明辉站/杀毒教程/内容

使用ARP探测以太网中的活动主机

杀毒教程2023-07-07 阅读
[摘要]网上存在很多关于ARP的文章, 大多都是关于ARP欺骗, 这里介绍ARP的另类用法:探测目标主机是否处于活动状态。   传统探测远程主机是否存活的方法是通过ICMP协议中的回显应答报文来探测(ping)。 随着对安全的越来越多的了解和重视, 很多主机为了避免被扫描器探测, 通过防火墙将ICMP...

网上存在很多关于ARP的文章, 大多都是关于ARP欺骗, 这里介绍ARP的另类用法:探测目标主机是否处于活动状态。

  传统探测远程主机是否存活的方法是通过ICMP协议中的回显应答报文来探测(ping)。 随着对安全的越来越多的了解和重视, 很多主机为了避免被扫描器探测, 通过防火墙将ICMP包屏蔽, 从而达到在网络中隐藏的目的。

  这里我们介绍一下利用ARP协议探测网络中的活动主机的思路, 这种方法的缺点只能探测以太网内的活动主机。

  先大概了解一下ARP协议。 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写, 它的作用是将IP地址转换成物理地址(就是常说的MAC地址), 其详细过程参考《TCP/IP详解 卷一》。 协议ARP的分组格式如下:

  ------------------------------------------

  以太网目的地址(6个字节)

  以太网源地址(6个字节)

  帧类型(ARP = 0806)(2个字节)

  ------------------------------------------

  硬件类型(Ethernet=01)(2个字节)

  协议类型(IPv4=0800)(2个字节)

  硬件地址长度(1个字节)

  协议地址长度(1个字节)

  OP操作选项(ARP request=01,ARP reply=02)(2个字节)

  发送端以太网地址(6个字节)

  发送端IP地址(4个字节)

  目的以太网地址(6个字节)

  目的IP地址(4个字节)

  --------------------------------------------

  我们向目标主机发送一个ARP请求, 如果目标主机处于活动状态则会返回其MAC地址, 如果对方返回MAC地址, 则表明对方处于活动状态, 这样达到探测目的。 ARP请求包内容如下:

  ------------------------------------------

  以太网目的地址  FFFFFFFFFFFF(广播地址)

  以太网源地址   本地MAC地址

  帧类型       0806

  ------------------------------------------

  硬件类型     01

  协议类型     0800

  硬件地址长度   06

  协议地址长度   04

  OP操作选项    01

  发送端以太网地址 本地MAC地址

  发送端IP地址   目标主机IP地址

  目的以太网地址  000000000000

  目的IP地址    目标主机IP地址

  --------------------------------------------

  注意:这里以太网目的地址为FFFFFFFFFFFF, 这是广播地址, 以太网上所有主机都能收到这个包, 在收到这个数据包后, 操作系统判断目的IP地址是不是这台主机, 如果不是则丢弃(不作处理), 否则发送回一个ARP应答包, 包的内容如下:

  ------------------------------------------

  以太网目的地址  探测主机的MAC地址

  以太网源地址   本地MAC地址  (这里本地指被探测主机)

  帧类型       0806

  ------------------------------------------

  硬件类型     01

  协议类型     0800

  硬件地址长度   06

  协议地址长度   04

  OP操作选项    02

  发送端以太网地址 本地MAC地址  (这里本地指被探测主机)

  发送端IP地址   本机IP地址  (这里本地指被探测主机)

  目的以太网地址  探测主机的MAC地址

  目的IP地址    探测主机的IP地址

  --------------------------------------------

  我们可以使用Pcap自己来构造这个数据包(具体过程参考Pcap的相关文档, 这里我们使用SendARP()来实现),SendARP()是Microsoft Platform SDK中提供用来获得目标主机的MAC地址的函数, SendARPSendARP的函数原型如下:

  DWORD SendARP(

  IPAddr DestIP,   // 目标IP地址

  IPAddr SrcIP,   // 源IP地址

  PULONG pMacAddr,  // 返回MAC地址指针

  PULONG PhyAddrLen // 返回MAC地址长度

  );

  下面这个例子摘至MSND, 稍做改动可以成为一个以太网内活动主机探测工具

  //

  // Link with ws2_32.lib and iphlpapi.lib

  //

  #include

  #include

  #include

  #include

  int __cdecl main()

  {

  HRESULT hr;

  IPAddr ipAddr;

  ULONG  pulMac[2];

  ULONG  ulLen;

  ipAddr = inet_addr ("192.168.0.1");

  memset (pulMac, 0xff, sizeof (pulMac));

  ulLen = 6;

  hr = SendARP (ipAddr, 0, pulMac, &ulLen);

  printf ("Return %08x, length %8d\n", hr, ulLen);

  size_t i, j;

  char * szMac = new char[ulLen*3];

  PBYTE pbHexMac = (PBYTE) pulMac;

  //

  // Convert the binary MAC address into human-readable

  //

  for (i = 0, j = 0; i < ulLen - 1; ++i) {

  j += sprintf (szMac + j, "%02X:", pbHexMac[i]);

  }

  sprintf (szMac + j, "%02X", pbHexMac[i]);

  printf ("MAC address %s\n", szMac);

  delete [] szMac;

  return 0;


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

……

相关阅读