Arp欺騙實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制方法研究

1、9Symantec-技術(shù)資料Arp 欺騙實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制方法分析北京賽門鐵克信息技術(shù)有限公司20062006 年 0808 月版本變更記錄版本 修訂日期修訂人描述1.02006-8-11 葉永軍初稿第 1 1 章 ARPARP 欺騙的原理 1 11.1ARP協(xié)議介紹 11.2ARP病毒/ARP木馬工作原理 21.2.1病毒故障現(xiàn)象21.2.2病毒實(shí)現(xiàn)原理31.3ARP實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制的原理3第 2 2 章 ARPARP 欺騙的防范措施 4 42.1 防范 ARP欺騙的重要性 42.2 防范 ARP的措施 52.2.1設(shè)置靜態(tài)Mac表52.2.2應(yīng)用反Arp欺騙技術(shù)5第 3 3 章 ARPARP

2、 欺騙實(shí)現(xiàn)網(wǎng)絡(luò)控制的問題5 53.1 防范 ARP 欺騙與利用 ARP 欺騙的矛盾 63.2 控制的效果 63.3 對網(wǎng)絡(luò)的負(fù)面影響 7第 4 4 章 ARPARP 技術(shù)的有效運(yùn)用7 7第1章ARP欺騙的原理局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。通過偽造IP地址和MAC地 址實(shí)現(xiàn)ARP欺騙，可以實(shí)現(xiàn)交換環(huán)境下的會話嗅探，第三方會話劫持攻擊；不 當(dāng)?shù)腁RP欺騙可能導(dǎo)致整個局域網(wǎng)的不穩(wěn)定甚至癱瘓；一些網(wǎng)絡(luò)管理軟件利用ARP欺騙也可以實(shí)現(xiàn)局域網(wǎng)強(qiáng)制接入的控制（如Internet上流行的“網(wǎng)絡(luò)執(zhí)法 官”工具）。本文將詳細(xì)分析A

3、RP欺騙的工作原理，給網(wǎng)絡(luò)可能造成的不穩(wěn)定因素以及 防范措施，并證明采用ARP欺騙技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)接入控制的局限性。1.1 Arp 協(xié)議介紹對Arp協(xié)議和工作原理比較了解的讀者可以跳過此章節(jié)。ARP協(xié)議是“Address Resolution ProtocoI” （地址解讀協(xié)議）的縮寫。在 局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫保瑤锩媸怯心繕?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主 機(jī)的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解讀 協(xié)議獲得的。所謂“地址解讀”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本

4、功能就是通過目標(biāo)設(shè)備的IP地址，查詢目 標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如下表所示：主機(jī)IP地址MAC地址A aa-aa-aa-aa-aa-aaB bb-bb-bb-bb-bb-bbC cc-cc-cc-cc-cc-ccD dd-dd-dd-dd-dd-dd我們以主機(jī)A()向主機(jī)B()發(fā)送數(shù)據(jù)為例。當(dāng) 發(fā)送數(shù)據(jù)時，主機(jī)A會在自己的ARP緩存表

5、中尋找是否有目標(biāo)IP地址。如果 找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就 可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機(jī)A就會在網(wǎng)絡(luò) 上發(fā)送一個廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.F”F，這表示向同一網(wǎng)段 內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“的MAC地址是什么？”網(wǎng)絡(luò)上 其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個幀時，才向主機(jī)A做出 這樣的回應(yīng)：“的MAC地址是bb-bb-bb-bb-bb-bb”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。 同時它還更 新了自己

6、的ARP緩存表， 下次再向主機(jī)B發(fā)送信息時， 直接從ARP緩存表里 查找就可以了。ARP緩存表采用了老化機(jī)制，在一段時間內(nèi)如果表中的某一行 沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速 度。1.2 Arp 病毒 /Arp 木馬工作原理2006年上半年，在全國大范圍內(nèi)爆發(fā)了一種通過傳奇網(wǎng)絡(luò)游戲外掛傳播的木馬病毒，對眾多企業(yè)、教育、政府單位的網(wǎng)絡(luò)造成嚴(yán)重影響。通過Google搜索可以查閱更詳細(xì)的關(guān)于該病毒的報(bào)道。1.2.1病毒故障現(xiàn)象當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主 機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路 由器

7、上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時候用戶會斷一次線。切換到病 毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機(jī)就會經(jīng)常偽造 斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機(jī)就可以盜號 了。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊 擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙 的木馬程序停止運(yùn)行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一 次線。1.2.2病毒實(shí)現(xiàn)原理從上面介紹的Arp協(xié)議可以看出，ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有 的人，那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。攻擊者對局域網(wǎng)終端和網(wǎng)關(guān) 進(jìn)行欺騙，終

8、端和網(wǎng)關(guān)的通信將由攻擊者進(jìn)行中間轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)會話嗅探和 劫持。詳細(xì)過程如下：對目標(biāo)A進(jìn)行欺騙，A去Ping主機(jī)C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個地址上。如果進(jìn)行欺騙的時候，把C的MAC地址騙為DD-DD-DD-DD- DD-DD，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能 夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。A對這個變化一點(diǎn)都沒有意識到，但是接下來的事情就讓A產(chǎn)生了懷疑。 因?yàn)锳和C連接不上了。D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。做“man in the middle”，進(jìn)行ARP重定向。打開D的IP轉(zhuǎn)發(fā)功能，A發(fā) 送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C,好比一個

9、路由器一樣。D直接進(jìn)行整個包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進(jìn)行修 改后再轉(zhuǎn)發(fā)給C,而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來的。不過，C發(fā) 送的數(shù)據(jù)包又直接傳遞給A，倘若再次進(jìn)行對C的ARP欺騙?，F(xiàn)在D就完全 成為A與C的中間橋梁了，對于A和C之間的通訊就可以了如指掌了。1.3 Arp 實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制的原理一些網(wǎng)管軟件通過Arp欺騙的方式實(shí)現(xiàn)了網(wǎng)絡(luò)準(zhǔn)入控制，其原理與Arp木 馬工作原理非常類似。網(wǎng)管軟件通過向局域網(wǎng)終端發(fā)送Arp欺騙數(shù)據(jù)包， 修改網(wǎng)關(guān)IP地址的Mac地址應(yīng)答，由于局域網(wǎng)終端學(xué)習(xí)到的網(wǎng)關(guān)Mac地址為虛假的Mac地址，導(dǎo)致終 端發(fā)送到網(wǎng)關(guān)的通信不會被網(wǎng)關(guān)接受，從而不能連接

10、到網(wǎng)關(guān)。在以上方式中， 只能控制終端與網(wǎng)關(guān)的通信，如果需要控制終端與同網(wǎng)段內(nèi)其他所有終端的通 信，則需要對該被控終端進(jìn)行更多的arp欺騙。也有個別網(wǎng)管軟件為了保證控制效果，不僅僅對被控終端進(jìn)行arp欺騙， 還對所有網(wǎng)段中的正常終端進(jìn)行欺騙，從而保證被控終端與正常終端雙向都不 能正常通信。需要主意的是：由于Arp地址表會定期刷新，因此必需以一定的頻率反復(fù) 發(fā)送arp欺騙包，保證控制效果。實(shí)際應(yīng)用中，發(fā)送頻率通常為秒級，如5-10秒，才能確保壓制的效果。第2章ARP欺騙的防范措施2.1 防范 Arp 欺騙的重要性ARP欺騙利用了Arp協(xié)議完全信任，缺少安全鑒別機(jī)制的安全漏洞，給網(wǎng) 絡(luò)管理者帶來了很

11、大的挑戰(zhàn)。Arp病毒/木馬、“網(wǎng)絡(luò)執(zhí)法官”等非法軟件的使 用，極大地增加了局域網(wǎng)安全隱患，包括：信息泄漏只需要簡單的arp欺騙工具和操作步驟（如著名的CAIN工具，只需要點(diǎn) 擊兩個按鈕，sniffer和arp欺騙），就可以實(shí)現(xiàn)對交換環(huán)境中的通信進(jìn)行嗅探， 包括管理員管理賬戶口令、用戶各種應(yīng)用（mail、ftp、web）賬戶口令、用戶通 信內(nèi)容等，導(dǎo)致嚴(yán)重的信息泄漏，為更嚴(yán)重的攻擊行為提供了條件。Arp病毒Arp病毒的主要危害不僅僅體現(xiàn)在病毒本身的目的，比如竊取傳奇賬號 等，更為嚴(yán)重的是其對網(wǎng)絡(luò)運(yùn)行的拒絕服務(wù)攻擊。一方面，由于ARP欺騙的木 馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞，

12、另一方面，由于 自身處理能力的限制，經(jīng)常導(dǎo)致攻擊者的網(wǎng)絡(luò)通信中轉(zhuǎn)失敗或效能下降，導(dǎo)致 正常用戶網(wǎng)絡(luò)中斷或者網(wǎng)絡(luò)速度極慢。網(wǎng)絡(luò)執(zhí)法官”等非法軟件的濫用個別用戶處于好奇、 好玩等目的， 下載使用“網(wǎng)絡(luò)執(zhí)法官”等非法控制軟 件， 通過arp欺騙，可以讓任意終端網(wǎng)絡(luò)連接中斷。2.2 防范 Arp 的措施2.2.1設(shè)置靜態(tài)Mac表不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，（rarp同 樣存在欺騙的問題），設(shè)置靜態(tài)的MAC-IP對應(yīng)表，可以杜絕Arp欺騙包刷 新Mac地址表。2.2.2應(yīng)用反Arp欺騙技術(shù)針對arp木馬流行，越來越多的管理者注意到了Arp欺騙的危害，安全廠 商、安全軟件開發(fā)

13、者也針對這種攻擊行為有了相應(yīng)的解決方案。最常用的ARP欺騙攔截技術(shù)原理如下：Arp欺騙的一個重要特征是通過Arp Reply的高頻率發(fā)送，刷新用戶的Mac地址表，而事實(shí)上，針對這些Reply包，用戶并沒有發(fā)送相應(yīng)的請求包。因此，一個簡單的技術(shù)機(jī)制可以很好地應(yīng) 對Arp欺騙攻擊，主機(jī)對于接受到的沒有請求過的Arp Reply數(shù)據(jù)包直接丟棄 并告警，就可以實(shí)現(xiàn)Arp欺騙的防范，并定位進(jìn)行攻擊的攻擊源。網(wǎng)關(guān)層面，目前主流交換機(jī)、路由器廠商的設(shè)備具備抗Arp欺騙攻擊的能 力，終端上，越來越多的個人防火墻產(chǎn)品（如Symantec）都已經(jīng)內(nèi)置了對Arp欺騙的防護(hù)。一些免費(fèi)的軟件（如An ti ARP Sn

14、 iffer）也提供類似的功能。第3章ARP欺騙實(shí)現(xiàn)網(wǎng)絡(luò)控制的問題如前所述，一些網(wǎng)絡(luò)管理軟件可以通過ARP欺騙的方式對非授權(quán)終端進(jìn)行 強(qiáng)制的接入控制，禁止接入網(wǎng)絡(luò)。但是，該方式存在較大的管理局限性和負(fù)面 影響，詳細(xì)分析如下：3.1 防范 ARP 欺騙與利用 ARP 欺騙的矛盾如2.1章節(jié)所述，由于利用Arp欺騙導(dǎo)致的攻擊、病毒行為將極大的危害 整個局域網(wǎng)絡(luò)的安全，因此必需采用相應(yīng)的Arp欺騙防范技術(shù)。而要實(shí)現(xiàn)網(wǎng)絡(luò)控制，則絕對不能使用Arp欺騙防范技術(shù)，否則將導(dǎo)致控制 失效。之所以會由這樣的矛盾，根本原因在于該網(wǎng)絡(luò)控制方式采用的是一種非法 的，基于黑客攻擊的方式。而這種攻擊方式的濫用，將給網(wǎng)絡(luò)帶

15、來更大的危 害。3.2 控制的效果根據(jù)其實(shí)現(xiàn)原理，可以很容易理解其實(shí)現(xiàn)的控制效果并不理想。首先，由于Arp廣播包只能在同一個網(wǎng)段或者VLAN中生效，不能跨網(wǎng) 段，更不能跨路由，則極大地影響了該方式的實(shí)施效果。必需確保每一個Vian，每一個遠(yuǎn)程接入網(wǎng)段內(nèi)，必需存活一臺該軟件可管理的設(shè)備，由該設(shè)備 實(shí)現(xiàn)Arp欺騙功能，從而實(shí)現(xiàn)準(zhǔn)入控制。因此，很多網(wǎng)絡(luò)場景，比如遠(yuǎn)程接入 的終端，移動營業(yè)廳的終端等，都無法實(shí)現(xiàn)接入控制。其次，由于針對Arp欺騙防范技術(shù)已經(jīng)比較成熟，終端用戶自行設(shè)定靜態(tài)Mac地址，安裝相應(yīng)的防護(hù)軟件（如Anti ARP Sniffer），啟用防火墻軟件（需 支持arp欺騙防護(hù)功能），都

16、可以逃避這種網(wǎng)絡(luò)接入控制方式。另外，個別軟件聲稱即時被控終端有以上防范措施，仍然能夠進(jìn)行控制， 其實(shí)現(xiàn)原理是對其他正常的終端進(jìn)行更大范圍的Arp欺騙，確保正常終端給受 控終端的通信不能正常進(jìn)行。這種方法一方面要求所有正常終端必需暴露在arp欺騙攻擊的影響下，不能使用任何防護(hù)措施，另一方面，該方式對于UDP等單向及可完成通信的攻擊沒有效果，也就是說，攻擊者感染的蠕蟲病毒（如SqiSlammer）在一個UDP包中已經(jīng)包含了整個攻擊過程，該數(shù)據(jù)包會不受控制地 發(fā)送給全網(wǎng)其他終端，攻擊過程并不需要正常終端的回復(fù)。3.3 對網(wǎng)絡(luò)的負(fù)面影響為了保證準(zhǔn)入控制效果，大量的，高頻度的Arp欺騙包在局域網(wǎng)內(nèi)傳播，

17、 降低了網(wǎng)絡(luò)的性能。另一方面，當(dāng)真正的攻擊發(fā)生或者出現(xiàn)網(wǎng)絡(luò)故障時，網(wǎng)絡(luò)中存在大量的攻 擊包將影響真正問題的定位和修復(fù)。第4章ARP技術(shù)的有效運(yùn)用Arp技術(shù)的合理使用也可以對網(wǎng)絡(luò)管理有合適的幫助，比如定位非授權(quán)終 端。一些網(wǎng)管軟件通過Arp的方式掃描全網(wǎng)，可以發(fā)現(xiàn)那些違規(guī)計(jì)入的終端。 使用Arp方式而不是snmp或者Ping的方式，可以有效地發(fā)現(xiàn)那些啟用了防火 墻的終端。但是這種方式一個負(fù)面效果是仍然存在大量的額外的Arp掃描包， 同樣，為了保證發(fā)現(xiàn)的即時性，掃描操作會以高頻度反復(fù)執(zhí)行。另外，目前有 一些防火墻技術(shù)可以禁止這種Arp掃描的方式，從而逃避探測。Symantec Sygate安全代理的Lan S