交換器CAM表連接埠轉寄攻擊–研究及實現

來源:互聯網
上載者:User

 

大家看到這個題目可能感覺有點奇怪,網路安全圈裡好像沒有人定義過這種名詞,起初我也不清楚該定義一個什麼樣的名詞,我只是根據攻擊的原裡定義這樣的名詞,如果那位有更好的建議為他來填上一個更響亮的名字,例如“熊貓燒香”等,天下皆知。

      這種攻擊方式不知有人研究過沒,我在網上沒有看到過,最近一段時間花費了點心思,把這種攻擊技術稍微鑽研了下,希望能對安全技術愛好者又提供一個奠基石,但不希望大家用他來做網路破壞,因為後果很嚴重,網管很生氣,因為他找不到攻擊源,對於防護這種攻擊目前沒有很好的解決辦法,所以大家三思而後行。

      廢話說了不少,進入正題。

      起初對於這種攻擊的發現是來源早期對ARP協議的學習與研究,在當時發現發送特定格式的ARP資料包會對網路造成一定影響,假如我是B機器,捕獲到C機器發向A的ARP返回包,在B機器上使用SNIFFER PRO 捕獲後,進行資料包重放,就是說B機器上發出了源MAC 為C機器的這樣的資料包,交換器時收到這樣連續不段的資料包時(發送的數量與攻擊的效果有很大關係)C機器突然就與網路中的其他機器失去聯絡,網路中的其他機器也訪問不到C機器,根據抓包發現C機器的資料包是能夠發送出去的,只是沒有收到回應包,問題出在那裡?。

     有想法的人肯定會想到資料包被交換器轉寄到B機器上來了,為了證實我們的想法,在B機器上抓包發現,有很多資料包是其他IP對C機器的回應包。很多人會不明白為什麼會這樣那。大家知道交換器和HUB的區別,交換器不對資料包進行廣播,他工作的模式是:A機器--->B機器的資料包 C機器是接收不到的,應為交換器內部有轉寄列表(CAM), AMC表的作用是建立MAC地址與連接埠的對應關係,一個連接埠可以和很多MAC地址建立對應關係,(在802.1x下好像只能建立一個),這看上去沒什麼問題,問題是出在CAM是即時動態更新的, 說到這裡在看上面的問題就清楚了,原本C機器發送資料包到A沒有問題,C機器的MAC在3口建立了臨時的對應關係,A機器收到後如果再與C機器進行通訊,交換器會把資料包直接轉向了3口,他們之間的資料連線就會成功。
在B機器捕獲到這個資料包時進行連續重放,剛才也說了是從B機器上發送源地址為C機器MAC的資料包,資料包通過交換器時會改變C機器MAC與3口的對應關係,交換器發現這個資料包的源MAC地址是從交換器的2口發送,所以會建立C機器的MAC 與2號連接埠建立CAM表的對應關係,A機器再發向C機器的資料包,全被交換器轉到2號連接埠B機器上面,所有就形成了C機器的斷網現象,大家現在應該明白了吧,上面是我自己的理解,可能有些地方解釋的有問題,希望大家提出。
      下面有人會說C機器也在不斷的發包,也會改變CAM表上C機器MAC與2號連接埠的對應關係,上面我也說過,這就要看B機器的重放資料包的數量了,經過我測試發現在B機器重放每秒500-1000個資料包的同時,C機器應經與機器不能通訊或通訊非常非常的慢,有意思的是在C機器上能PING 的通其他機器,這讓C機器挺鬱悶吧,而且C機器收不到任何攻擊資料包,應為是C對應A機器的資料包,沒有進行廣播,如資料包的數量在1萬左右,C機器收不到任何資訊。
      你又會說為什麼不進行資料包廣播那,應為資料包進行廣播的話,對交換器影響很大,會對其他機器造成影響,而且容易讓別人發現這種資料包,(雖然他不查看交換器MAC表是找不到你,但是就怕他看^_^),如果你網路很大,廣播對你自己利用說也會造成影響,所以我們要把資料包做成定向發送,找個傀儡機嘍,在上面A就是我們的傀儡機了,假如還有D機器的話,在D機器上抓包是發現不了這種攻擊的,是不是很可怕,下面還有更可怕的那,大家又要開動腦筋了,既然可以對單台機器發動攻擊,也可以對網關發動攻擊,對網關發送攻擊會出現什麼後果那,就是大家都不能和網關進行通訊,網路全部斷掉(包括你自己),前提只需在B機器上發送源地址為網關的資料包。我們已經說了廣播包是最不可取的,那我們就要找個傀儡機器,還找機器A嗎,不行啦,因為是定向包B機器和A機器在同一交換器上面,所能更改的也只是這台交換器的CAM表,也只是對這個交換器的下面的機器有影響,我們怎麼突破範圍那,上面說了廣播可以,但是又是最不可行的方法,怎麼辦?,放心,聰明人總會有辦法的,在這個時候傀儡機器的作用顯現出來了,用專業術語說下,從B機器發送源地址為網關MAC的資料包,它所經過的交換器都會被更改與網關CAM的對應關係,也就是說傀儡機有多遠我們攻擊的交換器就有多遠,所以說選擇傀儡機所在網路拓撲的位置很重要,他決定了我們攻擊交換器的範圍。如果我想讓全網掉線的話,我會選擇主幹交換下面的機器做傀儡機器,是不是我很壞。
      
      大家都看懂了吧,也可能會說這種攻擊很完美了,我反對,因為大家想,這種攻擊如只局限於ARP協議是很容易被封殺的,因為測試過程中這種攻擊很多ARP防火牆是不允許的,然後我只好在想辦法啦,大家又要動腦筋了。
       聰明的姐妹們很快想出來了吧(我是男同胞)。
       我們在回到原理上,是資料包的那個部分對交換器CAM造成影響,是DLC鏈路層,在資料包中的頭十四個位元組,這十四個位元組包含了資料的源MAC地址6個位元組,目的MAC地址6個位元組 協議類型2個位元組。我們想一想還有什麼資料包包含這十四個位元組那,很多啦例如有TCP /UDP /ICMP等,我們馬上操刀開練,在B機器上發送源地址為C機器MAC的UDP資料包,發送到A機器,哈哈,TCP/ICMP等效果一樣,後來發現高興的太早了,彩影和巡路做的ARP防火牆還是會針對IP欺騙做過濾,我痛苦啊,我鬱悶啊,我絕望啊,我撓頭啊,我撓……,哈哈撓出辦法來了,終於想出辦法突破ARP防火牆了,(臭雞蛋 ,別買關子了,兄弟們很辛苦啊放假晚上還要加班到1點中給大家寫東西 )從原理上看他們是用NDIS技術做了TCP/IP協議的過濾,我們來試下IPX 協議還有其他的協議只要帶頭十四個位元組就OK ,馬上操刀…………過程省略,結果很完美,完全突破了防火牆的限制,而且可以達到我們的預期效果。
      好像我可以睡覺了,(又一個臭雞蛋扔上來了 ),又有人說了你搞了這麼多原理就把我們搞迷糊了,你還讓我們做測試的時候先學下SNIFFER PRO怎麼用,然後在填充幾十到上百位元組的資料包嗎,到時候黃花菜都涼了。(看來又睡不成了,明天還要趕火車回北京,可憐 )
      我只好再想想辦法了,我又想既然大家都知道了是利用頭十四個位元組,協議類型隨便,可以隨便填,搞些不存在的協議類型,把防火牆的作者搞毛了,看看讓他怎麼來定義過濾,怎麼實現那,我們這樣設想,發送一個資料包只要可以改動頭十四個位元組,其他全部填充為0 ,這樣利用SNIFFER PRO編輯方便多了吧,但是我好人做到底吧,由於本人編程技術起步晚技術不佳,在網上下了個TCP SYN的資料包,做了些改動來完成我們的目的,讓它只發送資料包大小為54,頭14位元組可以隨便改動,其他為0的小工具,我沒有限制發送數量,最大能力發,我粗略計算每秒1萬多吧,大家用起來還是小心為好。

     我提供了小工具的,是為了方面不會用SNIFFER PRO的人用來做測試,堅決鄙視用來搞網路破壞的恐怖分子(因為你攻擊我,我也沒有很好的辦法找到真正的攻擊源頭),希望大家一起發揮自己的想象,找到完美的解決方案,為我們安全愛好者增光添彩。
   
     : http://211.154.169.179/antiswitch.rar
        解壓密碼:antis   
        伺服器經常不太穩定,如有需求可以對我發送郵件索取
      郵箱:zhihui13@gmail.com

                                                       作者:馮智慧
               如有轉帖請註明源作者,如用以上技術與工具做網路破壞造成後果與本人無關。

 
該帖包含附件:http://dl2.csdn.net/down4/20080416/16134504160.rar
 

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.