关......... :DNS服务器....... :从输出的信息中可以看到主机AIP地址和MAC地址分别为、A的ARProot@kali:~#arp-执行以上命令后，没有输出任何信息。表示该系统中没有任何ARP条目ARP从输出的信息中，可以看到本机中没有任何ARP条目图 ARP工作原理验获取到MAC地址和正常通信的过程。AB的ARPARP条目。如下所示：查看主机A的ARP缓存表。执行命令如下所示：root@kali:~#arp-a?()at00-19-21-3f-c3-e5[ether]on接口Internet地 物理地 类ff-ff-ff-ff-ff-从输出的信息中，可以看到主机中包含了对方的ARP第3个数据帧表示主机A向主机B发送的ARP请求广播。该包的源地址为Wireshark的中间窗口，如图1.18所示。1.183ARP请求，该内容中可以看到数据帧中包括硬件类型、协议类型、发送方的源MAC地址和IP地址、目标主机的MAC地址（00:00:00:00:00:00）IP地址。图 ARP响应请1.8ARP（replay）MAC地址、IPMACA和主机B通信时，就不再需要ARP广播，使用单播的方式进行通信。第5-12的数据帧表示主机A与主机B互相发送了4个数据包。命令使发送请求。第6个数据帧中，主机B（）响应主机A（）的请求。它们之间传输的信息信息如图1.10和图1.11所示。图 求图 应强制ARPARP广播。如果不想与其它主机通信，可以通过执行arp-a命令产生ARP广播包。-root@kali:~#arp-localhost()at00:0c:29:56:bd:21[ether]oneth0localhost()at00:0c:29:31:02:17[ether]oneth0router.router)atc8:3a:35:84:78:1e[ether]oneth0输出信息显示了当前系统的ARP缓存表。图 ARP广应包。每执行一次，会输出两个数据包。分别是ARP请求包和ARP响应包。议报文被封装在以太网帧头部中传输，如表1-1所示。1-1ARPMAC地址（全MACMAC接下来是ARP协议报文部分其中各个字段的含义如下：硬件地址长度：MAC地址长度，此处为6个字节。MAC地址：发送端MAC目标MAC地址：目标端MAC地址。MAC1ARP协议应答数据包，目标MAC地址字段被填充为目标MAC地址。图 ARP广播报图 第21个数据在该界面可以看到这个帧的一些基本信息。如帧的为21（捕获时的）、帧的大小为60个字节，帧获的日期和时间、帧距离前一个帧的捕获时间差、帧距离第一个帧的捕获时间差、帧装载的协议为ARP等。1.15ff:ff:ff:ff:ff:ffMAC地址是一个广播地址，就是局域网中的所有计算机都会型是0x0806，这个是ARP协议的类型。Padding是协议中填充的数据，为了保证帧最少有64字节。图 ARP请求从该界面可以看到第三行信息为AddressResolutionProtocol（地址解析协议请求包）。硬件大小：6个字节发送方IP地址：图 ARP响应报相同。下面主要分析后两行信息，展开第二行信息，显示结果如图1.18所示。图 开第三行信息，将显示如图1.19所示的界面。图 ARP响应从该界面可以看到第三行信息为AddressResolutionProtocol（地址解析协议响应包）。硬件大小：6个字节发送方IP地址：目的IP地址：。ARP缓存中包含一个或多个表，它们用于IP地址及其经过解析的MAC地址。在ARPARPARP缓存表的由来、构成及ARP呢？所以，这里就有了ARP缓存表。ARP缓存表工具——arp命在计算机中，提供了一ARP命令。该命令用于查询本ARP缓存中IP地址MACarp[-sinet_addreth_addr[if_addr]][-dinet_addr[if_addr]][-a[inet_addr][-Nif_addr]][-g]-sinet_addreth_addrif_addr]：向ARPIPinet_addr解析成物理数，此处的if_addr代表指派给该接口的IP地址。删除所有条目，使用星号（*）通配符代替inet_addr。inet_addrARP缓存表，将-Nif_addr与-g：与-a-v：查看帮助信息在以前的Windows系列系统中，都可以直接arp-s命令绑定IPMAC但是在Windows7下，如果不是以管理员运行时会提示：“ARP项添加失败：请求的操作需要提示”。但是有时候就算以管理员运行也会提示错误信息“ARP项添加失败：。”这时候就需要使用Netsh命令了。令，从而扩展了Netsh的功能。每个“NetshDLL”都为特定的网络组件提供netsh[-aAliasFile][-cContext][-rRemoteMachine][Command][-f-aAliasFileNetsh命令列表和一个别名版本，netsh命令。可以使用别名文件将其他平台中更熟悉令到适当的netsh命令。使用netsh绑定IPMAC地址。具体操作如下所示： 状 名1Loopbacknterface1（Idx arp-a查看绑定的ARP条目。执行命令如下所示接口Internet00-23-8b-c4-05-ARP缓存表的ARPIPMACARP条目就组ARP缓存记接口Internetc8-3a-35-84-78-01-00-5e-00-00-01-00-5e-00-00-01-00-5e-00-00-01-00-5e-7f-ff-ARP记 -a命令查看。如下所接口Internet00-aa-00-62-c6-c8-3a-35-84-78-01-00-5e-00-00-01-00-5e-00-00-01-00-5e-00-00-01-00-5e-7f-ff-第一行，而且手动添加的ARP条目类型为静态。ARP记 或 ARPARParp命令Windows和LinuxARP缓存条目的方法有点区别Linux在Linux下，如果不指定接口时，将会提示“arp:needhostname”信息。ARP缓存记录为使广播量最小，ARPIP地址到MAC地址的缓存以便将来使用。根据缓存的有效期时间，ARP缓存中包含动态和静态条目。这里首先介绍下如何区分ARP缓存表中查看Windows下的标记方接口Internet接口Internetc8-3a-35-84-78-01-00-5e-00-00-01-00-5e-00-00-01-00-5e-00-00-01-00-5e-00-00-01-00-5e-00-00-01-00-5e-7f-ff-ARPIP地址——MAC地址的对应表。其中，类型列的“动态”表示使用ARP请求广播动态获取到的条目，“静态”表示是手工配置和的ARP表。查看Linux下的标记方种方法，可以查看ARP缓存表。FlagsC输出信息显示了本机的ARP缓存表。该缓存表中有一条动态ARP缓存条目。使用arp-s将该条目绑定为静态ARP条目。执行命令如下所示：root@kali:~#arp-s FlagsFlags的ARP条目中，FlagsMask为CM第二种方法：arparoot@kali:~#root@kali:~#arp-router.router()atc8:3a:35:84:78:1e[ether]onroot@kali:~#arp-sroot@kali:~#arp-s-命令再次查看ARP缓存表。如下所root@kali:~#root@kali:~#arp-router.router()atc8:3a:35:84:78:1e[ether]PERMonARP在未绑定ARP条目前，查看/proc/net/arp文件。如下所示root@kali:~#catIPHWHW*输出信息显示了本机的ARP缓存表。该缓存表中有一条动态ARP缓存条目。绑定ARP条目。执行命令如下所示：root@kali:~#root@kali:~#arp-sroot@kali:~#root@kali:~#catIPaddress HWtype HW 定之前为0x0。ARP动态条目的ARP缓存条目默认的生命周期是两分钟。当超过两分钟，该条目会被删延长规则：当ARPNoARPEntriessandingwith32bytesofReplyfrom:bytes=32time<1msTTL=64Replyfrom:bytes=32time<1msTTL=64Replyfrom:bytes=32time<1msReplyfrom:bytes=32time<1ms输出的信息表示本节中没有任何ARP（2）在本机上执 命令，通过ARP请求广播获取动态ARP条目。如下所示statisticsstatisticsforPackets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum= um=0ms,Average=Interface:---InternetAddress PhysicalAddress NoARPEntries从输出信息中，可以确定前面的动态ARP条目已被删1-13NoARPEntriessanding00with32bytesof00-Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64Replyfrom00:bytes=32time<1msTTL=64输出的信息表示本节中没有任何ARP（2）在本机上执 （3）查看ARPInterface:---InternetAddress PhysicalAddress WiresharkARP1.201.209ARP广播请求包。这包中，没有出现过这样的广播包。这说明在该过程中，主机中的ARP条目没有发送变化。ARP静态条目的静态条目一直保留在ARP缓存中，意思是生效。但不同的操作系统中，静态条目的保存方式是不同的。例如，在WindowsXP系统中，重新启动计算机后该条目失效。而在sandSettings\Administrator>arpsandSettings\Administrator>arp-s00-19-21-3f-c3- Interface:---Internet Physical 00-19-21-3f-c3- NoARPEntries sandSettings\Administrator>arp-s50-e5-49-eb-46- Interface:---InternetAddress PhysicalAddress Interface:---InternetAddress PhysicalAddress 50-e5-49-eb-46- 静态root@kali:~#root@kali:~#arp-localhost()at00:0c:29:56:bd:21[ether]on输出的信息，表示本机中有一条动态ARP缓存条目IP地址与MACroot@kali:~#arp-s root@kali:~#root@