免费ARP(GARP)及窥探明文密码

免费ARP， 也有称无故ARP， 其英文原词是Gratuitous ARP， Gratuitous直译为中文是“免费的, 无理由的”， 小编还是觉得英文原词更能表达其所代表的含义， 字面上Gratuitous ARP 更好理解一些。

　　以太网中为什么要用到Gratuitous ARP（以下简称GARP）呢？

　　第一， 主机可以通过GARP向网络发送广播， 以告诉整个广播域， 目前某个IP所对应的MAC地址是什么——这一行为就像是在发宣传单， 而宣传单是不需要回应的。

　　各位同学请看下图中的8-10行内容， 这里只有“宣传单”——GARP Request数据包， 而没有回应数据包。 小编是这样做的， 在主机A1上运行抓包工具， 然后重起主机A2， 两台主机在同一个广播域中， 主机A2在启动过程中其中有一步会向网络发送GARP Request数据包。

    主机A1收到GARP Request数据包， 更新了自己的ARP缓存表， 但它不会对该数据包给以回应——也就是“只入不出”。

第二， 主机是想看看广播域内有没有别的主机使用自己的IP地址， 如果使用了， 则在界面上弹出“IP冲突”字样。 普通ARP请求报文广播发送出去， 广播域内所有主机都会接收到， 计算机系统判断ARP请求报文中的目的IP地址字段， 如果发现和本机的IP地址相同， 则将自己的MAC地址填写到该报文的目的MAC地址字段， 并将该报文发回给源主机。 所以只要发送ARP请求的主机接收到报文， 则证明广播域内有别的主机使用和自己相同的IP地址（这里不考虑路由器的ARP代理问题）。 免费ARP的报文发出去是不希望收到回应的， 只希望是起宣告作用；如果收到回应， 则证明对方也使用自己目前使用的IP地址， 如下图：

    GARP的漏洞

　　根据上述第一种作用能发现GARP带来的漏洞， 因为目前的局域网上都没有安全的认证系统， 所以任何主机都可以发送这样的GARP广播， 这样就会出现 MAC地址欺骗。 假如局域网内有主机A1， A2， A3， A3正在与A1制进行通信， 这时A2（攻击者）向局域网内发送了一个免费ARP广播， 其源IP地址为A1的地址， 源MAC地址为A2的MAC地址。 A3在收到这样的报文后， 会将自己ARP缓存中A1的MAC地址改为A2的MAC地址， 这就形成 了MAC地址欺骗， 这样A3会将所有该发给A1的信息都发送给A2， A2再通过抓包分析就可以得到很多不该知道的信息， 尤其是对于未加密的数据传输， 例如获得FTP的明文密码。

    小编在10.0.0.10这台主机上设置的FTP服务器禁用了anonymous登录， 创建了一个ftpuser帐户。 在10.0.0.30主机上尝试登录， 小编输入了两次错误的密码：wrong_password 和 wrong_again， 最后输入正确密码， 登录成功。 全被看到了鸟~

　　其实使用WIRESHARK也可以看到这些内容， 只是看起来会比较眼花， 如下图：

    上图中在34-37行的内容中可以看到第一次登录尝试， 没成功， 同样的情形在46-49行也可以看到。 在第59-62行的内容中可以看到登录成功了， 帐户是：ftpuser ， 密码是ftpaccess.