用ARP探测以太网中的活动主机（zt）

作者：yztgx_at_163.net xfocu 网上存在很多关于ARP的文章，大多都是关于ARP欺骗，这里介绍ARP的另类用法：探测目标主机是否处于活动状态。 传统探测远程主机是否存活的方法是通过ICMP协议中的回显应答报文来探测(ping)。随着对安全的越来越多的了解和重视，很多主机为了避免被扫描器探测，通过防火墙将ICMP包屏蔽，从而达到在网络中隐藏的目的。 这里我们介绍一下利用ARP协议探测网络中的活动主机的思路，这种方法的缺点只能探测以太网内的活动主机。 先大概了解一下ARP协议。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写，它的作用是将IP地址转换成物理地址（就是常说的MAC地址），其详细过程参考《TCP/IP详解 卷一》。协议ARP的分组格式如下: ------------------------------------------ 以太网目的地址（6个字节） 以太网源地址（6个字节） 帧类型(ARP = 0806)（2个字节） ------------------------------------------ 硬件类型(Ethernet=01)（2个字节） 协议类型(IPv4=0800)（2个字节） 硬件地址长度（1个字节） 协议地址长度（1个字节） OP操作选项(ARP request=01,ARP reply=02)（2个字节） 发送端以太网地址（6个字节） 发送端IP地址（4个字节） 目的以太网地址（6个字节） 目的IP地址（4个字节） -------------------------------------------- 我们向目标主机发送一个ARP请求，如果目标主机处于活动状态则会返回其MAC地址，如果对方返回MAC地址，则表明对方处于活动状态，这样达到探测目的。ARP请求包内容如下: ------------------------------------------ 以太网目的地址 |FFFFFFFFFFFF（广播地址） 以太网源地址 |本地MAC地址 帧类型 |0806 ------------------------------------------ 硬件类型 |01 协议类型 |0800 硬件地址长度 |06 协议地址长度 |04 OP操作选项 |01 发送端以太网地址|本地MAC地址 发送端IP地址 |目标主机IP地址 目的以太网地址 |000000000000 目的IP地址 |目标主机IP地址 -------------------------------------------- 注意：这里以太网目的地址为FFFFFFFFFFFF，这是广播地址，以太网上所有主机都能收到这个包，在收到这个数据包后，操作系统判断目的IP地址是不是这台主机，如果不是则丢弃（不作处理），否则发送回一个ARP应答包，包的内容如下： ------------------------------------------ 以太网目的地址 |探测主机的MAC地址 以太网源地址 |本地MAC地址 （这里本地指被探测主机） 帧类型 |0806 ------------------------------------------ 硬件类型 |01 协议类型 |0800 硬件地址长度 |06 协议地址长度 |04 OP操作选项 |02 发送端以太网地址|本地MAC地址 （这里本地指被探测主机） 发送端IP地址 |本机IP地址 （这里本地指被探测主机） 目的以太网地址 |探测主机的MAC地址 目的IP地址 |探测主机的IP地址 -------------------------------------------- 我们可以使用Pcap自己来构造这个数据包（具体过程参考Pcap的相关文档，这里我们使用SendARP()来实现）,SendARP()是 Microsoft Platform SDK中提供用来获得目标主机的MAC地址的函数，SendARPSendARP的函数原型如下： DWORD SendARP( IPAddr DestIP, // 目标IP地址 IPAddr SrcIP, // 源IP地址 PULONG pMacAddr, // 返回MAC地址指针 PULONG PhyAddrLen // 返回MAC地址长度 ); 下面这个例子摘至MSND，稍做改动可以成为一个以太网内活动主机探测工具 // // Link with ws2_32.lib and iphlpapi.lib // #include #include #include #include int __cdecl main() { HRESULT hr; IPAddr ipAddr; ULONG pulMac[2]; ULONG ulLen; ipAddr = inet_addr ("192.168.0.1"); memset (pulMac, 0xff, sizeof (pulMac)); ulLen = 6; hr = SendARP (ipAddr, 0, pulMac, &ulLen); printf ("Return %08x, length %8d\n", hr, ulLen); size_t i, j; char * szMac = new char[ulLen*3]; PBYTE pbHexMac = (PBYTE) pulMac; // // Convert the binary MAC address into human-readable // for (i = 0, j = 0; i < ulLen - 1; ++i) { j += sprintf (szMac + j, "%02X:", pbHexMac); } sprintf (szMac + j, "%02X", pbHexMac); printf ("MAC address %s\n", szMac); delete [] szMac; return 0; } 个人研究，可能理解不是很全面，有问题可以发送邮件yztgx@163.net交流

其实现在的小区宽带也存在这方面严重的安全问题,现在的一栋楼上网用户的所有线路被接到楼下的一个统一的交换上,而使用的这个交换机他的上行端口和下行端口是有区别的,一般用户的的线都被接到下行端口上了,如果有不法用户自己把线插到上行端口上,这样只要在本机监听就可以嗅叹到下行端口用户的帐号的哦.

网内安全也不可轻视拉，这种探测不易引起目标注意。

  只能探测LAN的，也许对很多人没用。
  对admin可能会有点用。

　　┌────────┐┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐
　　│　　　　　　　　││Ｄ│Ｆ│Ｗ│Ｆ│Ｈ│Ｇ│Ｔ│Ｉ│Ｓ│Ｕ│　│
　　│　　　　　　　　││Ｎ│Ｉ│Ｈ│Ｔ│Ｔ│Ｏ│Ｅ│Ｒ│Ｍ│Ｓ│其│
　　│第四层，应用层　││Ｓ│Ｎ│Ｏ│Ｐ│Ｔ│Ｐ│Ｌ│Ｃ│Ｔ│Ｅ│　│
　　│　　　　　　　　││　│Ｇ│Ｉ│　│Ｐ│Ｈ│Ｎ│　│Ｐ│Ｎ│　│
　　│　　　　　　　　││　│Ｅ│Ｓ│　│　│Ｅ│Ｅ│　│　│Ｅ│它│
　　│　　　　　　　　││　│Ｒ│　│　│　│Ｒ│Ｔ│　│　│Ｔ│　│
　　└────────┘└─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘
　　┌────────┐┌─────────┬───────────┐
　　│第三层，传输层　││　　　ＴＣＰ　　　│　　　　ＵＤＰ　　　　│
　　└────────┘└─────────┴───────────┘
　　┌────────┐┌─────┬────┬──────────┐
　　│　　　　　　　　││　　　　　│ＩＣＭＰ│　　　　　　　　　　│
　　│第二层，网间层　││　　　　　└────┘　　　　　　　　　　│
　　│　　　　　　　　││　　　　　　　ＩＰ　　　　　　　　　　　　│
　　└────────┘└─────────────────────┘
　　┌────────┐┌─────────┬───────────┐
　　│第一层，网络接口││ＡＲＰ／ＲＡＲＰ　│　　　　其它　　　　　│
　　└────────┘└─────────┴───────────┘

其实在以太网内的通信都是依赖于这个原理的。
每台主机都维护着一张arp列表。以太网内机器的通信都是靠MAC地址来通信的。每台机器只接受目标MAC地址是自己的数据包。比如ping 命令，，如果当前arp表中有该目标主机的MAC地址，则直接在数据包的目标MAC中添加该地址。如果当前arp表中没有该目标ip，本地机器就会在以太网内广播看谁有这个ip，如果该目标主机是活动的，就会返回一个arp包，其中包含其物理地址及ip地址。然后才是icmp协议。至于ping的结果如果，那要看防火墙是否设置了禁止icmp包回现的规则了。

强强强!
支持