局域网络ARP攻击防御的解决方案

dingjia | 当前状态：离线 总积分：99 2024年可用积分：0 注册时间： 2008-09-07 最后登录时间： 2010-12-10 空间发短消息加为好友: 局域网络ARP攻击防御的解决方案

dingjia 发表于 2008/10/26 15:24:43 970 查看 1 回复 [上一主题] [下一主题]

手机阅读

一、前言

在网络世界里潜伏了许多危机，但由于信息安全技术进步而有效的阻隔了大多数的外部攻击，尽管如此，由于IT使用习惯的改变及入侵与病毒的传播技术日新月异，近年来的信息及网络安全威胁开始来自于企业内部。2007 旧金山 RSA conference 正说明了这一点，会中一致的共识说明「单纯的单点防御，或是筑起一道坚固的信息防御外墙，已经逐渐不能满足企业(机关)在信息安全上的需求，取而代之的，未来企业(机关)越来越需要整体内部网络与系统的协同防御机制。」本章节以技术角度说明ARP 欺骗攻击对企业(机关)内部使用者造成的信息安全问题，有了这些了解后，网络管理者将可更有效布署或整合适当的网络与信息安全设备，检测出网络与信息威胁来源。

二、何谓ARP、RARP?

地址解析协议( Address Resolution Protocol –简称ARP)是地址转换协议，RARP被称为反向地址转换协议,他们负责把IP地址和MAC地址进行相互转换对应。ARP主要被设计用于以OSI模型第三层地址（IP）求得第二层地址（MAC），这是因为以太网设备本身并不识别第三层32个位的IP地址，而是以第二层48位的以太网地址(MAC地址)传输以太网数据包的。因此，必须把IP地址转换成MAC地址。在这两种地址之间存在着某种静态的映像，这就是所谓的ARP表。

ARP封包只会在同一个子网（subnet）内传送，它很少通过路由器（router）传送至不同的网络。主机的操作系统会依照封包目地IP地址与本机的子网掩码（subnet mask）进行运算，以判断封包目地IP是否与本机属于一个子网，如果不属于同一子网，则封包需要传送至路由器，ARP则正可以让本机获得路由器网卡MAC地址，而让封包可以通过本机网卡传送至路由器。ARP、RARP是一个非常重要且使用频繁的协议，在任何一个TCP/IP的连线建立之前，都要经过地址解析协议取得目地主机的物理地址（MAC），在局域网中，两台计算机要想互相通信，首先必须知道对方的MAC地址才能将封包送往对方；例如: 如果某一台计算机 (ip1/ mac1) 得到另一台计算机 (ip2/mac2) 错误的 MAC地址 ( ip2/mac3), 那么这台计算机 (ip1/mac1) 将无法传送数据包到 Ip2 计算机。

三、何谓ARP欺骗 ?

ARP Spoofing (ARP欺骗) 攻击的根本原理是因为Windows计算机中维护着一个 ARP 高速缓存（可以使用 arp 命令来查看ARP缓存），并且这个ARP 高速缓存是随着计算机不断的发出ARP请求和收到ARP回应而不断更新的， ARP 高速缓存的目的是把机器的IP地址和MAC地址相互映像，使得IP数据包在以太网内正确找到目的MAC地址后开始传送。如果你借发出标准的ARP请求或ARP响应来扰乱或攥改某计算机或路由器内正常的ARP表，而导致该计算机(或路由器)发出的数据包误传目的地，或使OSI的第二层以太网和第三层无法连接，进而瘫痪网络，我们就称使用了ARP欺骗攻击。

举例说明：现在有三部机器分别是机器A：IP1/MAC1、机器B：IP2/MAC2、机器C：IP3/MAC3 。现在机器B上的用户是位黑客企图干扰机器A或是监视SNIFFER机器A与C之间的通讯，首先他向机器A发出一个 ARP Reply，其中的目的IP地址为IP1，目的(Destination) MAC 地址为MAC1，而源(Source)IP地址为IP3，源MAC地址为 MAC2 。好了，现在机器A更新了他的 ARP高速缓存，并相信了IP3地址的机器的MAC地址是 MAC2 。当机器A上的管理员发出一条FTP命令时---ftp IP3，数据包被送到了Switch，Switch查看资料包中的目的地址，发现MAC为 MAC2 ，于是，他把数据包发到了机器B上，因此成功攻击机器A。现在如果不想影响A和C之间的通信该怎么办？仅是sniffer监视两者之间的通讯，你可以同时欺骗他们双方，使用 man-in-middle攻击，便可以达到效果。

总之本机在传送数据包之前，会送出一个关于查询目的IP地址的MAC以太网广播包。正常情况下，只有对应目的IP的主机会以一个自己的48位MAC主机地址unicast包来做响应，并且将该IP与MAC地址对应更新本机内ARP高速缓存，以节约不必要的ARP通信。如果有一个中毒的计算机或是网内合法授权进行非法活动的黑客，他们对本地网络具有写访问权限，极可能这样一台机器就会发布虚假的ARP请求或响应通讯，欺骗其它计算机或路由器将所有通信都转向它自己，然后它就可以扮演某些机器，或对数据流进行修改。这样就造成arp欺骗攻击，影响正常的主机通信。

四、ARP欺骗被使用的目的为何? 它攻击的特色为何?

不管是中毒无特定目标的攻击或是黑客进行特定标的非法监听、窃取活动，ARP欺骗是主要攻击的一种手法也是目的。事实上很多的知名的黑客使用的工具就是使用ARP欺骗为手法的。最有名黑客攻击的手法如中间人攻击(Man-in-the-Middle attack) 与联机劫夺(Session Hijacking) 就是采取ARP spoofing等攻击手法达到欺骗主机、反追踪或是避开交换机访问安全存取的安全机制的防护。联机劫夺(Session Hijacking) 利用ARP欺骗将使用者正常的联机抢过来；中间人攻击则利用ARP同时欺骗使用者(Client)与服务器(Server)两边使所有两边的交谈都要通过入侵者的转述，达到欺骗、侧录、攥改数据的目的。另外中毒的计算机发送ARP欺骗封包，或是市面上也有些软件如网络剪刀手（NetCut），利用制造ARP欺骗封包，它则是以攻击为目的，使得特定或不特定的目标瘫痪，并嫁祸于人。网络剪刀手（NetCut）的原理是负责假造ARP封包，提供给目标主机假的物理网络地址（MAC）信息，通讯网关（Gateway）收到后，将错误的物理网络地址（MAC）记到ARP 表内，客户端（Client）的返回封包就无法送达，也就无法上网，达到攻击的目的。

ARP欺骗手法最大的特色是隐密难以侦测，和过去黑客或中毒攻击手法 – DsS攻击或洪水攻击(Flooding)不同，DoS或洪水攻击所造成的网络危害明显，但是容易被查觉；而ARP欺骗则是以欺骗为目的，并且为了维持持续的欺骗效果，必须持续发送ARP欺骗包，这些ARP欺骗包长度短但是为数可能颇多，因此造成的网络危害不仅是可能的数据侧录、窃取，也可以是对网络特定目标的攻击，甚至大量ARP广播包也可造成整个或部分网络的瘫痪。

五、ARP攻击分类、手法；为何IPS难以辨识及防御ARP的攻击 ?

ARP欺骗攻击分类基本上可以分为刻意的特定目标攻击，及因中毒造成的无意攻击。这二种的攻击本意有所不同，(一)通常是利用网络下载的工具、例如网络翦刀手netcut程序然后恶意攻击他人并将攻击封包伪装以嫁祸他人，其危害常是少数特定目标，但是由于攻击者以Unicast 包方式传送且善于伪装，因此网络管理员极难找出问题所在，也由于此类型程序下载容易操作简单，近期于网络中快速扩散，造成网络管理人员极大负担，也由于目前尚无完整机制快速侦测出此类型规则来源，因此常会使管理人员处理此类问题时疲于奔命，处理耗费时间同时效果不彰，过程中也让网络管理人员专业能力受到极大的质疑。(二)通常是使用者中毒后中毒软件发送ARP欺骗封包以误导其它人将封包送往错误的路径,导致变相的攻击使网关受害或某用户的遭殃,其主要的目的是造成部分或整体网络的危害。

地址解析协议（Address Resolution Protocol）在区域网络中极其重要，它属于局域网络同一子网内部主机对主机的传输或主机与路由器之间传输重要的协议。如果局域网属于中大型网络具有多个子网络，防火墙/IPS入侵侦测设备通常被设置在核心路由交换机之后根本没有机会接触ARP封包，因此对ARP攻击束手无策。即使局域网内只有一个网段，防火墙/IPS入侵侦测设备兼具路由器功能也仅能侦测部分ARP广播包，且大部分的产品如使用操作系统(如Linux)的TCP/IP Socket就难以侦测ARP数据包，因此目前的防火墙/IPS入侵侦测设备几乎不具有实时防止「欺骗地址解析协议攻击（ARP Spoofing Attack）」的功能，就算有也仅止于出口控制无法由网络底层第一时间阻隔此类攻击。

1楼 0 0 回复

comorg   |   当前状态：在线

总积分：6891  2024年可用积分：0

注册时间： 2007-01-29

最后登录时间： 2017-09-07

空间发短消息加为好友

comorg   发表于 2008/10/26 15:24:43

2楼 回复本楼

引用 comorg 2008/10/26 15:24:43 发表于2楼的内容

总共 1, 当前 1/1

高级回复 | 发新主题

发表新帖

控制工程师论坛

2016年积分排行