1? 簡介
網絡欺騙攻擊作為一種非常專業(yè)化的攻擊手段,給網絡安全管理者,帶來嚴峻的考驗痊乾。網絡安全的戰(zhàn)場已經從互聯(lián)網蔓延到用戶內部的網絡,特別是局域網椭更。目前利用ARP欺騙的木馬病毒在局域網中廣泛傳播哪审,導致網絡隨機掉線甚至整體癱瘓,通訊被竊聽虑瀑,信息被篡改等嚴重后果湿滓。
2? ARP協(xié)議概述
ARP協(xié)議(address resolution protocol)地址解析協(xié)議
一臺主機和另一臺主機通信,要知道目標的IP地址舌狗,但是在局域網中傳輸數據的網卡卻不能直接識別IP地址叽奥,所以用ARP解析協(xié)議將IP地址解析成MAC地址。ARP協(xié)議的基本功能就是通過目標設備的IP地址痛侍,來查詢目標設備的mac地址朝氓。在局域網的任意一臺主機中,都有一個ARP緩存表主届,里面保存本機已知的此局域網中各主機和路由器的IP地址和MAC地址的對照關系膀篮。ARP緩存表的生命周期是有時限的(一般不超過20分鐘)。
舉個例子:假設局域網中有四臺主機
主機? ? ? ? IP地址? ? ? ? ? ? MAC? ? ? ? ? ? 地址網關
A? ? ? ? ? ? 192.168.0.2? ? Mac-a? ? ? ? 192.168.0.1
B? ? ? ? ? ? 192.168.0.3? ? Mac-b? ? ? ? 192.168.0.1
C? ? ? ? ? ? 192.168.0.4? ? Mac-c? ? ? ? 192.168.0.1
D? ? ? ? ? ? 192.168.0.5? ? Mac-d? ? ? ? 192.168.0.1
主機A想和主機B通信
主機A會先查詢自己的ARP緩存表里有沒有B的聯(lián)系方式岂膳,有的話誓竿,就將mac-b地址封裝到數據包外面,發(fā)送出去谈截。沒有的話筷屡,A會向全網絡發(fā)送一個
ARP廣播包涧偷,大聲詢問:我的IP地址是192.168.0.2,硬件地址是mac-a毙死,我想知道IP地址是192.168.0.3的硬件地址是多少燎潮?? 此時,局域網內所有
主機都收到了扼倘,B收到后會單獨私密回應:我是192.168.0.3确封,我的硬件地址是mac-b,其他主機不會理A的
此時A知道了B的信息再菊,同時也會動態(tài)的更新自身的緩存表
3 ARP協(xié)議的缺陷
? ARP協(xié)議是建立在信任局域網內所有節(jié)點的基礎上的爪喘,他的效率很高。但是不安全纠拔。它是無狀態(tài)的協(xié)議秉剑。他不會檢查自己是否發(fā)過請求包,也不知道自己是否發(fā)過請求包稠诲。他也不管是否合法的應答侦鹏,只要收到目標mac地址是自己的ARP reply或者ARP廣播包(包括ARP reply和ARP request),都會接受并緩存臀叙。
4 ARP攻擊原理
ARP欺騙攻擊建立在局域網主機間相互信任的基礎上的略水。
當A發(fā)廣播詢問:我想知道IP是192.168.0.3的硬件地址是多少?
此時B當然會回話:我是IP192.168.0.3我的硬件地址是mac-b劝萤,
可是此時IP地址是192.168.0.4的C也非法回了聚请,我是IP192.168.0.3,我的硬件地址是mac-c。而且是大量的稳其。所以A就會誤信192.168.0.3的硬件地址是mac-c驶赏,而且動態(tài)更新緩存表這樣主機C就劫持了主機A發(fā)送給主機B的數據,這就是ARP欺騙的過程既鞠。
假如C直接冒充網關煤傍,此時主機C會不停的發(fā)送ARP欺騙廣播,大聲說:我的IP是192.168.0.1嘱蛋,我的硬件地址是mac-c蚯姆,此時局域網內所有主機都被欺騙,更改自己的緩存表洒敏,此時C將會監(jiān)聽到整個局域網發(fā)送給互聯(lián)網的數據報龄恋。
5? ARP病毒攻擊癥狀
通常表現:-打開網頁速度非常慢,甚至打不開
? ? ? ? ? ? ? ? -提示IP地址沖突
? ? ? ? ? ? ? ? -甚至導致校園網癱瘓斷網
? ? ? ? ? ? ? ? -一般會綁定木馬病毒凶伙,竊取用戶賬號密碼
6? ARP病毒攻擊形式
(1)從協(xié)議內部分析
-假冒ARP reply包(單波或廣播)郭毕,向單臺主機或多臺主機發(fā)送虛假的IP/MAC地址
-假冒ARP request包(單播或廣播),實際上是單播或廣播虛假的IP函荣、MAC映射显押。
-假冒中間人扳肛,啟用包轉發(fā)向兩端主機發(fā)送假冒的ARP reply,由于ARP緩存的老化機制乘碑,有時還需要做周期性連續(xù)性欺騙挖息。
(2)從影響網絡連接通暢的角度看
-對路由ARP表的欺騙
? ARP病毒截獲網關數據,讓路由器獲得錯誤的內網MAC地址兽肤,導致路由器把數據發(fā)送給錯誤的mac套腹,是內網內的主機斷網
-偽造內網網關
? ARP病毒通過冒充網關,是內網計算機發(fā)送的數據無法到達真正的路由器網關资铡,導致內網計算機斷網
7 ARP欺騙攻擊監(jiān)測技術
手動監(jiān)測
? 網絡管理員可以通過命令查看主機的ARP表或路由器的ARP表
? 也可以用Sniffer工具進行抓包电禀,查看可疑的<IP,MAC>地址映射
2.動態(tài)監(jiān)測
- 被動監(jiān)測 (ARP watch害驹,ARP Guard)
? ? 僅監(jiān)測網路中是否存在ARP欺騙,不主動向外發(fā)送ARP報文
-主動監(jiān)測(ARP防火墻)
? 能夠動態(tài)的監(jiān)測局域網內針對本主機和針對網關的ARP欺騙蛤育,但如果配置錯誤宛官,ARP防火墻會向局域網內發(fā)送大量的ARP報文,造成ARP報文的廣播風暴瓦糕,影響網絡通信底洗。
? 在這里推薦一款查看局域網Mac地址和主機IP匹配顯示的軟件:Nbtscan? 很好用網上也有使用說明,對于查找攻擊主機很犀利咕娄、
8? ARP欺騙攻擊的防御
-ARP雙向綁定
? 在pc端上 IP+mac 綁定
在網絡設備(交換路由)上 采用ip+mac+端口綁定
網關也進行IP和mac的靜態(tài)綁定
-采用支持ARP過濾的防火墻
-建立DHCP服務器
? ARP攻擊一般先攻擊網關亥揖,將DHCP服務器建立在網關上
-劃分安全區(qū)域
? ? ARP廣播包是不能跨子網或網段傳播的,網段可以隔離廣播包圣勒。VLAN就是一個邏輯廣播域费变,通過VLAN技術可以在局域網中創(chuàng)建多個子網,就在局域網中隔離了廣播圣贸。挚歧。縮小感染范圍吁峻。? 但是滑负,安全域劃分太細會使局域網的管理和資源共享不方便。
