360ARP防火墙“智能追踪”原理探究
0x00关于本文 很早就知道360有个ARP防火墙,中学的微机课上还装个攻击程序来让老师电脑上的360报警,现在课上做ARP实验装了个靶机,忽然就想拿下来调戏一番,结果一调戏就发现一些问题了。 0x01360 ARP防火墙的功能 这个ARP防护功能在360的流量防火墙中的局域网防护中 一旦捕获到了攻击还能“智能追踪” MAC地址懒得打码了 0x01360 智能追踪功能实现原理 最开始,我的猜想是,这个追踪功能靠的是ARP包里面所声称的地址来实现的,因为欺骗者总是想要自己声称自己的MAC地址对应网关的地址,以此来欺骗受害者。 但是测了一下发现并不是这样。 用scapy命令send(ARP(op=1,hwsrc='11:45:14:19:19:81',hwdst='00:0C:29:AC:46:B5',psrc='192.168.1.1',pdst='192.168.1.235')) 构造一个非攻击者的地址发过去,但还是被360找到了真实的地址 这是怎么回事呢?那只能抓包看看了。 一看wireshark就找到问题了,原来以太帧里面就会有这个MAC地址 那么要是把以太帧上的源地址换掉会怎么样呢? 通过scapy可以轻易伪造源地址 sendp(Ether(src='11:45:14:19:38:6F')/ARP(op=1,hwsrc='11:45:14:19:19:81',hwdst='00:0C:29:AC:46:B5',psrc='192.168.1.1',pdst='192.168.1.235')) 结果360就只能看到错误的地址了 而360的“追踪”是怎么回事呢,抓包发现360是执行了一次局域网内的ARP扫描,尝试找到攻击者的MAC地址对应的IP地址: 通过这个简单的测试,我们已经知道了360ARP防火墙智能追踪功能的实现原理: 收到异常ARP包的时候,从以太帧中提取攻击者的真实MAC地址,然后执行ARP扫描,找到这个MAC地址对应的IP,从而实现追踪。 0x02 点评 360 ARP防火墙只能根据以太帧中的MAC地址来做“追踪”,因此攻击者可以随时改掉包中的地址来借刀别的机器或者让360追踪不出来,当然这并不是360技