• 伪造ICMP数据包的Ethernet层

    用户不仅可以对 ICMP 数据包的 IPv4 层进行伪造,还可以对 ICMP 数据包的 Ehternet 层进行伪造。这时,需要使用 netwox 工具中编号为 37 的模块。该模块可以伪造 ICMP 数据包的 MAC 地址信息。

    【实例】基于主机 192.168.59.131,伪造 ICMP 数据包的 Ethernet 层信息。

    1) 查看 ICMP 包的 Ehternet 默认值,执行命令如下:

    root@daxueba:~# netwox 37

    输出信息如下:

    Ethernet________________________________________________________.
    | 00:0C:29:AA:E0:27->00:08:09:0A:0B:0C type:0x0800                    |
    |_______________________________________________________________      |
    IP______________________________________________________________.
    |version|  ihl  |      tos      |            totlen                   |
    |___4___|___5___|____0x00=0_____|___________0x001C=28___________      |
    |              id                     |r|D|M|       offsetfrag        |
    |__________0x18A0=6304__________|0|0|0|________0x0000=0_________      |
    |      ttl      |   protocol    |           checksum                  |
    |____0x00=0_____|____0x01=1_____|____________0x9A08_____________      |
    |                            source                                   |
    |________________________192.168.59.131_________________________      |
    |                          destination                                |
    |____________________________5.6.7.8____________________________      |
    ICMP4_echo reply________________________________________________.
    |     type      |     code      |           checksum                  |
    |____0x00=0_____|____0x00=0_____|_________0xFFFF=65535__________      |
    |              id               |            seqnum                   |
    |___________0x0000=0____________|___________0x0000=0____________      |
    | data:                                                               |
    |_______________________________________________________________      |

    在以上输出信息中,第一行 Ethernet 表示 ICMP 数据包是基于以太网的数据包。

    默认源 MAC地址为 00:0C:29:AA:E0:27,目标 MAC 地址为 00:08:09:0A:0B:0C。

    2) 伪造源 MAC 地址为 11:22:33:AA:BB:CC,指定目标 IP 地址为 192.168.59.135,MAC 地址为 00:0C:29:CA:E4:66。执行命令如下:

    root@daxueba:~# netwox 37 -a 11:22:33:aa:bb:cc -m 192.168.59.135 -b 00:0c:29:ca:e4:66 -o 8

    输出信息如下:

    Ethernet________________________________________________________.
    | 11:22:33:AA:BB:CC->00:0C:29:CA:E4:66 type:0x0800                    |
    |_______________________________________________________________      |
    IP______________________________________________________________.
    |version|  ihl  |      tos      |            totlen                   |
    |___4___|___5___|____0x00=0_____|___________0x001C=28___________      |
    |              id                     |r|D|M|       offsetfrag        |
    |__________0x246B=9323__________|0|0|0|________0x0000=0________       |
    |      ttl      |   protocol    |           checksum                  |
    |____0x00=0_____|____0x01=1_____|____________0x9E08_____________      |
    |                            source                                   |
    |________________________192.168.59.131_________________________      |
    |                          destination                                |
    |________________________192.168.59.135_________________________      |
    ICMP4_echo reply________________________________________________.
    |     type      |     code      |           checksum                  |
    |____0x00=0_____|____0x00=0_____|_________0xFFFF=65535__________      |
    |              id               |            seqnum                   |
    |___________0x0000=0____________|___________0x0000=0____________      |
    | data:                                                               |
    |_______________________________________________________________      |

    从 Ethernet 部分可以看到,源 MAC 地址由原来的 00:0C:29:AA:E0:27 变为了 11:22:33:aa:bb:cc;目标 MAC 地址由原来的 00:08:09:0A:0B:0C 变为了 00:0C:29:CA:E4:66;而 IP 部分 Source 的值保留原来的值。

    3) 为了验证构建的 ICMP 数据包,可以捕获数据包查看,如图所示。

更多...

加载中...