一.MAC地址欺骗的原理和实战介绍
一、原理:
在开始之前我们先简单了解一下交换机转发过程:交换机的一个端口收到一个数据帧时,首先检查改数据帧的目的MAC地址在MAC地址表(CAM)对应的端口,如果目的端口与源端口不为同一个端口,则把帧从目的端口转发出去,同时更新MAC地址表中源端口与源MAC的对应关系;如果目的端口与源端口相同,则丢弃该帧。
有如下的工作场景:
一个4口的switch,端口分别为Port.A、Port.B、Port.C、Port.D对应主机 A,B,C,D,其中D为网关。
当主机A向B发送数据时,A主机按照OSI往下封装数据帧,过程中,会根据IP地址查找到B主机的MAC地址,填充到数据帧中的目的MAC地址。发送之前网卡的MAC层协议控制电路也会先做个判断,如果目的MAC相同于本网卡的MAC,则不会发送,反之网卡将这份数据发送出去。Port.A接收到数据帧,交换机按照上述的检查过程,在MAC地址表发现B的MAC地址(数据帧目的MAC)所在端口号为Port.B,而数据来源的端口号为Port.A,则交换机将数据帧从端口Port.B转发出去。B主机就收到这个数据帧了。
这个寻址过程也可以概括为IP->MAC->PORT,ARP欺骗是欺骗了IP/MAC的应关系,而MAC欺骗则是欺骗了MAC/PORT的对应关系。比较早的攻击方法是泛洪交换机的MAC地址,这样确实会使交换机以广播模式工作从而达到嗅探的目的,但是会造成交换机负载过大,网络缓慢和丢包甚至瘫痪,我们不采用这种方法。
二、实战
工作环境为上述的4口swith,软件以cncert的httphijack 为例,应用为A主机劫持C主机的数据。
以下是劫持过程(da为目的MAC,sa为源MAC)
1.A发送任意da=网关.mac、sa=B.mac的数据包到网关。这样就表明b.mac 对应的是port.a,在一段时间
内,交换机会把发往b.mac 的数据帧全部发到a主机。这个时间一直持续到b主机发送一个数据包,或者另外一个da=网关.mac、sa=b.mac的数据包产生前。
2. A 主机收到网关发给B的数据,记录或修改之后要转发给B,在转发前要
发送一个请求B.MAC的广播,这个包是正常的
MAC信息为:da=FFFFFFFFFF、sa=a.mac
这个数据帧表明了a.mac对应port.a,同时会激发b主机响应一个应答包
MAC信息为:da=a.mac、sa=b.mac
这个数据帧表明了 b.mac对应port.b
至此,对应关系已经恢复,A主机将劫持到的数据可顺利转发至B
3. 转发劫持到的数据到B,完成一次劫持
三、攻击特点
1. 由于这种攻击方法具有时间分段特性,所以对方的流量越大,劫持频率也越低,网络越稳定。
2. 隐蔽性强,基于1的特殊性和工作本质,可以在ARP防火墙和双向绑定的环境中工作。
四、如何防护
高级的交换机可以采用ip+mac+port 绑定,控制CAM表的自动学习。目前尚无软件可以防护此类攻击
五、利用工具
1.httphijack beta 2 说明:http会话劫持
2.ssclone 说明:交换环境下的会话复制软件(gmail,qqmail,sohumail…..)
3.skiller 说明:流量控制
二.前很多网络都使用Hub进行连接的,众所周知,数据包经过Hub传输到其他网段时,Hub只是简单地把数据包复制到其他端口。因此,对于利用Hub组成的网络来说,没有安全而言,数据包很容易被用户拦截分析并实施网络攻击(MAC地址欺骗、IP地址欺骗及更高层面的信息骗取等)。为了防止这种数据包的无限扩散,人们越来越倾向于运用交换机来构建网络,交换机具有MAC地址学习功能,能够通过VLAN等技术将用户之间相互隔离,从而保证一定的网络安全性。
交换机队于某个目的MAC地址明确的单址包不会像Hub那样将该单址包简单复制到其他端口上,而是只发到起对应的特定的端口上。如同一般的计算机需要维持一张ARP高速缓冲表一样,每台交换机里面也需要维持一张MAC地址(有时是MAC地址和VLAN)与端口映射关系的缓冲表,称为地址表,正是依靠这张表,交换机才能将数据包发到对应端口。
地址表一般是交换机通过学习构造出来的。学习过程如下:
(1) 交换机取出每个数据包的源MAC地址,通过算法找到相应的位置,如果是新地址,则创建地址表项,填写相应的端口信息、生命周期时间等;
(2) 如果此地址已经存在,并且对应端口号也相同,则刷新生命周期时间;
(3) 如果此地址已经存在,但对应端口号不同,一般会改写端口号,刷新生命周期时间;
(4) 如果某个地址项在生命周期时间内没有被刷新,则将被老化删除。
如同ARP缓冲表存在地址欺骗的问题,交换机里的这种MAC地址表也存在地址欺骗问题。在实际应用中,人们已经发现早期设计的许多交换机都存在这个问题,以Cisco2912交换机为例,阐明一下如何进行MAC地址欺骗。
如图所示,两个用户PcA和PcB分别连接Cisco2912的portA和portB两个端口。
PortC Internet
Cisco2912
portA / portB /
Hub Hub
PcA PcB
00.00.AA.AA.AA.AA 00.00.BB.BB.BB.BB
假定PcA的MAC的地址是00.00.AA.AA.AA.AA
PcB的MAC的地址是00.00.BB.BB.BB.BB
在正常的情况下,Cisco2912里会保存如下的一对映射关系:
(00.00.AA.AA.AA.AA)<—>portA
(00.00.BB.BB.BB.BB) <—>portB
() <—>portC
依据这个映射关系,Cisco2912把从PortC上收到的发给PcA的包通过PortA发出,而不会从PortB发出。但是如果我们通过某种手段使交换机改变了这个映射关系,则Cisco2912就会将数据包转发到不应该去的端口,导致用户无法正常访问Internet等服务。最为简单的一种方法就是用户PcB构造一种数据包,该包的源MAC地址不再是自己的MAC地址00.00.BB.BB.BB.BB,而是PcA的MAC地址
00.00.AA.AA.AA.AA,从上面的地址学习过程可以看出,Cisco2912就会错误的认为MAC地址
00.00.AA.AA.AA.AA是从portB上来的,因此映射关系也就改为:
(00.00.AA.AA.AA.AA)<—>portB
(00.00.BB.BB.BB.BB) <—>portB
这样,Cisco2912就会错误地把从PortC上收到的目的地址为MAC A的数据包通过PortB发出,而不再发给PortA.。显然,如果PcB一直在发这种特意构造的包。用户PcA就无法通过Cisco2912正常访问Internet。更为严重的是,如果用户PcB构造portC上联设备(如路由器)的MAC地址(),则会导致Cisco 2912下面所有的用户无法正常访问Internet等业务。
