IDC中心的ARP攻擊與防御解決方案

IDC中心的ARP攻擊與防御解決方案

摘要:本文介紹了ARP協(xié)議的基本原理，闡述了ARP欺騙攻擊產(chǎn)生的原因及在IDC中常見(jiàn)攻擊手段，結(jié)合IDC中心的特點(diǎn)提出了ARP欺騙攻擊的預(yù)防方法，并給出解決方案。

關(guān)鍵詞:ARP攻擊;IP地址;MAC地址;IDC

1引言

ARP攻擊在各大數(shù)據(jù)中心(IDC中心)泛濫，使得國(guó)內(nèi)眾多機(jī)房或網(wǎng)絡(luò)運(yùn)營(yíng)商深惡痛絕。由于其攻擊的特性，它可以導(dǎo)致被攻擊網(wǎng)站或服務(wù)器的無(wú)法訪問(wèn)，或者使訪問(wèn)者訪問(wèn)其他錯(cuò)誤網(wǎng)址或接收到錯(cuò)誤信息，直接危害著企業(yè)的利益。因此，ARP欺騙攻擊嚴(yán)重影響了IDC中心的正常運(yùn)行和信息安全，如何進(jìn)行防范及清楚ARP病毒已成為網(wǎng)絡(luò)管理者迫切需要解決的問(wèn)題。

2ARP工作原理

ARP(AddressResolutionProtocol)是地址解析協(xié)議，提供了從IP地址到物理地址的映射。即通過(guò)已知的網(wǎng)絡(luò)層(IP層，也就是相當(dāng)于OSI的第三層)地址獲得數(shù)據(jù)鏈路層(MAC層，也就是相當(dāng)于OSI的第二層)的MAC地址。

ARP工作原理:主機(jī)A向主機(jī)B發(fā)送報(bào)文，會(huì)首先查詢本地的ARP緩存表，通過(guò)B的IP地址找到對(duì)應(yīng)的MAC地址后，就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到，則A會(huì)廣播一個(gè)ARP請(qǐng)求報(bào)文(此報(bào)文中包含主機(jī)A的IP地址到物理地址的映射及主機(jī)B的IP地址)，請(qǐng)求主機(jī)B回答其物理地址。網(wǎng)上所有主機(jī)包括B都收到該ARP請(qǐng)求，但只有主機(jī)B識(shí)別自己的IP地址，于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的。

3IDC中常見(jiàn)ARP欺騙攻擊方式

ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP地址到MAC地址映射。如果IDC的托管主機(jī)受到ARP病毒感染或是被黑客控制了，就可能出現(xiàn)了ARP欺騙攻擊。通常，被感染或被控制的主機(jī)會(huì)向本網(wǎng)段廣播偽造的ARP信息，這會(huì)導(dǎo)致同網(wǎng)段的其它托管主機(jī)或是網(wǎng)關(guān)的ARP表出現(xiàn)混亂，會(huì)造成這些主機(jī)無(wú)法進(jìn)行正常通信，更有甚者則會(huì)導(dǎo)致這些主機(jī)上的通信被監(jiān)聽(tīng)或竊取事件的發(fā)生等等問(wèn)題。

3.1欺騙攻擊

這是比較常見(jiàn)的攻擊，通過(guò)發(fā)送偽造的ARP包來(lái)欺騙路由和目標(biāo)主機(jī)，讓目標(biāo)主機(jī)認(rèn)為這是一個(gè)合法的主機(jī)。便完成了欺騙.這種欺騙多發(fā)生在同一網(wǎng)段內(nèi)，因?yàn)槁酚刹粫?huì)把本網(wǎng)段的包向外轉(zhuǎn)發(fā)，當(dāng)然實(shí)現(xiàn)不同網(wǎng)段的攻擊也有方法，便要通過(guò)ICMP協(xié)議來(lái)告訴路由器重新選擇路由。

(1)相同網(wǎng)段ARP欺騙

此種欺騙攻擊通常會(huì)偽造一個(gè)ARP_REPLY的響應(yīng)包發(fā)送給欲欺騙主機(jī)，人為指定該數(shù)據(jù)包中的源IP，目標(biāo)IP，源MAC地址，目標(biāo)MAC地址。通過(guò)此虛假的ARP響應(yīng)包修改欲欺騙主機(jī)的ARP緩存，達(dá)到欺騙目的。以圖1為例說(shuō)明相同網(wǎng)段間ARP欺騙過(guò)程。主機(jī)C欲非法入侵主機(jī)B，下面是具體的步驟:

①主機(jī)C首先研究與主機(jī)B正常通信的主機(jī)A，發(fā)現(xiàn)主機(jī)A漏洞。

②根據(jù)主機(jī)A的漏洞，使其暫時(shí)停止工作。

③主機(jī)C將自己IP地址改為。

④主機(jī)C向主機(jī)B發(fā)送一個(gè)ARP響應(yīng)包，其中源IP地址為，源MAC地址為CC:CC:CC:CC:CC:CC，要求主機(jī)B更新ARP緩存中IP地址到MAC地址的映射表.

⑤主機(jī)B更新了自己的ARP緩存。

⑥主機(jī)C成功入侵主機(jī)B。

以上為一個(gè)在同網(wǎng)段內(nèi)的ARP欺騙過(guò)程。

(2)不同網(wǎng)段ARP欺騙

如主機(jī)A與主機(jī)C在不同網(wǎng)段，上面的方法則不起作用。以圖2為例說(shuō)明不同網(wǎng)段間ARP欺騙過(guò)程。

在現(xiàn)在的情況下，位于192.168.1網(wǎng)段的主機(jī)C如何冒充主機(jī)B欺騙主機(jī)A呢?顯然用上面的辦法的話，即使欺騙成功，那么由主機(jī)C和主機(jī)A之間也無(wú)法建立telnet會(huì)話，因?yàn)槁酚善鞑粫?huì)把主機(jī)A發(fā)給主機(jī)B的包向外轉(zhuǎn)發(fā)，路由器會(huì)發(fā)現(xiàn)地址在192.168.0.這個(gè)網(wǎng)段之內(nèi)。

現(xiàn)在就涉及到另外一種欺騙方式——ICMP重定向。把ARP欺騙和ICMP重定向結(jié)合在一起就可以基本實(shí)現(xiàn)跨網(wǎng)段欺騙的目的。

ICMP重定向報(bào)文是ICMP控制報(bào)文中的一種。在特定的情況下，當(dāng)路由器檢測(cè)到一臺(tái)機(jī)器使用非優(yōu)化路由的時(shí)候，它會(huì)向該主機(jī)發(fā)送一個(gè)ICMP重定向報(bào)文，請(qǐng)求主機(jī)改變路由。路由器也會(huì)把初始數(shù)據(jù)報(bào)向它的目的地轉(zhuǎn)發(fā)。我們可以利用ICMP重定向報(bào)文達(dá)到欺騙的目的。下面是結(jié)合ARP欺騙和ICMP重定向進(jìn)行攻擊的步驟:

①主機(jī)C需將自己發(fā)出的非法IP包的存活時(shí)間改成最大。

②尋找主機(jī)B的漏洞使其暫時(shí)停止工作。

③當(dāng)主機(jī)A找不到原來(lái)的后，將更新自己的ARP對(duì)應(yīng)表。此時(shí)，主機(jī)C發(fā)送一個(gè)原IP地址為，MAC地址為CC:CC:CC:CC:CC:CC的ARP響應(yīng)包。

④現(xiàn)在每臺(tái)主機(jī)都知道了，一個(gè)新的MAC地址對(duì)應(yīng)，一個(gè)ARP欺騙完成了，但是，每臺(tái)主機(jī)都只會(huì)在局域網(wǎng)中找這個(gè)地址而根本就不會(huì)把發(fā)送給的IP包丟給路由。于是還需要構(gòu)造一個(gè)ICMP的重定向廣播。

⑤定制一個(gè)ICMP重定向包告訴網(wǎng)絡(luò)中的主機(jī)，到的路由最短路徑不是局域網(wǎng)，而是路由，請(qǐng)主機(jī)重定向你們的路由路徑，把所有到的IP包丟給路由。

⑥主機(jī)A接受這個(gè)合理的ICMP重定向，于是修改自己的路由路徑，把對(duì)的通訊都丟給路由器。

⑦主機(jī)C成功入侵主機(jī)A。

其實(shí)上面的想法只是一種理想話的情況，主機(jī)許可接收的ICMP重定向包其實(shí)有很多的限制條件，這些條件使ICMP重定向變的非常困難。

(3)ARP欺騙新表現(xiàn)形式

此種欺騙攻擊方式同上一樣，向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，區(qū)別在于它對(duì)HTTP報(bào)文的修改。

用戶在瀏覽某些網(wǎng)頁(yè)時(shí)，網(wǎng)頁(yè)中可能會(huì)包含一些惡意的代碼，這就是俗稱的“網(wǎng)頁(yè)木馬”，此種行為被稱為“掛馬”。主要有以下三種方法插入惡意代碼:

①局域網(wǎng)被ARP欺騙。當(dāng)網(wǎng)內(nèi)的一臺(tái)主機(jī)欲訪問(wèn)網(wǎng)外的WEB服務(wù)器時(shí)，該主機(jī)會(huì)將請(qǐng)求發(fā)給負(fù)責(zé)本網(wǎng)的網(wǎng)關(guān)，由網(wǎng)關(guān)到服務(wù)器獲得請(qǐng)求頁(yè)面再發(fā)給該主機(jī)。此時(shí)攻擊主機(jī)偽裝成網(wǎng)關(guān)將插入惡意代碼的網(wǎng)頁(yè)發(fā)給請(qǐng)求主機(jī)，對(duì)于該局域網(wǎng)內(nèi)的其他主機(jī)均可采取此種攻擊方法。

②服務(wù)器被ARP欺騙。服務(wù)器所處局域網(wǎng)內(nèi)，有主機(jī)被感染病毒，服務(wù)器發(fā)給用戶的網(wǎng)頁(yè)在傳輸過(guò)程中被插入惡意代碼。

③服務(wù)器被攻擊。服務(wù)器被入侵或感染病毒，硬盤上網(wǎng)頁(yè)文件被修改插入惡意代碼。

3.2MACFlooding

MACFlooding可以稱之為MAC洪泛現(xiàn)象，這是一個(gè)比較危險(xiǎn)的攻擊，可以溢出交換機(jī)的ARP表，使整個(gè)網(wǎng)絡(luò)不能正常通信。其中Flooding是一種快速散布網(wǎng)絡(luò)連接設(shè)備(如交換機(jī))更新信息到整個(gè)大型網(wǎng)絡(luò)打每一個(gè)節(jié)點(diǎn)的一種方法。交換機(jī)中也存放著一個(gè)ARP緩存表。同主機(jī)中的ARP緩存表相同，它也起到記錄網(wǎng)絡(luò)設(shè)備MAC地址與IP地址的對(duì)應(yīng)關(guān)系的功能。但是交換機(jī)中的ARP緩存表的大小是固定的，這就導(dǎo)致了ARP欺騙的另一種隱患:由于交換機(jī)可以主動(dòng)學(xué)習(xí)客戶端的MAC地址，并建立和維護(hù)這個(gè)ARP緩存表，當(dāng)某人