[首发]SSClone非ARP会话劫持原理分析

robur

前两天买的过期杂志上看到的一款软件，刚开始还没注意，后来就恨自己杂志买晚了。（今年3月份的《黑客防线》）
那个神奇的软件，就像我标题上说的，叫SSClone，解释起来就是：Switch Session Clone，也就是“交换机会话克隆”（纯字面翻译，纯的～ ）。

这个软件有什么用？其特点就是可以不通过传统的ARP欺骗方法，来实现局域网内的会话监听、劫持、复制等操作。（其实这个软件本身是用来会话复制的，也就是拦截客户机发送给网关的数据包，如果拦截网关发送给客户机的数据包，那么就是会话劫持了。）
因为采用了非ARP欺骗的技术，结果不用测试都可想而知，所有的ARP防火墙都对它不起作用。（废话了，ARP防火墙就是拦截ARP的，没有ARP数据包有个鸟用啊，哈哈）

今天自己组建了一个小环境，做了测试，具体环境如下：
一台傻瓜交换机（就是不可管理的），一台笔记本（作为被攻击者），一台服务器（作为发动攻击者），还有一个网关（局域网通过NAT网关上网）。
笔记本、服务器和网关通过那个傻瓜交换机连接。科来分析系统部署在服务器上，只捕获服务器本机网卡收发的数据包……
服务器的地址：192.168.1.27  （00 D0 68 06 22 74）
笔记本的地址：192.168.1.100  （00 11 5B CD E8 46）
网关的地址：192.168.1.1  （00 0A EB DA 06 E0）

具体的环境介绍完了，下面我们开始分析攻击的过程。


1、首先看看抓包后分析的网关MAC下的IP地址，除了网关自己的内网IP，还有一个192.168.1.42，呵呵，只要对自己网络心中有数的管理员，都会觉得不正常吧！


2、我们打开了SSClone，开始搜索局域网内的所有IP地址。程序发出大量的ARP数据包查询局域网中存活的主机。
这时可以看出，发送这些ARP请求的是操作者的真实主机，也就是说，如果要找用此程序捣乱的人，可以在此下手。


3、我们看到，笔记本（192.168.1.100）回答了这个请求。


4、在扫描结束后几秒钟，我们开始对笔记本的数据包进行劫持。


5、现在可以看到，攻击者的计算机正在冒用网关的MAC地址以及一个假IP，向外发送数据包。也就是向交换机宣称，攻击者所在的端口对应的是网关的MAC，在真正的网关发送一个数据包，或攻击者再次发送一个伪造数据包之前，这个错误的映射关系（网关MAC<——>攻击者端口）将一直存在。
攻击者以每秒钟发送10个包的速度继续发送，不断地让交换机接收这个错误的映射关系。


6、交换机果然被欺骗了，将目标MAC为网关MAC的数据包，都发送到了攻击者的计算机上。我的科来只在服务器本地捕获，如果欺骗不成功，是不可能收到笔记本与网关的通信内容。


7、截获之后，必然要把数据包转发出去，否则网络就不通了嘛～可是现在交换机上对应网关MAC的端口是攻击者自己的端口，程序就开始用一个假冒的MAC和IP，通过ARP请求192.168.1.1（网关）的MAC地址，网关收到之后会产生一个回应。
这样正确的根据第5条所述的原理，正确的映射关系就恢复了，于是攻击者的计算机可以把这些截获的数据继续传递给网关。
之后，通过再进行第5条所述的方法，设置错误的映射关系。


8、第5条说的数据包的具体结构。

最后，关于这个方法的一些个人理解：
设置错误映射关系的数据包，不一定是IGMP，其他的数据包也有可能，只要伪造一下MAC地址即可。
找出攻击者，可以参考第2条的内容，但如果攻击者变通一下手法，也不一定管用。
通过原理可以大致推断出，这个方法除了搞劫持，还能搞断网掉线……只要攻击者不转发数据包就可以了。
解决方法，需要通过交换机的端口绑定来实现，MAC和IP双绑已经没有作用了。
因为是基于交换机端口的，所以那种设置子网来屏蔽ARP泛滥的方法，也没用啦！

刚刚接触这种技术，有不正确的地方欢迎大家指正！！！
数据包样本我就不发了，里面有我邮箱密码呀。。。。

oldjiang

强烈要求给数据包，改密码

yuanye002

嘿嘿，支持楼上的意见。
邮箱密码可以自己修改下的嘛。。

oldjiang

GOOGLE看了看交换机MAC地址表，找到两个资料：
第一个：
二层交换技术发展比较成熟，二层交换机属数据链路层设备，可以识别数据包中的MAC地
址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地
址表中。具体的工作流程如下：
（1） 当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道
源MAC地址的机器是连在哪个端口上的；
（2） 再去读取包头中的目的MAC地址，并在地址表中查找相应的端口；
（3） 如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；
（4） 如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应
时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所
有端口进行广播了。
不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和
维护它自己的地址表。

第二个：
MAC地址伪造
伪造MAC地址也是一个常用的办法，不过这要基于你网络内的Switch是动态更新其地址表，这和ARP欺骗有些类似，只不过现在你是想要Switch相信你，而不是要机器A相信你。因为Switch是动态更新其地址表的，你要做的事情就是告诉Switch你是机器C。换成技术上的问题你只不过需要向Switch发送伪造过的数据包，其中源MAC地址对应的是机器C的MAC地址，现在Switch就把机器C和你的端口对应起来了。不过同时你需要DOS掉主机C

从（1）点看，数据包447的ETH层目的地址就用正常的组播地址（01：00：5E。。。）也行，为何却是被欺骗机器的地址呢？

[ 本帖最后由 oldjiang 于 2008-4-30 10:51 编辑 ]

xmubbs

花了快1个钟头看这个贴，反复看，反复想，反复查，现在清晰了，呵呵

oldjiang

交换机MAC地址表包含三种类型的地址，Dynamic address、Secure address、Static address，A secure address is a manually entered unicast address that is forwarded to only one port per VLAN。如果网关MAC设为其交换机端口的Secure address，那SSClone伪造的包447是不是会失效？
另外他要先做ARP扫描，做端口保护（port protected）就扫描不了了。

[ 本帖最后由 oldjiang 于 2008-4-30 13:33 编辑 ]

robur

版主说得很有道理啊，我也学习了，哈哈

wastebaby

那楼主所说的半自动交换机如何防于

ValorZ

cisco的交换机，看一下桥表就能看到错误的映射关系了

下图1是是pix防火墙  图2是cisco 2950 switch
网络接口   IP  MAC地址

[ 本帖最后由 ValorZ 于 2008-4-30 17:09 编辑 ]

ValorZ

看tyoe中有static,dynamic之分。所以，可以绑定..

55902000

其实有些路由器有一定免疫力的。好像会发免费ARP的路由器有一定免疫力吧。。。

[ 本帖最后由 55902000 于 2008-4-30 19:35 编辑 ]

oldjiang

原帖由 xmubbs 于 2008-4-30 11:27 发表
花了快1个钟头看这个贴，反复看，反复想，反复查，现在清晰了，呵呵

能否说说你的理解？比如对过程的，大家继续讨论。先说说我的理解：
1、首先做ARP扫描
2、发一个包，源MAC是网关的MAC
      如果交换机端口是动态地址，则MAC地址表中跟网关MAC对应的端口变为攻击者的端口，直到网关发包（包括第四步的包）
3、收到其他机器发给网关的包
4、如果要转发给真正的网关，则发ARP请求（源、目标MAC都正常），网关应答，转发，此时的地址表是正常的
5、重复2-4的过程

问题：
1、第一步ARP扫描的作用又是什么呢？似乎可有可无。
2、Robur兄弟没有说SSClone是否截获网关发给被攻击机器的包并转发给被攻击者，如果是，其过程又如何？

[ 本帖最后由 oldjiang 于 2008-5-1 00:10 编辑 ]

oldjiang

原帖由 55902000 于 2008-4-30 17:21 发表
其实有些路由器有一定免疫力的。好像会发免费ARP的路由器有一定免疫力吧。。。

如果12#的理解正确，那免费ARP的免疫力是假的，即不能防范攻击，只是恢复的比较快。

好心情

1、第一步ARP扫描的作用又是什么呢？似乎可有可无。
可以不用的，Skiller 中有个被动探测。
2、Robur兄弟没有说SSClone是否截获网关发给被攻击机器的包并转发给被攻击者，如果是，其过程又如何？
那个是httphijack的原理了。下行劫持。

lvfengg

原理可行，但是实际环境运用时，怀疑该软件劫持数据的可行性。
首先网关之所以叫网关，是因为所有网内主机全部通过它，进行数据的收发，所以，网关返回的到网内主机的数据流量是很大的。
攻击者，10pps速率伪造网关mac，这个基本上很难让伪造信息存活多长时间。当然lz的试验只有两台pc，效果当然没有问题。pc多了，效果就有限的很了。
如果你说，可以调高伪造mac的速率，1000pps或者更高等，那么将造成较严重的丢包，就是同一个mac地址反复两个端口切换学习，速率1000次/s，较差的交换机性能都要出问题，还有网内主机大量丢包。管理员立即知道该网出问题了。
查找攻击者，简单的很，网关mac位于错误端口，就攻击者。
要防范这种攻击，也很简单，交换机上，设置静态mac。
另外，还有一点，真的劫持到的数据，重新发给网关，那么劫持到多少数据包才发送一次？要知道，你伪造了网关的mac，那么等同于网内所有主机的流量都到你的主机来了，简单的说，你构造了一次小型ddos，目标自己。。。。你的pc什么性能，转发这么多报文？开玩笑！
所以，lz的试验效果，也就在极少量主机的时候，且这些主机流量甚少的时候，有一定效果。即原理可行，但实用性糟糕~

robur

原帖由 lvfengg 于 1/5/2008 08:36 发表
原理可行，但是实际环境运用时，怀疑该软件劫持数据的可行性。
首先网关之所以叫网关，是因为所有网内主机全部通过它，进行数据的收发，所以，网关返回的到网内主机的数据流量是很大的。
攻击者，10pps速率伪造网关 ...

确实如您所说，首先劫持交换机端口的这个事情是绝对不能省略的。在一个网关不断发包的网络中，似乎也只能通过提高发送欺骗数据包的速率来提高成功率。（这个在软件里确实是可调的）
查找攻击者，也不是那么简单，不可管理的交换机，总是让人很头疼。
主机多的话，这个软件有一个『被动模式』，据作者说是“劫持后不主动回复网络链路，可以减少本机发包数量。”
不过我觉得没什么大改善。

这东西是一个概念，我们知道有了，而且不得不预防一下。

playerwhj

分析得非常到位！！！

hzb

怎么把附件入到论坛里

xmubbs

原帖由 lvfengg 于 2008-5-1 08:36 发表
原理可行，但是实际环境运用时，怀疑该软件劫持数据的可行性。
首先网关之所以叫网关，是因为所有网内主机全部通过它，进行数据的收发，所以，网关返回的到网内主机的数据流量是很大的。
攻击者，10pps速率伪造网关 ...

实用与否，在于目的是什么，ARP的病毒有什么实用之处？

这个病毒，用来做木马盗号感觉不错，强制你掉线，然后重新密码验证。。。。。

lovefly

佩服，佩服国人，技术是肯定是有了，RFC，交换机设计的开始就存在这种技术。
但是 国外也没见过真正的利用工具啊。

garyx

原帖由 xmubbs 于 2008-5-4 09:18 发表


实用与否，在于目的是什么，ARP的病毒有什么实用之处？

这个病毒，用来做木马盗号感觉不错，强制你掉线，然后重新密码验证。。。。。

对!用来拿密码最好了!原理已经明白!谢谢各位!

ckb160

看了一下，楼主对本软件的介绍之后~本人在网上下载此工具`！做了一点点的研究~！
楼主的解释有非常多的不足地方~！本人在这里指出~！（希望你不见怪）
1：楼主说的： 会话监听、劫持、复制等操作。（其实这个软件本身是用来会话复制的，也就是拦截客户机发送给网关的数据包，如果拦截网关发送给客户机的数据包，那么就是会话劫持了。）
楼主所说的这么功能，确实非常神奇~！我不管它有多神奇~本人按照抓到的数据包分析一下
`！软件打开的时候`！必须有个IP扫描。得到所有存活的主机~`也就是楼主提到的 为什么出现
大量的ARP数据吧`！ 找到源攻击者就通过这个ARP数据`！这样子确实能找到~！如果说别人打开了软件，已经运行完了`IP扫描这步~！那就说明根本就不会有，ARP扫描的数据`！也就说很难查到攻击源了`
     但是楼上确没有明白`！此软件是一个嗅探类的工具`！我还说那句话所有的软件都是
局限性`！嗅探类软件在开始运行时，必须要侦测。如果要侦测它就得开启网卡的混杂模式
`！IP地址MAC地址都可以通过封装成~！包的时候改掉`！但是网卡的混杂模式下的IP和MAC是改不掉的`！
在混杂模式中，网卡进行包过滤不同于普通模式。本来在普通模式下，只有本地地址的数据包或者广播（多播等）才会被网卡提交给系统核心，否则的话，这些数据包就直接被网卡抛弃。现在，混合模式让所有经过的数据包都传递给系统核心，然后被程序利用。因此，如果能利用中间的“系统核心”，就能有效地进行是否混杂模式的检测！！
通过类似混杂模式网络检查工具`3秒就锁定了~！

ckb160

为什么说`！ 在混杂模式中改不了`！IP和MAC地址那
楼上可以测是一下`！我们现在目前用的捉包工具`！都是捉的
封装好的数据包~！就说那个IGMP数据包吧~！
224。0。0。22这个发送地址一看就是组播地址`！而且还是~！IGMP V3的版本 （这是什么意思我就不多解释了有三个版本的`）
程序运行的时候会生存`！IP  192。168。1。42 这个是不变的`！但是MAC地址会变的~！
~！这个时候楼主~！你现在在运行里打入`！IPCONFIG/ALL 你看看你IP和MAC地址是不是那个假的
和你本机的对照一样`！百分之百是不一样的`！你本机的才是 你源攻击真实地址和IP和MAC 地址了
~！但是通过数据包你又看不到这个真实的地址~！
呵呵~！~！你现在在局域网中开个 、混杂模式检查工具`！一下就看到那台机子`！
上面会显示你在攻击在还可以看到你在发送数据值~！`！        （有人说我把真实的IP和MAC改掉~！ 在攻击`！那你就是太笨了`！网吧的机子做了双绑的`！
既使你把MAC和IP改成一样的可以用了`但是你本机和另一个机子有冲突~！~！冲突时候还能发数据包吗~！）
看到电脑上显示IP冲突提示`1地球人都知道怎么做了~！

好心情

楼上和楼上的楼上，
你书读多了，发那么长，最后一句。

mac 相同 ip 不同时候才会出现ip冲突
mac 相同 ip 也相同 不会IP冲突的。

ip冲突和不冲突，跟程序发数据包有什么关系？
SSC的商业版本，数据包不含ip头。

zhf2100

哎...

看得我头大了!!!

还是先去充电网络知识

ckb160

这位~XXX人兄，你过实践知识吗`！
局域网`中出现二台相同的机子`！你发包的数据`！哪台机子接受啊~
你知道什么是~！信道共享吗`！知道工作原理吗
`！去学习一哈`！CSMA/CD吧~！

孤独的意尹者

原帖由 ckb160 于 2008-5-6 13:37 发表
这位~XXX人兄，你过实践知识吗`！
局域网`中出现二台相同的机子`！你发包的数据`！哪台机子接受啊~
你知道什么是~！信道共享吗`！知道工作原理吗
`！去学习一哈`！CSMA/CD吧~！

技术讨论，不要激动，呵呵，心平气和一点嘛～

孤独的意尹者

这种攻击很早之前在用户现场就发现过，可以称之为ARP变种，呵呵。就是欺骗交换机的ARP表

wwwang

原帖由 xmubbs 于 2008-5-4 09:18 发表


实用与否，在于目的是什么，ARP的病毒有什么实用之处？

这个病毒，用来做木马盗号感觉不错，强制你掉线，然后重新密码验证。。。。。

盗号不用这么麻烦，这个只是概念型的。

robur

希望大家只讨论技术，以事实为依据，不要打口水仗～