SSClone非ARP會話劫持原理分析

前兩天買的過期雜誌上看到的一款軟體，剛開始還沒注意，後來就恨自己雜誌買晚了。（今年3月份的《黑客防線》）

那個神奇的軟體，就像我標題上說的，叫ssclone，解釋起來就是：switch session clone，也就是「交換機會話轉殖」（純字面翻譯，純的～）。

這個軟體有什麼用？其特點就是可以不通過傳統的arp欺騙方法，來實現區域網內的會話監聽、劫持、複製等操作。（其實這個軟體本身是用來會話複製的，也就是攔截客戶機傳送給閘道器的資料報，如果攔截閘道器傳送給客戶機的資料報，那麼就是會話劫持了。）

因為採用了非arp欺騙的技術，結果不用測試都可想而知，所有的arp防火牆都對它不起作用。（廢話了，arp防火牆就是攔截arp的，沒有arp資料報有個鳥用啊，哈哈）

具體的環境介紹完了，下面我們開始分析攻擊的過程。

1、首先看看抓包後分析的閘道器mac下的ip位址，除了閘道器自己的內網ip，還有乙個192.168.1.42，呵呵，只要對自己網路心中有數的管理員，都會覺得不正常吧！

2、我們開啟了ssclone，開始搜尋區域網內的所有ip位址。程式發出大量的arp資料報查詢區域網中存活的主機。

這時可以看出，傳送這些arp請求的是操作者的真實主機，也就是說，如果要找用此程式搗亂的人，可以在此下手。

3、我們看到，筆記本（192.168.1.100）回答了這個請求。

4、在掃瞄結束後幾秒鐘，我們開始對筆記本的資料報進行劫持。

5、現在可以看到，攻擊者的計算機正在冒用閘道器的mac位址以及乙個假ip，向外傳送資料報。也就是向交換機宣稱，攻擊者所在的埠對應的是閘道器的mac，在真正的閘道器傳送乙個資料報，或攻擊者再次傳送乙個偽造資料報之前，這個錯誤的對映關係（閘道器mac攻擊者埠）將一直存在。

攻擊者以每秒鐘傳送10個包的速度繼續傳送，不斷地讓交換機接收這個錯誤的對映關係。

6、交換機果然被欺騙了，將目標mac為閘道器mac的資料報，都傳送到了攻擊者的計算機上。我的科來只在伺服器本地捕獲，如果欺騙不成功，是不可能收到筆記本與閘道器的通訊內容。

7、截獲之後，必然要把資料報**出去，否則網路就不通了嘛～可是現在交換機上對應閘道器mac的埠是攻擊者自己的埠，程式就開始用乙個假冒的mac和ip，通過arp請求192.168.1.1（閘道器）的mac位址，閘道器收到之後會產生乙個回應。

這樣正確的根據第5條所述的原理，正確的對映關係就恢復了，於是攻擊者的計算機可以把這些截獲的資料繼續傳遞給閘道器。

之後，通過再進行第5條所述的方法，設定錯誤的對映關係。

8、第5條說的資料報的具體結構。

最後，關於這個方法的一些個人理解：

設定錯誤對映關係的資料報，不一定是igmp，其他的資料報也有可能，只要偽造一下mac位址即可。

找出攻擊者，可以參考第2條的內容，但如果攻擊者變通一下手法，也不一定管用。

通過原理可以大致推斷出，這個方法除了搞劫持，還能搞斷網掉線……只要攻擊者不**資料報就可以了。

解決方法，需要通過交換機的埠繫結來實現，mac和ip雙綁已經沒有作用了。

因為是基於交換機埠的，所以那種設定子網來遮蔽arp氾濫的方法，也沒用啦！

tags:arp

, ssclone