ARP & ICMP

对于旁观者来说，事物的缺点和优点往往是同时存在的。我很兴奋可以向你们显示两

个正规的协议――arp和icmp，当你用一些非凡的方法使用它们的时候，却得到意想不到的结果。

相对于被动攻击（网络监听sniffing）来说，主动攻击使用的并不普遍――许多治理

员都拥有一个网络监听工具，帮助他们治理局域网。在你的LAN中，主动攻击将会给你的生活添

加光彩和乐趣。你知道，仅仅是一些技术细节使得这些角落有些昏暗不明。那么，我们去看看

那里究竟有些是什么。

我们首先描述一下网络欺骗（spoofing）和拒绝服务（DoS-deny of service）。象IP

盲攻击一样，网络攻击经常非常普通并且功能强大，但是对使用者来说，需要做大量的工作（常

常是猜），而且难于实行。但是ARP欺骗正好相反，它非常轻易使用且方便。

一、ARP欺骗

ARP欺骗往往应用于一个内部网络，我们可以用它来扩大一个已经存在的网络安全漏洞。

假如你可以入侵一个子网内的机器，其它的机器安全也将受到ARP欺骗的威胁。

让我们考虑一下的网络结构

IP 10.0.0.1 10.0.0.2 10.0.0.3 10.0.0.4

hostname cat rat dog bat

hw addr AA:AA BB:BB CC:CC DD:DD

所有的主机在以太网中以简单的方式进行连接（没有交换机，智能HUB）。你是cat，你

具有root权限，你的目标是侵入dog。而你知道dog信任rat，所以假如你能伪装成rat，那么你就

能获得一些意外的东西。

也许你首先想到的是，“为什么我不把我的IP设成rat的，然后...”，这种方式无法工

作，无法可靠的工作。假如你将cat的IP设置成10.0.0.2，那么cat将以这个IP回答ARP请求。但

是rat也会的。这样你们就进入了一个纯粹的竞争状态，而这场比赛没有赢家。相反的，你会轻

易的输掉这场比赛，因为许多工具会立即发现这种IP冲突的现象，抱怨之声随之而来。一些网络

交通分析工具还经常对它进行纪录。在网络治理员的日志文件中还会保留一条恶心的纪录（cat

的物理地址），这可不是你想要的。你的不到你想要的东西，并且与你的目标背道而驰。

这个东西是你想要的，一个攻击程序――send_arp.c，一个非常有效的工具。正如它的

名字所示，它发送一个ARP包（ARP回答，准确的说：由于这个协议是无状态的，即使在没有请求

的时候也可以做出应答。请求同应答是一样的。）向网络上，你可以把这个包做成你想要的样子。

而你想要的只不过是可以去定制源IP与目的IP，还有硬件地址。

当你进行ARP欺骗的时候，你不希望你的网卡乱说话，那么你可以用“ifconfig eth0 -arp”

关掉你的ARP协议。当然，无论如何你都需要ARP的信息，手动的构建它并使它发向内核。重要的

事你要获得你四周人们的信任。在这个例子中，你希望dog认为rat的硬件地址是AA:AA（cat），

所以你发送一个ARP应答，它的源地址是10.0.0.2,源硬件地址是AA:AA,目标地址是10.0.0.3和目

标硬件地址是CC:CC。现在，dog完全相信rat的硬件地址是AA:AA。当然dog中缓存会过期，所以它

需要更新（重新发送请求）。多长时间发出请求，各个操作系统不同，但是大多来说是40秒钟左

右。经常发送ARP应答，这对你来说不会有坏处的。

对于ARP缓存处理方法的不同会带来问题的复杂性。一些操作系统（例如Linux）会用向

缓存地址发非广播的ARP请求来要求更新缓存（就象你妻子打电话来看你在不在一样）。这种缓

存更新会给你增加麻烦，会使你刚刚伪造的ARP缓存被更改掉，所以必须避免此事发生。经常的

向dog发出应答数据，这样它就不会发出请求。正是预防为主。对于rat来说，它根本就没有机会

来改变这一切。

所以过程是简单的。首先来设置网络接口别名（ifconfig eth0:1 10.0.0.2），添加rat

的IP地址并且打开ARP协议（ifconfig eth0 arp）――你需要设置你的ARP缓存，当没有ARP时，

它不会工作。然后在正确的网络接口上设置到dog的路由。再设置dog的ARP缓存。最后，关掉网络

接口的ARP功能。这样一切就OK了。

现在，当你用send_arp将毒液注入之后（dog和rat），那么，dog就会认为，你就是rat。

一定要记住，要持续不断的向dog和rat发出ARP包。

这种攻击方式就仅仅工作在局域网内（通常的，ARP包是不会路由的）。一个有趣的尝试

是，把我们上述试验中dog替换成路由器，假如可以实现的话（我不确定它是否会永远成立，路由

器的ARP功能不是那么轻易欺骗的），你可以轻易的冒充这个局域网内的机器去欺骗这个Internet

世界了。所以目标可以是任何一台机器，但是你要伪装的机器，必须是这个局域网内的。

除了欺骗以外，你还可以用ARP作很多事。蓝天之下，皆可任你遨游。或者，DoS也是一个

非常有用的程序。

给rat一个错误的硬件地址，是一个非常有效的让它闭嘴的方法。你可以避免它向一些特

殊的机器发出请求（一个ARP缓冲池通常可以容括整个网络的内容，所以你可以在一段时间内有效

的防止它向其它机器发出请求）。非常明显目标也可以是一台路由器。干扰缓存需要两步：搅乱被

伪装的机器和你不希望它与之通讯的机器。这种方法不是经常奏效，当这台机器发现缓存中没有目

标机器时，会主动发出ARP请求。当然你的下一滴毒液会迅速注入，但是你需要经常维持这种状态。

一个比较有效的方法是，给rat一个错误的dog硬件地址，这样rat既能保持正常的工作状态，又不

会干扰你的活动。同样的，这种方法也依靠于不同的环境，通常的情况是rat会经常的向错误的目

标发出各种不同的包，目标会返回ICMP不可抵达信息，从而用一种不正当的方式维持了连接。这种

伪装的连接可以推迟缓存的更新时间。在Linux上，我们可以是更新时间从1分钟提升到10分钟。在

这一段时间内，你已经可以完成一个TCP连接可以完成的大多数事情了。

这里存在一个有趣被称为“无理ARP”。在这个ARP请求包中，源IP与目的IP是相同的，通

常它是经过以太网广播进行发送。一些执行程序认为这是一种非凡情况――系统发出的自身更新信

息，并且将这个请求添加在自己的缓存中。这种方式里，影响的是整个网络。这是毋庸置疑的，但

这并不是ARP协议的一部分，而是由执行者决定是否作（或是不作），这渐渐的变得不受人欢迎。

ARP也可以用来开一些非常专业的笑话。假想一下某人设置了一个中继器或者是一个管道，

仅仅是利用自己的机器去骗取两台相邻机器的信任，并且把通讯的包都发给这台机器。假如这台机

器仅仅是转发数据，那么谁也不会发现。但是当它仅仅作一些很少的改动时，就会给你添加非常大

的麻烦。例如，随机的更改数据包中的几位，这样就会造成校验和错误。数据流似乎是毫发无损，

却会毫无原因的出现不可预料的错误。

二、ICMP重定向

另外一个比较有效的并且类似与ARP欺骗的手段是利用另外一个正常的协议――ICMP重

定向。这种重定向通常是由你的默认路由器发来的，通告你有一个到达某一网络的更近的路由。

最初，既可以通告网络重定向，也可以通告主机的重定向，但是现在，由于网络重定向被否决，

仅剩下了主机重定向。正确的制作一个经过完整检查的ICMP包（必须由默认路由器发来，发向重

定向机器，新的路由应该是一个网络的直接连接等等），接收者会对系统的路由表进行更新。

这是ICMP的安全问题。伪装一个路由器的IP地址是简单的，icmp_redir.c正是作的这个

工作。RFC声明系统必须遵循这个重定向，除非你是路由器。实际上几乎所有的系统都支持这一

点（除了vanilla Linux 2.0.30）。

ICMP重定向提供了一个非常有力的DoS工具。不像ARP缓存更新，路由表不存在的过期问

题。并且不需要在本地网络，你可以发起攻击从任何地方。所以当目标接受了ICMP重定向之后（

包确切抵达），目标就不会再和网络上的一些机器进行通讯（是的，并不是所有的机器，但是一

些与目标机器不在同一个网络上的机器）。域名服务器会是一个非常好的攻击目标。

/* send_arp.c

这个程序发送ARP包，由使用者提供源/目的IP和网卡地址。编译并运行在Linux环境下，

也可以运行在其它的有SOCK_PACKET的Unix系统上。

这个程序是对上述理论的验证，仅此而已。

*/

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

#define ETH_HW_ADDR_LEN 6

#define IP_ADDR_LEN 4

#define ARP_FRAME_TYPE 0x0806

#define ETHER_HW_TYPE 1

#define IP_PROTO_TYPE 0x0800

#define OP_ARP_REQUEST 2

#define DEFAULT_DEVICE "eth0"

char usag