黑客教程:PPPoE的验证方法以及对其的利用

核心提示： 2、PPP over Ethernet基本帧格式建立一个以太网上点对点协议会话包括两个阶段：1，发现(Discovery)阶段，黑客教程:PPPoE的验证方法以及对其的利用(3)，在Discovery过程中用户主机以广播方式寻找可以连接的所有的接入集线器，并获得其以太网MAC地址，不用多说

2、PPP over Ethernet基本帧格式

建立一个以太网上点对点协议会话包括两个阶段：1。发现(Discovery)阶段。在Discovery过程中用户主机以广播方式寻找可以连接的所有的接入集线器，并获得其以太网MAC地址。然后选择需要连接的主机并确定所要建立的PPP会话识别标号。2。PPP会话阶段。用户主机与接入集线器根据在发现阶段所协商的PPP会话连接参数进行PPP会话。因此对应于这两种过程，以太网上点对点协议帧格式(如图2)也包括两种类型：发现阶段的以太网帧中的类型字段为0x8863;PPP会话阶段的以太网帧中的类型字段为0x8864，它们均已得到IEEE的认可。PPPoE包中的版本(VER) 字段和类型(TYPE)字段长度均为4比特，在当前版本PPPoE建议中这两个字段值都固定为0x1。代码(CODE)字段长度为8比特，根据两阶段中各种数据包的不同功能而值不同。在PPP会话阶段CODE字段为0x00，发现阶段中的各种数据包格式将在下面详细介绍发现阶段时给出。版本标识号码(SESSION_ID)字段长度为16比特，在一个给定的PPP会话过程中它是固定不变的。值0xffffff为保留值。长度(LENGTH)字段为16比特长，指示PPPoE净荷长度。发现阶段PPPoE载荷可以为空或由多个标记(TAG)组成，每个标记都是TLV(类型-长度-值)的结构;PPP会话阶段PPPoE载荷为标准的点对点协议包。

3、发现(Discovery)阶段的详细介绍

一个典型的发现(Discovery)阶段共包括4个步骤：

1、主机发出PPPoE有效发现启动(PADI)包。以太网目的地址为广播地址0xffffffffffff， CODE字段为0x09，SESSION_ID为0x0000。PADI包必须至少包含一个服务名称类型的标签(标签类型字段为0x0101)，向接入集线器提出所要求提供的服务。

2、接入集线器收到在服务范围内的PADI包后，发送PPPoE有效发现提供(PADO)包以响应请求。其CODE字段为0x07，SESSION_ID仍为0x0000。PADO包必须包含一个接入集线器名称类型的标签(标签类型字段为0x0102)以及一个或多个服务名称类型标签，表明可向主机提供的服务种类。

3、主机在可能收到的多个PADO包中选择一个合适的，然后向所选择的接入集线器发送PPPoE有效发现请求(PADR)包。其CODE字段为0x19，SESSION_ID仍为0x0000。PADR包必须包一个服务名称类型标签，确定向接入集线器请求的服务种类。

4、接入集线器收到PADR包后准备开始PPP会话，它发送一个PPPoE有效发现会话确认(PADS)包。其CODE字段为0x65，SESSION_ID为接入集线器所产生的一个唯一的PPPoE会话标识号码。PADS包也必须包含一个接入集线器名称类型的标签确认向主机提供的服务。当主机收到PADS包确认后，双方就进入PPP会话阶段。

三、PPPoE验证的利用

从上面的过程我们需要注意两点：发现阶段是广播方式进行的。会话阶段是单播;客户端通常选择反应最的PPPOE服务器进行身份验证和接入，什么是反应快?我们可以理解成客户端将与最近的PPPOE服务器进行身份验证。

利用思路：这就是今天要说的关键，如果我们架设一个PPPOE服务器，那么与我们同一交换机或集线器(通常是一个楼层)的用户都将会选择这个服务器进行接入和身份验证，而不会去寻找远方的PPPOE服务器。

下面说一下利用过程：

1、架设PPPOE服务器。架设PPPOE服务器，原作者是利用Windows Server2003的“路由与远程访问”服务来架设的，然后安装PPPoE驱动，这样使得路由与远程访问服务增加了PPPOE服务。当然也可使用Linux系统，网上有一篇关于Linux+PPPoE服务器的文章。

2、将PPPOE身份验证设为未加密方式(具体情况还得取决与PPPOE服务器)，不用多说，这主要是为了方便明文嗅探。

3、使用Sniffer进行嗅探。