《ARP 欺骗在局域网中的分析及全面防御》由会员分享,可在线阅读,更多相关《ARP 欺骗在局域网中的分析及全面防御(7页珍藏版)》请在金锄头文库上搜索。
1、1ARP 欺骗在局域网中的分析及全面防御【摘要】本文将对近期校园局域网种频繁发生的 ARP 欺骗基本原理进行介绍,并且通过网关 等实际生活中的例子加以解释,同时介绍几种常见的 ARP 欺骗和攻击方式,并且从客户端、 网关等多个方面提出关于如何防御 ARP 攻击的多种方法,以达到全面防御维护局域网络安全 的目的。 关键词:地址解析协议,介质访问控制,网络安全 Abstract In this paper , a fraudulent action which was called ARP Cheating happens frequently in the LAN of campus . The
2、 basis on the elements will be introduced and explained through the example of gateway and so on . At the same time, a few familiar manners of ARP cheating will be introduced . Finally , it will bring forward some methods in different angle by which we will built a more secure environment of the LAN
3、. Keywords:Address Resolution Protocol,MAC Address,ARP Cheating,security of network 1. 引言 ARP 欺骗是一种利用计算机病毒是计算机网络无法正常运行的计算机攻击手段。 近期,一种叫“ARP 欺骗”的木马病毒在校园网中扩散,严重影响了校园网的正常运行。 感染此木马的计算机试图通过“ARP 欺骗”手段截获所在网络内其它计算机的通信信息,并 因此造成网内其它计算机的通信故障。ARP 欺骗木马的中毒现象表现为:使用校园网时会突 然掉线,过一段时间后又会恢复正常。比如出现用户频繁断网,IE 浏览器频繁出错等现象。 如
4、果校园网需要通过身份认证的,会突然出现认证信息(无法 ping 通网关)。重启机器或在 MS-DOS 窗口下运行命令 arp -d 后,又可恢复上网。这种木马危害也很大。各大学2校园网、 公司网和网吧等局域网都出现了不同程度的灾情。ARP 欺骗木马只需成功感染一台电脑,就 可能导致整个局域网无法上网,严重的可能带来整个网络的瘫痪。此外,此木马还会窃取用 户密码,如盗取 QQ 密码、网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法 交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。 2. ARP 与 MAC ARP(Address Resolution Protoc
5、ol)1是地址解析协议的简称,是一种将 IP 地址转化为 物理地址的协议。在 OSI 网络参考模型的第二层(数据链路层)中,存在着两个子层:介 质访问控制(MAC)和逻辑链路控制(LLC)。由 MAC 子层提供的最广为认知的服务或许 就是它的地址了,就像以太网的地址一样。在以太网中,数据传输的目的地址和源地址的正 式名称是 MAC 地址。此地址大多数情况下是独一无二的固化到硬件设备上的,而 IP 地址 所要转化的物理地址就是 MAC 地址。2 在网络数据传输中实际传输的是“帧”(Frame),它以比特流的方式通过传输介质传输出 去,其中帧里面就包含有所要传送的主机的 MAC 地址。在以太网中一
6、台主机要同另一台主 机进行通信就必须要知道对方的 MAC 地址(就如同我们要给对方邮信一定要知道对方的地 址一样)。但是我们如何知道这个 MAC 地址呢?这时就用到了地址解析协议,所谓“地址 解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。ARP 协议的基本功 能就是通过目标设备的 IP 地址,查询目标设备的 MAC 地址,以保证通信的顺利进行。 每台安装有 TCP/IP 协议的计算机主机里都有一个 ARP 缓存表,表中的 IP 地址与 MAC 地址是一一对应的,如表 1 所示: 3表 1 地址解析协议缓存地址表值得注意的一点是:ARP 缓存表采用了一种老化机制,在一
7、定的时间内如果某一条记 录没有被使用过就会被删除。这样可以大大减少 ARP 缓存表的长度,加快查询速度。 首先根据上表用两个主机通过一个网关进行通信的例子说明一下:假设当主机 A (192.168.10.1)向主机 B(192.168.10.2)发送数据时,主机 A 首先会在自己的 ARP 缓存 表中查找是否存在“IP = 192.168.10.2”的记录。若找到就会根据 ARP 缓存表中 IPMAC 的 对应关系找到主机 B 的“MAC 地址 = bb-bb-bb-bb-bb-bb”。但是如果主机 A 没有在表中找到 主机 B 的 IP 地址,那么主机 A 机就会向网络发送一个 ARP 协议
8、广播包,这个广播包里面 就有待查询的主机 B 的 IP 地址,而直接收到这份广播包的所有主机都会查询自己的 IP 地址 是否与之匹配。如果收到广播包的某一个主机发现自己符合条件,那么就准备好一个包含自 己 MAC 地址的 ARP 包传送给发送 ARP 广播的主机。广播主机接收到 ARP 包后会更新自 己的 ARP 缓存表。发送广播的主机就会用新的 ARP 缓存数据准备好数据链路层的数据包发 送工作。这样主机 A 就得到了主机 B 的 MAC 地址,它就可以向主机 B 发送信息了。 3. ARP 欺骗和攻击方式 3.1 简单的欺骗攻击 这种欺骗方式是指:欺骗主机通过发送伪造的 ARP 包来欺骗网
9、关和目标主机,让目标 主机认为这是一个合法的主机。其中包括两种情况: 局域网主机冒充网关进行欺骗 4欺骗过程如图 1 所示:当 PC_A 要与网关 GW_C 通讯时,首先要知道 GW_C 的 MAC 地址,如果局域网中另有一台主机 PC_B 冒充 GW_C 告诉 PC_A:GW_C 的 MAC 地址是 MAC B,那么 PC_A 就受骗了;或者直接告诉 PC_A:GW_C 的 MAC 地址是 PC_X,那么 就会如同我们邮寄信件时写错了地址,信件或者是发错了地方,或者是根本就发送不出去。 这样一来就会造成断线。 图 1 简单的主机对主机通过网关连接图网络中通讯有一个前提条件,也就是必须满足通讯
10、双方都能向对方传送数据才会确保正 常通讯,即:确保 PC_A GW_C 和 GW_C PC_A 的通讯都没有问题时,才能确保通讯 正常。假如 PC_B 冒充 PC_A,告诉 GW_C,PC_A 的 MAC 是 MAC B,那么就会出现:当 PC_A GW_C 时没有问题,可是当 GW_C PC_A 时就回出错,造成网络断线的现象。 3.2 基于 ARP 的“中间人攻击” MITM (Man-In-The-Middle)称为“中间人攻击”,是一种“间接”的入侵攻击方式。这种攻 击是利用一定手段在两台或多台主机之间人为的加入一台透明主机, (这对其他用户是透明 的)这台主机就称为“中间人”。 “中
11、间人”能够与原始主机建立连接、截获并篡改它们的通信 数据。由于“中间人”对于原通信双方是透明的,使得“中间人”很难被发现,也就使得这种攻 击更加具有隐蔽性。而其中“中间人”常用的一种手段就是通过 ARP 欺骗的方式来实现的。 基本欺骗过程如图 2 所示: 图 2 MITM“中间人攻击”示意图假设有同一网段内的三台主机 A,B,C。主机 A,B 为合法主机,C 为“中间人”5攻击者。 如果主机 C 分别向主机 A 和 C 发送假消息,即:告诉主机 A,主机 C 的 MAC 地址是 MAC B,同时告诉主机 B,主机 C 的 MAC 地址是 MAC A。这样主机 C 就成功地成为了 A 与 B 的
12、“中间人”。那么 A,B 间正常的直接通信也会随之中断。取而代之的是 A,B 间每次进行 信息交互时都要经过主机 C。这样,主机 C 就可以有办法监听 A 与 B 之间的通信,达到监 听的目的了。如果 C 不转发 A 与 B 之间的通信,就会造成主机 A,B 之间的网络连接中断。 3.3 MAC 洪泛现象 MAC Flooding 可以称之为 MAC 洪泛现象。其中 flooding 是一种快速散布网络连接设备 (如交换机)更新信息到整个大型网络打每一个节点的一种方法。交换机中也存放着一个 ARP 缓存表。同主机中的 ARP 缓存表相同,它也起到记录网络设备 MAC 地址与 IP 地址的 对应
13、关系的功能。但是交换机中的 ARP 缓存表的大小是固定的,这就导致了 ARP 欺骗的另 一种隐患:由于交换机可以主动学习客户端的 MAC 地址,并建立和维护这个 ARP 缓存表, 当某人利用欺骗攻击连续大量的制造欺骗 MAC 地址,ARP 缓存表就会被迅速填满,同时更 新信息以洪泛方式发送到所有的接口,也就代表 TRUNKING(所谓 TRUNKING 是用来在 不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个 VLAN 的成员能够 相互通讯。3)的流量也会发给所有的接口和邻近的交换机,会导致其他交换机的 ARP 表 溢出,造成交换机负载过大,网络缓慢和丢包甚至瘫痪。所以说 MA
14、C Flooding 是一种比较 危险的攻击,严重会使整个网络不能正常通信。3.4 基于 ARP 的 DoS 攻击 6DoS(Denial of Service)中文为,拒绝服务攻击。DoS 攻击的目的就是让被攻击主机拒绝 用户的服务访问,破环系统的正常运行。最终使用户的部分 Internet 连接和网络系统失效。 4基于 ARP 的 DoS 攻击是新出现的一种攻击方式。它的基本原理是:攻击者利用 ARP 欺骗 工具,不断向被攻击主机发送大量的连接请求,由于遭到 ARP 欺骗的主机不能够根据 ARP 缓存表找到对方主机,加之主机的处理能力有限,使得它不能为正常用户提供服务,便出现 拒绝服务。在
15、这个过程中,攻击者可以使用 ARP 欺骗方式来隐藏自己,这样在被攻击主机 的日志上就不会出现攻击者真实的 IP 地址。被攻击主机不能根据日志上提供的 IP 地址找到 正真的攻击者。所以在攻击的同时,不会影响到本机,具有很强的隐密性。 以上几种欺骗方式中,第一种最为常见,攻击者通常利用 ARP 木马病毒进行攻击。但 是从本质上看,所有的欺骗方式都是一样的,都是利用 ARP 缓存表的老化机制使得 ARP 欺 骗有机可乘。 4. ARP 欺骗解决方案 4.1 DHCP 结合静态捆绑法 DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写。要想彻
16、底避 免 ARP 欺骗的发生,我们需要让每台计算机的 MAC 地址与 IP 地址唯一且对应。虽然我们 可以通过为每台计算机设置 IP 地址的方法来管理网络,但是对于那些通过 ARP 欺骗非法攻 击的用户来说,他可以事先自己手动更改 IP 地址,这样检查起来就更加复杂了。 这就需要进行 IP 与 MAC 的双向绑定,也就是说在网关的交换机处静态绑定用7户的 MAC 地址和 IP 地址的同时,在客户端静态绑定网关 MAC 地址和 IP 地址以及同一网段的 IP 地址 和 MAC 地址,使之不再动态学习。但这只是一个理想的解决方案,因为这样会大大加重网 络管理的负担。网络管理员要非常熟悉交换机设备,因为管理员要在交换机和客户端加入一 台计算机并且添加一条记录,否则将无法通信。这就需要提出一种更加全面立体的防御对策。 4.2 几种主要的防御方案 4.2.1 使用交换机进行设置 从交换机的角度,以 Cisco 解决方案为例。思科 Dynamic ARP Inspection (DAI)在交换 机上提供 IP 地址和 MAC 地址的绑定,并动态建立绑定关系。
