分析ARP攻擊與欺騙
如上圖所示歇僧,路由器的IP地址為:192.168.1.1图张,也是兩臺主機A、B的網(wǎng)關诈悍;交換機只需開啟端口祸轮,不做任何設置;主機A作為攻擊者侥钳,橋接到虛擬機windowsXP适袜,IP地址為:192.168.1.2,安裝網(wǎng)絡執(zhí)法官軟件舷夺;主機B作為被攻擊者苦酱,橋接到虛擬機Windows Server 2003,IP地址為:192.168.1.3给猾,安裝arp防火墻疫萤,然后再安裝sniffer抓包工具,查看在開啟arp防火墻之前敢伸,遭到攻擊時抓到的包和開啟防火墻之后的包有什么不同扯饶。
具體步驟:
在路由器的F0/0接口配置IP地址。如圖所示:
開啟交換機所使用的接口池颈。如圖所示:
主機A已經(jīng)橋接到一臺虛擬機XP尾序,配置一個同網(wǎng)段的IP地址:192.168.1.2,網(wǎng)關指向路由器饶辙。如圖所示:
主機B已經(jīng)橋接到一臺虛擬機Server 2003蹲诀,配置一個同網(wǎng)段的IP地址:192.168.1.3,網(wǎng)關指向路由器弃揽。如圖所示:
在XP上安裝網(wǎng)絡執(zhí)法官軟件。安裝成功后,雙擊打開矿微,會彈出如下所示的窗口痕慢,選擇監(jiān)控的IP地址段。在選擇之前涌矢,此軟件會自動掃描到與本機同網(wǎng)段的IP地址段掖举,只需點擊“添加/修改”。如果不想監(jiān)控和自己同網(wǎng)段的IP地址段娜庇,可以自行修改塔次,在點擊“添加”。如圖所示:
上圖操作完成之后名秀,軟件將自動掃描指定IP網(wǎng)段范圍內(nèi)的主機励负,并以列表的形式顯示這些主機的MAC地址、IP地址匕得、主機名稱继榆、主機狀態(tài)等,如圖所示:
右擊需要管理的主機汁掠,在彈出的快捷菜單中選擇“手工管理”略吨,彈出如下圖所示的“手工管理”對話框。
對主機的管理方式有三種考阱,分別如下:
IP沖突
如果選擇此項翠忠,被控主機屏幕的右下角將會提示IP沖突。
禁止與關鍵主機組進行TCP/IP連接
如果選擇此項乞榨,被控主機將無法訪問關鍵主機組中的成員
禁止與所有主機進行TCP/IP連接
如果選擇此項秽之,被控主機將和所有主機失去連接。
點擊上圖中的“設置”按鈕姜凄,在彈出的對話框中填寫192.168.1.1(網(wǎng)關的IP地址)政溃,如下圖所示,然后點擊“全部保存”按鈕态秧。
如圖所示董虱,選擇“第1組”之后任意給定一個管理頻率,點擊“開始”摁扭申鱼。
此時在被控主機的桌面右下鍵會一直顯示IP地址沖突的警告信息愤诱。如圖所示:
然后再使用“ping”命令去訪問網(wǎng)關時,就會出現(xiàn)如下圖所示的結果捐友。而且淫半,使用“arp -a”命令時,會看到網(wǎng)關的MAC地址是虛假的匣砖。
但是和其他主機還能通信科吭。如圖所示:
處理ARP故障
解決ARP故障的方法有三種昏滴,分別如下:
第一種解決辦法
處理ARP欺騙攻擊最一般的方法就是IP-MAC綁定,如下圖所示对人,可以在客戶端主機和網(wǎng)關路由器上雙向綁定IP-MAC來避免ARP欺騙導致無法上網(wǎng)的問題谣殊。
1)在主機上綁定網(wǎng)關路由器的IP和MAC,可以通過之前學習的“arp -s”命令實現(xiàn)牺弄。
2)在網(wǎng)關路由器上綁定主機的IP和MAC姻几,可以通過如下命令實現(xiàn)。
如果要查看配置結果势告,可以通過命令“show ip arp”蛇捌。
3)這時網(wǎng)絡中如果有ARP病毒發(fā)作,或者用戶非法使用類似網(wǎng)絡執(zhí)法官等軟件便無法欺騙局域網(wǎng)中的主機了咱台。另外络拌,大部分ARP病毒或類似的欺騙軟件都使用虛假的IP和MAC地址發(fā)送欺騙報文,所以吵护,可在交換機上配置IP-MAC-Port的綁定盒音,使交換機丟棄這些欺騙報文,從而防止其在全網(wǎng)泛濫馅而。如下所示:
Switch(config)# arp ?192.168.1.1 ?cc01.1370.0000 ?arpa ?f0/0
Switch(config)# arp ?192.168.1.2 ?000c.29f9.323a ?arpa ?f0/1
Switch(config)# arp ?192.168.1.3 ?000c.294c.3ca0 ?arpa ?f0/2
第二種解決辦法
使用arp防火墻祥诽,自動抵御arp欺騙和arp攻擊
在被控主機(Server 2003)上安裝arp防火墻并啟用,在被控主機桌面的右下角會立刻彈出arp攻擊并攔截的警告信息瓮恭。如圖所示:
再使用“ping”命令訪問網(wǎng)關時雄坪,結果如下所示:
使用命令“arp -a”再次查看網(wǎng)關的MAC地址,能發(fā)現(xiàn)現(xiàn)在的網(wǎng)關MAC地址已經(jīng)是真實的屯蹦。
ARP防火墻原理分析
可以看出主動防御有三種模式:
停用:關閉主動防御功能
警戒:當受到攻擊時啟用主動防御维哈,平時處于關閉狀態(tài)
始終啟用:一直處于主動防御開啟狀態(tài)
名詞解釋
主動防御:ARP防火墻特有的功能,即定期向所有主機(同一網(wǎng)段內(nèi))發(fā)送ARP請求登澜。默認情況下阔挠,該項處于警戒狀態(tài),速度為8個/秒脑蠕。
第三種解決辦法
在寬帶路由器上綁定ARP
注意:使用DHCP服務器分配地址時购撼,可能造成同一臺主機不同時間使用不同的IP地址。如果配置了靜態(tài)ARP綁定谴仙,將造成該主機無法訪問網(wǎng)絡迂求。
使用Sniffer Pro捕獲數(shù)據(jù)包
注意:安裝sniffer抓包工具的時候有如圖所示幾個地方需要注意,其他地方可以隨便填寫:
安裝并啟動sniffer后晃跺,點擊下圖中標有紅框的按鈕揩局,開始捕捉數(shù)據(jù)包。
上一步操作完成之后掀虎,會出現(xiàn)如下圖所示的界面凌盯。當標有紅框的按鈕可用時付枫,表示已捕獲到數(shù)據(jù),單擊標有紅框的按鈕十气。
上一操作完成后励背,會出現(xiàn)如下圖所示的界面春霍,然后再點擊標有紅框的按鈕砸西,即可查看到捕獲到的數(shù)據(jù)包。
通過觀察發(fā)現(xiàn)址儒,大部分ARP數(shù)據(jù)包來自MAC地址為000C29F9323A的主機芹枷。選中一個發(fā)送給本機的報文,查看數(shù)據(jù)報文的具體內(nèi)容莲趣,則該數(shù)據(jù)報文屬于ARP的回應包(ARP Reply)鸳慈,其內(nèi)容是為了告訴本機192.168.1.1(網(wǎng)關)的IP地址對應的MAC地址為0CDE0E676B65,這個地址顯然和真實的網(wǎng)關MAC(CC00104C0000)不同喧伞。因此走芋,如果本機將這個地址存入ARP緩存,自然無法和網(wǎng)關通信潘鲫。
攻擊主機除了發(fā)送上述攻擊報文外翁逞,還給該網(wǎng)段的所有主機發(fā)送ARP請求報文(ARP Request),這些數(shù)據(jù)報文的目標MAC地址全為“0”溉仑,請求對方回應挖函。如圖所示:
本機(192.168.1.3)回應了攻擊主機(192.168.1.2)的請求,將自己的MAC地址發(fā)送給攻擊主機(192.168.1.2)浊竟。如圖所示:
仔細觀察還可以發(fā)現(xiàn)怨喘,運行網(wǎng)絡執(zhí)法官軟件的主機會定期給所有在線主機發(fā)送ARP請求,以確定這些主機是否在線振定,如果捕獲數(shù)據(jù)報文的時間再長一些必怜,還會發(fā)現(xiàn)軟件大概沒三分鐘就會進行一次全網(wǎng)的掃描,即給192.168.1.1-192.168.1.254的所有主機發(fā)送ARP請求后频。
ARP攻擊的原理
攻擊主機制造假的ARP應答梳庆,并發(fā)送給局域網(wǎng)中除被攻擊主機之外的所有主機,ARP應答中包含被攻擊主機的IP地址和虛假的MAC地址徘郭。
攻擊主機制造假的ARP應道靠益,并發(fā)送給被攻擊主機,ARP應答中包含除被攻擊主機之外的所有主機的IP地址和虛假的MAC地址残揉。
只要執(zhí)行上述ARP攻擊行為中的任一種胧后,就可以實現(xiàn)被攻擊主機和其他主機無法通信。
某些ARP病毒會向局域網(wǎng)中的所有主機發(fā)送ARP應答抱环,其中包含網(wǎng)關的IP地址和虛假的MAC地址壳快。局域網(wǎng)中的主機收到ARP應答更新ARP表后纸巷,就無法和網(wǎng)關正常通信,從而導致無法訪問互聯(lián)網(wǎng)眶痰。
ARP欺騙的原理
一般情況下瘤旨,ARP欺騙并不是使網(wǎng)絡無法正常通信,而是通過冒充網(wǎng)關或其他主機使到達網(wǎng)關或主機的流量通過攻擊主機進行轉(zhuǎn)發(fā)竖伯。通過轉(zhuǎn)發(fā)流量可以對流量進行控制和查看存哲,從而控制流量或得到機密信息。
ARP欺騙發(fā)送ARP應答給局域網(wǎng)中其他主機七婴,其中包含網(wǎng)關的IP地址和進行ARP欺騙的主機MAC地址祟偷;并且也發(fā)送ARP應答給網(wǎng)關,其中包含局域網(wǎng)中所有主機的IP地址和進行ARP欺騙的主機MAC地址(有的軟件只發(fā)送ARP應答給局域網(wǎng)中的其他主機打厘,并不發(fā)送ARP應答欺騙網(wǎng)關)修肠。當局域網(wǎng)中主機和網(wǎng)關收到ARP應答更新ARP表后,主機和網(wǎng)關之間的流量就需要通過攻擊主機進行轉(zhuǎn)發(fā)户盯。
本文出自 “李世龍” 博客嵌施,謝絕轉(zhuǎn)載!
