以太网 sniffer 原理
以太网环境下的嗅探本身是比较简单的,只要网卡能设置成混杂模式且有数据包到达网卡,则可用多种方法捕获数据包并进行各种协议分析。在LINUX下可用RAW套接字,SOCK_PACKET套接字, LIBPCAP函数包等方法捕获数据包。
在共享型以太网中,上述两个条件显然是满足的。所有的主机都连接到HUB,而HUB对数据包传输形式是广播。这意味着发给某个主机的数据包也会被其它所有主机的网卡所收到。因此在这样的环境中,任何设置成混杂模式的主机,都可以捕获发送给其它主机的数据包,从而窃听网络上的所有通信。
在交换型以太网中,上述条件2是不满足的。所有的主机连接到 SWITCH,SWITCH 比 HUB更聪明,它知道每台计算机的MAC地址信息和与之相连的特定端口,发给某个主机的数据包会被SWITCH从特定的端口送出,而不是象HUB那样,广播给网络上所有的机器。这种传输形式使交换型以太网的性能大大提高,同时还有一个附加的作用:使传统的嗅探器无法工作。
交换型网络环境嗅探的要解决的核心问题是: 如何使本不应到达的数据包到达本地。通常的方法有MAC洪水包和ARP欺骗。其中MAC洪水包是向交换机发送大量含有虚构 MAC 地址和 IP 地址的IP包,使交换机无法处理如此多的信息,致使交换机就进入了所谓的"打开失效"模式, 也就是开始了类似于集线器的工作方式, 向网络上所有的机器广播数据包。(具体实现请参阅Dsniff中的macof)。
ARP 欺骗原理
以太数据包格式
目的MAC地址 | 源MAC地址 | 类型 | 数据 |
6 | 6 | 2 | 46~1500 |
类型0800 :IP数据包
类型0806 :ARP数据包
ARP数据包格式 | |||||||||||
目的MAC地址 | 源MAC地址 | 08 06 | 硬件类型 | 协议类型 | 硬件地址长度 | 协议地址长度 | ARP 包类型 | 发送端MAC | 发送端IP地址 | 目的MAC地址 | 目的IP地址 |
6 | 6 | 2 | 2 | 2 | 1 | 1 | 2 | 6 | 4 | 6 | 4 |
以太网首部 | 26 字节的ARP请求应答 | ||||||||||
目的端MAC地址 源MAC地址 ARP包类型 发送端MAC地址 发送端IP地址 目的端MAC地址 目的端IP地址.
主机编号 | IP 地址 | MAC 地址 | 备注 |
A | 1.1.1 .1 | 01:01:01 | |
B | 2.2.2 .2 | 02:02:02 | |
C | 3.3.3 .3 | 03:03:03 | |
D | 4.4.4 .4 | 04:04:04 | 运行嗅探器 |
ARP协议原理
在以太网中传输的数据包是以太包,而以太包的寻址是依据其首部的物理地址(MAC地址)。仅仅知道某主机的逻辑地址(IP地址)并不能让内核发送一帧数据给此主机,内核必须知道目的主机的物理地址才能发送数据。ARP协议的作用就是在于把逻辑地址变换成物理地址,也既是把32bit的IP地址变换成48bit的以太地址。
每一个主机都有一个ARP高速缓存,此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。如果本机想与某台主机通信,则首先在ARP高速缓存中查找此台主机的IP和MAC信息,如果存在,则直接利用此MAC地址构造以太包;如果不存在,则向本网络上每一个主机广播一个ARP请求包,其意义是"如果你有此IP地址,请告诉我你的MAC地址",目的主机收到此请求包后,发送一个ARP响应包,本机收到此响应包后,把相关信息记录在ARP高速缓存中.
ARP 欺骗原理
假设B(2.2.2.2)要与A(1.1.1.1)通信,且B的ARP高速缓存中没有关于A的MAC信息,则B发出ARP请求包。
此时,B的ARP高速缓存中关于A的记录为(1.1.1.1 <-- --> 04:04:04),则B向A发IP包实际上是发到我的主机(4.4.4.4,04:04:04)。同理,如果我进一步欺骗A,让A的ARP高速缓存中关于B的记录为(2.2.2.2 <-- --> 04:04:04), 则A向B发IP包实际上也是发到我的主机(4.4.4.4,04:04:04)。最后,我让本机打开数据包转发,也既是充当路由器,则A,B之间能正常通信,但我能全部捕获到相关数据。
以上讨论的是欺骗两台主机,如果我能让局域网中每一台主机的ARP高速缓存中关于其它任意一个主机所对应的MAC地址都为我的MAC地址(04:04:04:04),则本局域网中所有数据包我都能捕获到!
