引言

當前局域網(wǎng)大部分屬于以太網(wǎng)，其主要連接方式主要是通過交換機進行連接。交換機在外型上類似于集線器，但在內(nèi)部采用了電路交換的原理，將一個端口的輸入交換到另一指定的端口。交換式以太網(wǎng)彌補了共享式以太網(wǎng)（用集線器連接的網(wǎng)絡）的缺陷，但也從一定程度上增加了網(wǎng)絡監(jiān)聽的難度。交換機在工作時維護著一張ARP的數(shù)據(jù)庫表，在這個庫中記錄著交換機每個端口綁定的MAC地址，當有數(shù)據(jù)包發(fā)送到交換機上時，交換機會將數(shù)據(jù)包的目的MAC地址與自己維護的數(shù)據(jù)庫內(nèi)的端口對照，然后將數(shù)據(jù)包發(fā)送到相應的端口上。交換機與集線器最大的不同是通信數(shù)據(jù)包不再復制到其他所有端口，而是精確地發(fā)往目標機器所在的那個端口，所以，其它機器就無法監(jiān)聽這種目的性較強的通信，當然也就無法實現(xiàn)數(shù)據(jù)包的抓取了。因此我們需要在交換式以太網(wǎng)中尋求一種簡單方便的監(jiān)控部署軟件，以實現(xiàn)對現(xiàn)在廣泛存在的交換式以太網(wǎng)進行有效的監(jiān)聽。

1　ARP協(xié)議及欺騙技術

1.1 ARP協(xié)議

IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此，IP 驅(qū)動器必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在這兩種地址之間存在著某種靜態(tài)的或算法的映射，常常需要查看一張表。ARP地址解析協(xié)議 (Address Resolution Protocol)就是負責把網(wǎng)絡層的IP地址轉(zhuǎn)變成數(shù)據(jù)鏈路層的MAC地址，建立IP地址和MAC地址之間的一一映射。ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

1.2 ARP欺騙技術

ARP 協(xié)議雖然是一個高效的數(shù)據(jù)鏈路層協(xié)議，但是作為一個局域網(wǎng)協(xié)議，它是建立在各主機之間相互信任的基礎上的，因此也存在一些安全問題。根據(jù)ARP 協(xié)議存在的這些安全問題，可以使用以下幾種手段來進行ARP欺騙：

(1) 攻擊者也就可以在接收到該ARP請求包之后進行應答，進行假冒。

(2) 由于被假冒的機器所發(fā)送的ARP應答包有可能比攻擊者的應答包晚到達，為了確保被攻擊者機器上的緩存中絕大部分時間存放的是攻擊者的MAC地址，可以在收到ARP請求廣播后稍微延遲一段時間再發(fā)送一遍ARP應答。

(3) 由于各種操作系統(tǒng)對于ARP緩存處理實現(xiàn)的不同，一些操作系統(tǒng)（例如Linux）會用向緩存地址發(fā)非廣播的ARP請求來要求更新緩存。在交換網(wǎng)絡環(huán)境下，別的機器是不能捕獲到這種緩存更新的，這就需要盡量阻止主機發(fā)送更新緩存消息。

ARP欺騙技術可以實現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽。因此，我們可以利用該技術對交換式以太網(wǎng)進行監(jiān)控。

2　采用ARP欺騙技術捕獲交換式以太網(wǎng)數(shù)據(jù)

通過前面的敘述，我們知道，交換式以太網(wǎng)可以利用ARP欺騙技術進行監(jiān)控。下面說明如何采用ARP欺騙技術捕獲交換式以太網(wǎng)數(shù)據(jù)。

2.1 ARP協(xié)議實現(xiàn)

在以太網(wǎng)上解析IP地址時，ARP請求和應答分組的格式如圖2所示

6 6 2 2 2 1 1 2 6 4 6 4

以太網(wǎng)報頭中的前兩個字段是以太網(wǎng)的目的地址和源地址。目的地址為全1的特殊地址是廣播地址。同一局域網(wǎng)上的所有以太網(wǎng)接口都要接收廣播數(shù)據(jù)幀。接著是以太網(wǎng)幀類型，2字節(jié)長，表示后面數(shù)據(jù)的類型。對于ARP請求或應答來說，該字段的值為0x0806。硬件類型字段表示硬件地址的類型。值為1即表示以太網(wǎng)地址。協(xié)議類型字段表示要映射的協(xié)議地址類型。值為0x0800即表示IP地址。硬件地址長度和協(xié)議地址長度分別指出硬件地址和協(xié)議地址的長度，以字節(jié)為單位。對于以太網(wǎng)上IP地址的ARP請求或應答來說，它們的值分別為6和4。操作字段指出操作類型，可以為ARP請求（值為1）、ARP應答（值為2）。其余的四個字段是發(fā)送端的硬件地址（以太網(wǎng)地址）、發(fā)送端的協(xié)議地址（IP地址）、目的端的硬件地址和目的端的協(xié)議地址。

對于ARP請求來說，除目的端硬件地址外的所有其它的字段都有填充值。當系統(tǒng)收到一份目的端為本機的ARP請求報文后，它就把硬件地址填進去，然后用兩個目的端地址分別替換兩個發(fā)送端地址，并把操作字段置為2，最后把它發(fā)送回去。