C:>tracert 61.152.157.67

Tracing route to 61.152.157.67 over a maximum of 30 hops:

1 78 ms 61 ms 62 ms 202.103.9.2

2 64 ms 71 ms 64 ms 202.97.19.5

3 71 ms 65 ms 65 ms 206.125.197.65

4 69 ms 73 ms 68 ms 209.3.188.181

5 69 ms 69 ms 67 ms 204.245.69.74

6 73 ms 78 ms 70 ms 204.245.69.94

7 74 ms 76 ms 76 ms 209.3.153.74

8 82 ms 81 ms 84 ms 199.45.39.45

Trace complete.

从以上结果可看出到达目标经过了8个节点并且包传输的很快(低于100ms)。第一列显示了节点数，第一列最后一行为到达最终目标所经过的节点总数(在我们的例子中到达最终节点，61.152.157.67，共经过了8个节点)。其后的三列为各节点的响应周期。如果在其中出现星号则表示超时(着就是说在限定包存活周期内目标没有响应)，不过在我们的例子中没有这种情况出现。在各列中如果都小于100ms则可认为是不错的状态。在后面的两列显示了路途中的路由器和IP地址。

故障探测

有时TRACERT的报告会显示出无法到达一个目标服务器的问题所在。例如，下面TRACERT的报告显示出一个循环错误。

8 98 ms 89 ms 90 ms 204.245.69.98

9 91 ms 90 ms 92 ms 204.245.69.97

10 94 ms 96 ms 95 ms 204.245.69.98

11 98 ms 98 ms 103 ms 204.245.69.97

12 101 ms 101 ms 100 ms 204.245.69.98

13 106 ms 102 ms 104 ms 204.245.69.97

这个结果显示出两个路由器将包来回来去的相互发送。这使包无法到达目标服务器。这种循环显示会一直到到达TRACERT默认的最大节点数量限制(30个)才停止。

您可很容易的通过PING或TRACERT程序得到测试结果。而且您可以把有问题的测试结果发给您的ISP。要保存结果可通过命令“PING地址>文件名”或“TRACERT地址>文件名”形成一个文本文件。

当然，在很多情况下您对网络的缓慢或问题无能为力，不过这些工具至少能使您知道引起网络速度下降的原因，督促相关部门修复或调整。

    

•  开场白
  
•  基础
  
•  主动FTP
  
•  主动FTP的例子
  
•  被动FTP
  
•  被动FTP的例子
  
•  总结
  
•  参考资料
  
•  附录 1: 配置常见FTP服务器
  

1. 任何端口到FTP服务器的21端口 （客户端初始化的连接 S<-C）
   
2. FTP服务器的21端口到大于1023的端口（服务器响应客户端的控制端口 S->C）
   
3. FTP服务器的20端口到大于1023的端口（服务器端初始化数据连接到客户端的数据端口 S->C）
   
4. 大于1023端口到FTP服务器的20端口（客户端发送ACK响应到服务器的数据端口 S<-C）
   
   
   画出来的话，连接过程大概是下图的样子：
   
   
   在第1步中，客户端的命令端口与FTP服务器的命令端口建立连接，并发送命令“PORT 1027”。然后在第2步中，FTP服务器给客户端的命令端口返回一个"ACK"。在第3步中，FTP服务器发起一个从它自己的数据端口（20）到客户端先前指定的数据端口（1027）的连接，最后客户端在第4步中给服务器端返回一个"ACK"。
   
   主动方式FTP的主要问题实际上在于客户端。FTP的客户端并没有实际建立一个到服务器数据端口的连接，它只是简单的告诉服务器自己监听的端口号，服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说，这是从外部系统建立到内部客户端的连接，这是通常会被阻塞的。
   
   主动FTP的例子
   
   下面是一个主动FTP会话的实际例子。当然服务器名、IP地址和用户名都做了改动。在这个例子中，FTP会话从 testbox1.slacksite.com (192.168.150.80)，一个运行标准的FTP命令行客户端的Linux工作站，发起到testbox2.slacksite.com (192.168.150.90)，一个运行ProFTPd 1.2.2RC2的Linux工作站。debugging（-d）选项用来在FTP客户端显示连接的详细过程。红色的文字是 debugging信息，显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示，用户的输入信息用粗体字表示。
   
   仔细考虑这个对话过程我们会发现一些有趣的事情。我们可以看到当 PORT 命令被提交时，它指定了客户端(192.168.150.80)上的一个端口而不是服务器的。当我们用被动FTP时我们会看到相反的现象。我们再来关注PORT命令的格式。就象你在下面的例子看到的一样，它是一个由六个被逗号隔开的数字组成的序列。前四个表示IP地址，后两个组成了用于数据连接的端口号。用第五个数乘以256再加上第六个数就得到了实际的端口号。下面例子中端口号就是( (14*256) + 178) = 3762。我们可以用netstat来验证这个端口信息。
   
   testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
   Connected to testbox2.slacksite.com.
   220 testbox2.slacksite.com FTP server ready.
   Name (testbox2:slacker): slacker
   ---> USER slacker
   331 Password required for slacker.
   Password: TmpPass
   ---> PASS XXXX
   230 User slacker logged in.
   ---> SYST
   215 UNIX Type: L8
   Remote system type is UNIX.
   Using binary mode to transfer files.
   ftp> ls
   ftp: setsockopt (ignored): Permission denied
   ---> PORT 192,168,150,80,14,178
   200 PORT command successful.
   ---> LIST
   150 Opening ASCII mode data connection for file list.
   drwx------   3 slacker    users         104 Jul 27 01:45 public_html
   226 Transfer complete.
   ftp> quit
   ---> QUIT
   221 Goodbye.
   
   被动FTP
   
   为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被动方式，或者叫做PASV，当客户端通知服务器它处于被动模式时才启用。
   
   在被动方式FTP中，命令连接和数据连接都由客户端，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时，客户端打开两个任意的非特权本地端口（N >; 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P >; 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
   
   对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP:
   
   
   
   1. 从任何端口到服务器的21端口 （客户端初始化的连接 S<-C）
      
   2. 服务器的21端口到任何大于1023的端口 （服务器响应到客户端的控制端口的连接 S->C）
      
   3. 从任何端口到服务器的大于1023端口 （入；客户端初始化数据连接到服务器指定的任意端口 S<-C）
      
   4. 服务器的大于1023端口到远程的大于1023的端口（出；服务器发送ACK响应和数据到客户端的数据端口 S->C）
      
      画出来的话，被动方式的FTP连接过程大概是下图的样子：
      
      
      在第1步中，客户端的命令端口与服务器的命令端口建立连接，并发送命令“PASV”。然后在第2步中，服务器返回命令"PORT 2024"，告诉客户端（服务器）用哪个端口侦听数据连接。在第3步中，客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个"ACK"响应。
      
      被动方式的FTP解决了客户端的许多问题，但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是，许多FTP守护程序，包括流行的WU-FTPD允许管理员指定FTP服务器使用的端口范围。详细内容参看附录1。 
      
      第二个问题是客户端有的支持被动模式，有的不支持被动模式，必须考虑如何能支持这些客户端，以及为他们提供解决办法。例如，Solaris提供的FTP命令行工具就不支持被动模式，需要第三方的FTP客户端，比如ncftp。
      
      随着WWW的广泛流行，许多人习惯用web浏览器作为FTP客户端。大多数浏览器只在访问ftp://这样的URL时才支持被动模式。这到底是好还是坏取决于服务器和防火墙的配置。
      
      被动FTP的例子
      
      下面是一个被动FTP会话的实际例子，只是服务器名、IP地址和用户名都做了改动。在这个例子中，FTP会话从 testbox1.slacksite.com (192.168.150.80)，一个运行标准的FTP命令行客户端的Linux工作站，发起到testbox2.slacksite.com (192.168.150.90)，一个运行ProFTPd 1.2.2RC2的Linux工作站。debugging（-d）选项用来在FTP客户端显示连接的详细过程。红色的文字是 debugging信息，显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示，用户的输入信息用粗体字表示。
      
      注意此例中的PORT命令与主动FTP例子的不同。这里，我们看到是服务器(192.168.150.90)而不是客户端的一个端口被打开了。可以跟上面的主动FTP例子中的PORT命令格式对比一下。
      
      testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2
      Connected to testbox2.slacksite.com.
      220 testbox2.slacksite.com FTP server ready.
      Name (testbox2:slacker): slacker
      ---> USER slacker
      331 Password required for slacker.
      Password: TmpPass
      ---> PASS XXXX
      230 User slacker logged in.
      ---> SYST
      215 UNIX Type: L8
      Remote system type is UNIX.
      Using binary mode to transfer files.
      ftp> passive
      Passive mode on.
      ftp> ls
      ftp: setsockopt (ignored): Permission denied
      ---> PASV
      227 Entering Passive Mode (192,168,150,90,195,149).
      ---> LIST
      150 Opening ASCII mode data connection for file list
      drwx------   3 slacker    users         104 Jul 27 01:45 public_html
      226 Transfer complete.
      ftp>; quit
      ---> QUIT
      221 Goodbye.
      
      总结
      
      下面的图表会帮助管理员们记住每种FTP方式是怎样工作的：
      
      主动FTP：
         命令连接：客户端 >1023端口 -> 服务器 21端口
         数据连接：客户端 >1023端口 <- 服务器 20端口 
      
      被动FTP：
         命令连接：客户端 >1023端口 -> 服务器 21端口
         数据连接：客户端 >1023端口 -> 服务器 >1023端口 
      
      下面是主动与被动FTP优缺点的简要总结： 
      
      主动FTP对FTP服务器的管理有利，但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接，而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利，但对服务器端的管理不利。因为客户端要与服务器端建立两个连接，其中一个连到一个高位随机端口，而这个端口很有可能被服务器端的防火墙阻塞掉。
      
      幸运的是，有折衷的办法。既然FTP服务器的管理员需要他们的服务器有最多的客户连接，那么必须得支持被动FTP。我们可以通过为FTP服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样，不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险，但它大大减少了危险。详细信息参看附录1。
      
      
      参考资料 
      
      O'Reilly出版的《组建Internet防火墙》（第二版，Brent Chapman，Elizabeth Zwicky著）是一本很不错的参考资料。里面讲述了各种Internet协议如何工作，以及有关防火墙的例子。 
      
      最权威的FTP参考资料是RFC 959，它是FTP协议的官方规范。RFC的资料可以从许多网站上下载，例如：ftp://nic.merit.edu/documents/rfc/rfc0959.txt 。

IP数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。

ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。

如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的。

图1 以太网上的ARP报文格式

图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位，也就是4个八位组表示，在以后的图中，我们也将遵循这一方式。

硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1。协议类型字段指明了发送方提供的高层协议类型，IP为0806（16进制）。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4。

当发出ARP请求时，发送方填好发送方首部和发送方IP地址，还要填写目标IP地址。当目标机器收到这个ARP广播包时，就会在响应报文中填上自己的48位主机地址。

2、ARP使用举例
我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项)：

d2server:/home/kerberos# arp Address HWtype HWaddress Flags Mask Iface 211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0

Address：主机的IP地址
Hwtype：主机的硬件类型
Hwaddress：主机的硬件地址
Flags Mask：记录标志，"C"表示arp高速缓存中的条目，"M"表示静态的arp条目。
用"arp --a"命令可以显示主机地址与IP地址的对应表，也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟，起始时间从被创建时开始算起。

d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0

可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。

d2server:/home/kerberos# telnet 211.161.17.21 Trying 211.161.17.21... Connected to 211.161.17.21. Escape character is '^]'. ^]. telnet>quit connetion closed.

在执行上面一条telnet命令的同时，用tcpdump进行监听：

d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21 tcpdump: listening on eth0

我们将会听到很多包，我们取与我们arp协议相关的2个包：

1 0.0 00:D0:F8:0A:FB:83 FF:FF:FF:FF:FF:FF arp 60 who has 211.161.17.21 tell d2server 2 0.002344(0.0021)00:E0:3C:43:0D:24 00:D0:F8:0A:FB:83 arp 60 arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24

在第1行中，源端主机（d2server）的硬件地址是00:D0:F8:0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF，这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。
第1行中紧接着的一个输出字段是arp，表明帧类型字段的值是0x0806，说明此数据帧是一个ARP请求或回答。
在每行中，单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节（28字节的ARP数据，14字节的以太网帧头），因此，每一帧都必须加入填充字符以达到以太网的最小长度要求：60字节。
第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中，目的I P地址是211.161.17.21的地址，发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。
从第2行中可以看到，尽管ARP请求是广播的，但是ARP应答的目的地址却是211.161.17.21(00:E0:3C:43:0D:24)。ARP应答是直接送到请求端主机的，而是广播的。tcpdump打印出arp reply的字样，同时打印出响应者的主机ip和硬件地址。
在每一行中，行号后面的数字表示tcpdump收到分组的时间（以秒为单位）。除第1行外，每行在括号中还包含了与上一行的时间差异（以秒为单位）。
这个时候我们再看看机器中的arp缓存：

d2server:/home/ke rberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at 00:E0:3C:43:0D:24 [ether] on eth0

arp高速缓存中已经增加了一条有关211.161.17.21的映射。
再看看其他的arp相关的命令：

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 d2server:/home/kerberos# arp Address HWtype HWaddress Flags Mask Iface 211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0 211.161.17.21 ether 00:00:00:00:00:00 CM eth0 d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0

可以看到我们用arp -s选项设置了211.161.17.21对应的硬件地址为00:00:00:00:00:00，而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项，它保持不变没有超时，不像高速缓存中的条目要在一定的时间间隔后更新。
如果想让手工设置的arp选项有超时时间的话，可以加上temp选项

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 temp d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0 d2server:/home/kerberos# arp Address HWtype HWaddress Flags Mask Iface 211.161.17.254 ether 00:04:9A:AD:1C:0A C eth0 211.161.17.21 ether 00:00:00:00:00:00 C eth0

可以看到标志字段的静态arp标志"M"已经去掉了，我们手工加上的是一条动态条目。
请大家注意arp静态条目与动态条目的区别。
在不同的系统中，手工设置的arp静态条目是有区别的。在linux和win2000中，静态条目不会因为伪造的arp响应包而改变，而动态条目会改变。而在win98中，手工设置的静态条目会因为收到伪造的arp响应包而改变。
如果您想删除某个arp条目（包括静态条目），可以用下面的命令：

d2server:/home/kerberos# arp -d 211.161.17.21 d2server:/home/kerberos# arp -a (211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0 (211.161.17.21) at on eth0

可以看到211.161.17.21的arp条目已经是不完整的了。
还有一些其他的命令，可以参考linux下的man文档：d2server:/home/kerberos# man arp


3、ARP欺骗
我们先复习一下上面所讲的ARP协议的原理。在实现TCP/IP协议的网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义，但是，当ip包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说，只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包，因为在网络中，每一台主机都会有发送ip包的时候，所以，在每台主机的内存中，都有一个 arp--> 硬件mac 的转换表。通常是动态的转换表（该arp表可以手工添加静态条目）。也就是说，该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。
通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的硬件mac地址，如果没有找到，该主机就发送一个ARP广播包，于是，主机刷新自己的ARP缓存。然后发出该ip包。
了解这些常识后，现在就可以谈在以太网络中如何实现ARP欺骗了，可以看看这样一个例子。
3.1 同一网段的ARP欺骗

图2 同一网段的arp欺骗

如图2所示，三台主机

A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC

一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系（开放23端口(telnet)）。而他必须要使用telnet来进入主机A，这个时候他应该如何处理呢？

我们这样考虑，入侵者必须让主机A相信主机B就是主机C，如果主机A和主机C之间的信任关系是建立在ip地址之上的。如果单单把主机B的ip地址改的和主机C的一样，那是不能工作的，至少不能可靠地工作。如果你告诉以太网卡设备驱动程序， 自己IP是192.168.0.3，那么这只是一种纯粹的竞争关系，并不能达到目标。我们可以先研究C这台机器如果我们能让这台机器暂时当掉，竞争关系就可以解除,这个还是有可能实现的。在机器C当掉的同时，将机器B的ip地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器A上面，而成功的绕过防火墙的限制。

上面的这种想法在下面的情况下是没有作用的，如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。

我们可以人为的制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包.这样的工具很多,我们也可以直接用snifferpro抓一个arp响应包,然后进行修改。

你可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。
下面是具体的步骤：
1.他先研究192.0.0.3这台主机，发现这台主机的漏洞。
2.根据发现的漏洞使主机C当掉，暂时停止工作。
3.这段时间里，入侵者把自己的ip改成192.0.0.3
4.他用工具发一个源ip地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A，要求主机A更新自己的arp转换表。
5.主机更新了arp表中关于主机C的ip-->mac对应关系。
6.防火墙失效了，入侵的ip变成合法的mac地址，可以telnet 了。
上面就是一个ARP的欺骗过程，这是在同网段发生的情况，但是，提醒注意的是，在B和C处于不同网段的时候，上面的方法是不起作用的。

3.2 不同网段的ARP欺骗

图3 不同网段之间的ARP欺骗

如图3所示A、C位于同一网段而主机B位于另一网段，三台机器的ip地址和硬件地址如下：

A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA B: ip地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC

在现在的情况下，位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢？显然用上面的办法的话，即使欺骗成功，那么由主机B和主机A之间也无法建立telnet会话，因为路由器不会把主机A发给主机B的包向外转发，路由器会发现地址在192.168.0.这个网段之内。

现在就涉及到另外一种欺骗方式―ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

什么是ICMP重定向呢？
ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发。

我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤：
1.为了使自己发出的非法ip包能在网络上能够存活长久一点，开始修改ip包的生存时间ttl为下面的过程中可能带来的问题做准备。把ttl改成255. (ttl定义一个ip包如果在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充足的广播)
2.下载一个可以自由制作各种包的工具（例如hping2）
3.然后和上面一样，寻找主机C的漏洞按照这个漏洞当掉主机C。
4.在该网络的主机找不到原来的192.0.0.3后，将更新自己的ARP对应表。于是他发送一个原ip地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。
5.好了，现在每台主机都知道了，一个新的MAC地址对应192.0.0.3,一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。
6.自己定制一个ICMP重定向包告诉网络中的主机："到192.0.0.3的路由最短路径不是局域网，而是路由，请主机重定向你们的路由路径，把所有到192.0.0.3的ip包丢给路由。"
7.主机A接受这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3的通讯都丢给路由器。
8.入侵者终于可以在路由外收到来自路由内的主机的ip包了，他可以开始telnet到主机的23口。
其实上面的想法只是一种理想话的情况，主机许可接收的ICMP重定向包其实有很多的限制条件，这些条件使ICMP重定向变的非常困难。

TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制：
1.新路由必须是直达的
2.重定向包必须来自去往目标的当前路由
3.重定向包不能通知主机用自己做路由
4.被改变的路由必须是一条间接路由
由于有这些限制，所以ICMP欺骗实际上很难实现。但是我们也可以主动的根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性，我们就可以采取相应的防御办法。



3.3 ARP欺骗的防御
知道了ARP欺骗的方法和危害，我们给出一些初步的防御方法：
1.不要把你的网络安全信任关系建立在ip地址的基础上或硬件mac地址基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。
2.设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。
3.除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。在linux下可以用ifconfig -arp可以使网卡驱动程序停止使用ARP。
4.使用代理网关发送外出的通讯。
5.修改系统拒收ICMP重定向报文
在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。
在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。
4 代理ARP的应用
代理ARP有两大应用,一个是有利的就是我们在防火墙实现中常说的透明模式的实现,另一个是有害的就是通过它可以达到在交换环境中进行嗅探的目的.由此可见同样一种技术被应用于不同的目的,效果是不一样的.
我们先来看交换环境中局域网的嗅探.
通常在局域网环境中，我们都是通过交换环境的网关上网的。在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外，是不能看到其他主机的网络通信的。
但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。
ARP协议是将IP地址解析为MAC地址的协议，局域网中的通信都是基于MAC地址的。

图4 交换网络中的ARP欺骗

如图4所示，三台主机位于一个交换网络的环境中，其中A是网关：

A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB C：ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC

在局域网中192.168.0.2和192.168.0.3都是通过网关192.168.0.1上网的，假定攻击者的系统为192.168.0.2，他希望听到192.168.0.3的通信，那么我们就可以利用ARP欺骗实现。

这种欺骗的中心原则就是arp代理的应用.主机A是局域网中的代理服务器,局域网中每个节点的向外的通信都要通过它.主机B想要听主机C的通信,它需要先使用ARP欺骗,让主机C认为它就是主机A,这个时候它发一个IP地址为192.168.0.1,物理地址为BB:BB:BB:BB:BB:BB的ARP响应包给主机C,这样主机C会把发往主机A的包发往主机B.同理,还要让网关A相信它就是主机C,向网关A发送一个IP地址为192.168.0.3,物理地址为BB:BB:BB:BB:BB:BB的包。

上面这一步的操作和前面的ARP欺骗的原理是一样的，但是还是有问题,过一段时间主机B会发现自己无法上网.所以下面还有一个步骤就是需要在主机B上转发从主机A到主机C的包,并且转发从主机C到主机A的包.现在我们可以看到其实主机B在主机A和主机C的通讯中起到了一个代理的作用,这就是为什么叫做ARP代理的原因.

具体实现要用到两个工具dsniff和fragrouter,dsniff用来实现ARP欺骗,fragroute用来进行包的转发.
首先利用dsniff中的arpspoof来实现ARP欺骗,dsniff软件可以在下面的网址下载:
http://naughty.monkey.org/~dugsong/dsniff
安装这个软件包之前先要下载安装libnet.

欺骗192.168.0.3，告诉这台机器网关192.168.0.1的MAC地址是192.168.0.2的MAC地址.
[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.3 192.168.0.1
欺骗192.168.0.1，告诉192.168.0.1主机192.168.0.3的MAC地址是192.168.0.2的MAC地址。
[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.3

现在我们已经完成了第一步的欺骗,这个欺骗是通过arpspoof来完成的,当然您也可以使用别的工具甚至自己发包来完成.现在我们可以看到在主机A和主机C的arp列表里面都完成了我们需要的工作.在后面的透明代理中我们将使用另外一种不同的理念.

下面我们先打开linux系统中的转发包的选项:
[root@sound /root]# echo "1" >/proc/sys/net/ipv4/ip_forward

下面我们可以下载大名鼎鼎的dugsong的另外一个工具fragroute,这个工具以前叫做fragrouter(仅有1字的差别)主要用于实现入侵检测系统处理分片的ip和tcp包功能的检测,本身自代包转发的功能.可以到下面的网站下载:
http://monkey.org/~dugsong/fragroute/
安装这个软件包之前先要下载安装libpcap和libevent.

当然我们也可以使用fragrouter来完成:
http://www.packetstormsecurity.org/groups/ w00w00/sectools/fragrouter/
[root@sound fragrouter-1.6]# ./fragrouter -B1
fragrouter: base-1: normal IP forwarding

现在就可以实现在交换局域网中嗅探的目标.当然上面这些只是一些原理性的介绍,在真正的使用中会遇到很多的问题,比如如何实现对网关A和主机C的欺骗,以及如何处理可能出现的广播风暴问题,这些可以在实践中学习.还有一个叫arpsniff的工具能够很方便的完成这一功能,很多网站都提供下载,界面比较友好,由于和上面的原理一样,只是工具使用上的不同并且添加了一些附加的功能,所以这里不在进行介绍.

代理ARP的另外一个应用就是防火墙的透明代理的实现.我们都知道早期的防火墙大都是基于路由模式,也就是防火墙要完成一个路由的作用.这种接入方式需要在局域网内的主机上设置防火墙的IP为代理,而且需要在外部路由器的路由表中加入一条指向防火墙的路由.这种方式的缺点在于不透明,需要进行过多的设置,并且破坏了原有的网络拓扑.所以现在几乎全部的防火墙都实现了一种透明接入的功能,用户的路由器和客户端不用做任何修改,用户甚至感觉不到透明接入方式防火墙的存在.这种透明接入的原理就是ARP代理.

我们现在看如何配置一台主机作为透明接入模式的防火墙(透明接入的防火墙不需要IP),

图5

如图5所示,一台防火墙连接内部网段和DMZ网段到外部路由.我们在这台用作防火墙的主机上使用linux操作系统,这样我们可以方便的使用iptables防火墙.假设三块网卡为eth0,eth1和eth2,eth0和路由器相连,eth1和内网相连.eth2和外网相连.假设DMZ区有2台服务器.

内网地址:192.168.1.0/24 DMZ地址:192.168.1.2---192.168.1.3 路由器的ip地址:192.168.1.1 eth0:AA:AA:AA:AA:AA:AA eth1:BB:BB:BB:BB:BB:BB eth2:CC:CC:CC:CC:CC:CC

和前面差不多,第一步需要实现ARP欺骗,这次我们有个简单的实现.我们把路由器的IP地址和防火墙的eth1和eth2的网卡物理地址绑定,将内网和DMZ网段的IP地址和eth0的网卡绑定,在linux系统上我们用arp命令实现:

arp -s 192.168.1.1 BB:BB:BB:BB:BB:BB arp -s 192.168.1.1 CC:CC:CC:CC:CC:CC arp -s 192.168.1.0/24 AA:AA:AA:AA:AA:AA

第二部我们需要在基于linux的防火墙上设置路由,把目标地址是外部路由的包转发到eth0,把目标地址为内网的包转发到eth1,把目标地址是DMZ网段服务器的包转发到eth2.在linux下面用route命令实现

route add 192.168.1.1 dev eth0 route add -net 192.168.1.0/24 dev eth1 route add 192.168.1.2 dev eth2 route add 192.168.1.3 dev eth3

(针对DMZ网段里面的每台服务器都要增加一条单独的路由) 现在我们就已经实现了一个简单的arp代理的透明接入,当然对应于防火墙的iptables部分要另外配置,iptables的配置不在本文范畴之内.

小结
本文介绍了ARP协议以及与其相关的安全问题。一个重要的安全问题就是ARP欺骗，我们讲到了同一网段的ARP欺骗以及跨网段的ARP欺骗和ICMP重定向相结合的方法。由于有这些安全问题的存在，我们给出一些最基本的解决办法。最后谈到了利用代理ARP实现在交换网络中嗅探和防火墙的透明接入。