ARP的攻擊與防范

ARP攻*和防范1?前曰很多文章針對ARP協(xié)議的原理和缺點進行了描述。但是并沒有全面提出ARP的攻擊，防護策略。本文就網(wǎng)絡(luò)針對性解決方法作一些闡述。內(nèi)容包括：ARPFlooding的攻擊與防范中間人欺騙的攻擊與防范ARPSpoofing（ARP病毒）的攻擊與防范2.ARP協(xié)議的原理和缺點。在以太網(wǎng)中傳輸?shù)臄?shù)據(jù)包是以太包，而以太包的尋址是依據(jù)其首部的物理地址（MAC地址）。僅僅知道某主機的邏輯地址（IP地址）并不能讓內(nèi)核發(fā)送一幀數(shù)據(jù)給此主機，內(nèi)核必須知道目的主機的物理地址才能發(fā)送數(shù)據(jù)。ARP協(xié)議的作用就是在于把邏輯地址變換成物理地址，也既是把32bit的IP地址變換成48bit的以太地址。每一個主機都有一個ARP高速緩存，此緩存中記錄了最近一段時間內(nèi)其它IP地址與其MAC地址的對應(yīng)關(guān)系。如果本機想與某臺主機通信，則首先在ARP高速緩存中查找此臺主機的IP和MAC信息，如果存在，則直接利用此MAC地址構(gòu)造以太包；如果不存在，則向本網(wǎng)絡(luò)上每一個主機廣播一個ARP請求包，其意義是"如果你有此IP地址，請告訴我你的MAC地址"，目的主機收到此請求包后，發(fā)送一個ARP響應(yīng)包，本機收到此響應(yīng)包后，把相關(guān)信息記錄在ARP高速緩存中，以下的步驟同上?？梢钥闯觯珹RP協(xié)議是有缺點的，第三方主機可以構(gòu)造一個ARP欺騙包，而源主機卻無法分辨真假。按照RFC的規(guī)定，PC在發(fā)ARP響應(yīng)時，不需要一定要先收到ARP請求報文，局域網(wǎng)中任何一臺PC都可以向網(wǎng)絡(luò)內(nèi)其它PC通告：自己就是PCA和MACA的對應(yīng)關(guān)系，這就給攻擊者帶來可乘人之危的漏洞，如下圖所示：下面就以下三種常見的網(wǎng)絡(luò)攻擊逐一進行介紹。ARPFlooding的攻擊與防范中間人欺騙的攻擊與防范ARPSpoofing（ARP病毒）的攻擊與防范。。3.1ARPFlooding的攻擊與防范ARPFlooding又叫MACFlooding，即我們所說的MAC地址泛洪。a） 攻擊原理交換機能夠主動學(xué)習(xí)客戶端的MAC地址，并建立和維護端口和MAC地址的對應(yīng)表以此建立交換路徑，這個表就是通常我們所說的MAC地址表。MAC地址表的大小是固定的，不同的交換機的MAC地址表大小不同。MACFlooding攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿MAC地址表，交換機MAC地址表被填滿后，交換機以廣播方式處理通過交換機的報文，這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。MAC地址表滿了后，流量以洪泛方式發(fā)送到所有接口，也就代表TRUNK接口上的流量也會發(fā)給所有接口和鄰接交換機，會造成交換機負載過大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。b） 典型的病毒攻擊案例曾經(jīng)對網(wǎng)絡(luò)照成非常大威脅的SQL蠕蟲病毒就利用組播目標(biāo)地址，構(gòu)造假目標(biāo)MAC來填滿交換機CAM表。其特征如下圖所示：

隨 日府列#1斜豆1送I隨 日府列#1斜豆1送Ic）防利用交換機端口與MAC地址綁定的功能，同時利用限制端口學(xué)習(xí)MAC地址的數(shù)量來達到防范的目的。做就iji商3 您asifljaifiuiw面etEursrItt>b-M：i?itinIjE□■腿鼻史uc!>ML：+tt>4?tEtESCCDCPM宓毒X”,名WIX宓mDK355E2=*CMCgMF。眼tn*%#1er；岫OFX"■麗中村在HnB??c?is?rc■C￡O$04ttcFflTKOD55O>r+*Jd）網(wǎng)絡(luò)防范措施介紹利用端口安全這個特性，你可以通過限制允許訪問交換機上某個端口的MAC地址以及IP（可選）來實現(xiàn)嚴(yán)格控制對該端口的輸入。當(dāng)你為安全端口（打開了端口安全功能的端口）配置了一些安全地址后，則除了源地址為這些安全地址的包外，這個端口將不轉(zhuǎn)發(fā)其它任何包。此外，你還可以限制一個端口上能包含的安全地址最大個數(shù)，如果你將最大個數(shù)設(shè)置為1，并且為該端口配置一個安全地址，則連接到這個口的工作站（其地址為配置的安全M地址）將獨享該端口的全部帶寬。為了增強安全性，你可以將地址和地址綁定起來作為安全地址。當(dāng)然你也可以只指定MAC地址而不綁定IP地址。如果一個端口被配置為一個安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達到允許的最大個數(shù)后，如果該端口收到一個源地址不屬于端口上的安全地址的包時，一個安全違例將產(chǎn)生。當(dāng)安全違例將產(chǎn)生時，你可以選擇多種方式來處理違例，比如丟棄接收到的報，發(fā)送違例通知或關(guān)閉相應(yīng)端口等。當(dāng)你設(shè)置了安全端口上安全地址的最大個數(shù)后，你可以使用下面幾種方式加滿端口上的安全地址：你可以使用接口配置模式下的命令：switchportport-securitymac-addressmac-address[ip-addressip-address]來手工配置端口的所有安全地址。你也可以讓該端口自動學(xué)習(xí)地址，這些自動學(xué)習(xí)到的地址將變成該端口上的安全地址，直到達到最大個數(shù)。你也可以手工配置一部分安全地址，剩下的部分讓交換機自己學(xué)習(xí)。當(dāng)違例產(chǎn)生時，你可以設(shè)置下面幾種針對違例的處理模式：protect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包restrict：當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap通知shutdown:當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。3.2ARP欺騙/MITM（Man-In-The-Middle）攻擊與防范a） 攻擊原理按照ARP協(xié)議的設(shè)計，為了減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，一個主機，即使收到的ARP應(yīng)答并非自己請求得到的，它也會將其插入到自己的ARP緩存表中，這樣，就造成了“ARP欺騙”的可能。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機之間的通信（即使是通過交換機相連），他會分別給這兩臺主機發(fā)送一個ARP應(yīng)答包，讓兩臺主機都“誤”認為對方的MAC地址是第三方的黑客所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。在這種嗅探方式中，黑客所在主機是不需要設(shè)置網(wǎng)卡的混雜模式的，因為通信雙方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機的。b） 典型的攻擊案例

目前利用ARP原理編制的工具十分簡單易用，這些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超過30種應(yīng)用的密碼和傳輸內(nèi)容。下面是測試時利用工具捕獲的TELNET過程，捕獲內(nèi)容包含了TELNET密碼和全部所傳的內(nèi)容：l*U!fv4fdS:日Um備曾牯J壬十三七勺珂坷際。口染葡響■由,，[g …!pi■虹■l■'r[bBIpOTilsl*U!fv4fdS:日Um備曾牯J壬十三七勺珂坷際?？谌酒享憽鲇?，[g …!pi■虹■l■'r[bBIpOTilsmTal*4lj嘩ipg iiith.I：MIL-0 Ji-lft Be[MI 2* TrleiiL-±^!^3±^4l￡ .LE4J E 丁|1由時40做39浙*3酩LBfiJ ? 單宓由皿JIL#I S Tiln.L-WS23d^S3|lM.l.S 閔IM.l 4 LlmL加y強mmL皈I4 炬ME靠.wi 4 niwmi蛔心&耍ttl-fs玷feuw^conificur^tIBfV■lCorrvMcvnfifucaihonr網(wǎng)邛bjlvrFtWUel?r2Pfl p>?4^rvieatw<rw>?U|MfiTfc*#mi^evtc* yptiwiifiCVKA critic更嚀1“|尋hl[4.hr-暗[■MH-￡&ri"]SjJkHtthil+wiu|RhovtniMmvhNp-kfiwrdiriJ<*4i不僅僅是以上特定應(yīng)用的數(shù)據(jù)，利用中間人攻擊者可將監(jiān) 控到數(shù)據(jù)直接發(fā)給SNIFFER等嗅探器，這樣就可以監(jiān)控所有被欺騙用戶的數(shù)據(jù)。還有些人利用ARP原理開發(fā)出網(wǎng)管工具，隨時切斷指定用戶的連接。這些工具流傳到搗亂者手里極易使網(wǎng)絡(luò)變得不穩(wěn)定，通常這些故障很難排查。c） 防范原理為了應(yīng)對中間人欺騙，就需要交換機除了能夠開啟端口安全，對IP與MAC進行綁定之外，還需要有相關(guān)機制對ARP報文進行深入的檢查。這對交換機設(shè)備廠商來說是一種挑戰(zhàn)。d） 網(wǎng)絡(luò)防范措施利用交換機端口ARP檢查安全功能：打開ARP報文檢查ARP報文中的源IP和源MAC是否和綁定的一致，可有效防止安全端口上欺騙ARP，防止非法信息點冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。需要注意該功能是否在802.1x端口下也支持。缺省情況下，安全地址只會檢查IP報文，有時管理員還需要檢查ARP報文的合法性，那么可以通過全局配置模式下的port-securityarp-check[cpu]來打開對ARP報文的檢查。3.3ARP欺騙/MITM(Man-In-The-Middle)攻擊與防范攻擊原理與前面中間人欺騙的原理類似，只是這里攻擊者欺騙的不是兩臺主機，而是欺騙了主機與網(wǎng)關(guān)之間的通信。目前ARP病毒種類較多。有進行欺騙但是進行轉(zhuǎn)發(fā)的；有進行欺騙但不進行轉(zhuǎn)發(fā)的。前者將造成客戶PC與網(wǎng)關(guān)之間的通訊信息被攻擊者所截獲，后者將造成網(wǎng)絡(luò)的癱瘓。形式上主要分為一種是欺騙路由器/交換機等關(guān)鍵IP設(shè)備，或者欺騙客戶端PC，另一種就是兩者都進行欺騙。但是ARP病毒的原理基本上一致，就是發(fā)送偽造的ARP應(yīng)答包來更新ARP緩存達到欺騙的目的。ARP病毒分析下面拿出網(wǎng)吧中的實際案例進行分析。當(dāng)局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時(這個木馬可能是被植入了主機所運行的游戲外掛中)，會欺騙局域網(wǎng)內(nèi)所有主機和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。切換到病毒主機上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機就可以盜號了。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。在路由器的“系統(tǒng)歷史記錄”中看到大量如下的信息：MACChged24MACOld00:01:6c:36:d1:7fMACNew00:05:5d:60:c7:18這個消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運行的時候，局域網(wǎng)所有主機的MAC地址更新為病毒主機的MAC地址（即所有信息的MACNew地址都一致為病毒主機的MAC地址），同時在路由器的“用戶統(tǒng)計”中看到所有用戶的MAC地址信息都一樣。如果是在路由器的“系統(tǒng)歷史記錄”中看到大量MACOld地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙（ARP欺騙的木馬程序停止運行時，主機在路由器上恢復(fù)其真實的MAC地址）。c） 防范方法不管是何種ARP病毒，其危害是顯而易見的。那么如何進行有效防范呢？臨時處理對策：步驟一.在能上網(wǎng)時，進入MS-DOS窗口，輸入命令：arp-a查看網(wǎng)關(guān)IP對應(yīng)的正確MAC地址，將其記錄下來。注：如果已經(jīng)不能上網(wǎng)，則先運行一次命令arp-d將arp緩存中的內(nèi)容刪空，計算機可暫時恢復(fù)上網(wǎng)（攻擊如果不停止的話），一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運行arp-a。步驟二.如果已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)時，手工將網(wǎng)關(guān)IP和正確MAC綁定，可確保計算機不再被攻擊影響。手工綁定可在MS-DOS窗口下運行以下命令：arp-s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC在網(wǎng)關(guān)/交換機上進行ARP病毒防范（依賴于各廠商設(shè)備）d） 網(wǎng)絡(luò)防范措施利用交換機端口ARP檢查安全功能：打開ARP報文檢查ARP報文中的源IP和源MAC是否和綁定的一致，可有效防止安全端口上欺騙ARP，防止非法信息點冒充網(wǎng)關(guān)設(shè)備的IP。針對目前ARP欺騙基本上是網(wǎng)關(guān)欺騙，網(wǎng)絡(luò)進行了專門的研究，提