【正文】 irewall has the condition examination, the careful data integrity inspection and the very good filtration rule control function.關(guān)鍵詞：ARP欺騙及ICMP攻擊 分析 安全19目錄摘要 iiAbstract ii1 ARP欺騙概述 1 ARP協(xié)議 1 解決ARP攻擊的方法 1 故障現(xiàn)象 2 解決思路 32 路由器ARP表綁定設(shè)置 43 ICMP協(xié)議的概述 7 什么是ICMP協(xié)議 7 ICMP的消息格式和代碼組合 8 使用ICMP協(xié)議搜集信息 9 ICMP攻擊及欺騙技術(shù) 104 配置系統(tǒng)帶的默認防火墻以預(yù)防攻擊 125 結(jié)論 186 參考文獻 197致謝 19ARP欺騙及ICMP攻擊技術(shù)分析1 ARP欺騙概述在實際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時，是采用硬件地址來尋址，地址解析協(xié)議(AddressResolutionProtocol,ARP)解決了從IP地址到硬件地址的映射問題。比如，源主機欲向本網(wǎng)內(nèi)的主機發(fā)送數(shù)據(jù)包時，先在源主機的ARP高速緩存中查看有無目的主機的硬件地址，如存在，就將目的主機的硬件地址寫入MAC幀并發(fā)送；如不存在，源主機自動在網(wǎng)內(nèi)廣播一個ARP請求報文來獲得目的主機的硬件地址。網(wǎng)內(nèi)的所有主機都收到此ARP請求，只有目的主機才會發(fā)回一個ARP響應(yīng)報文，并寫入自己的硬件地址。當源主機收到目的主機的ARP響應(yīng)后，就在其ARP高速緩存中寫入目的主機的IP地址到硬件地址的映射。ARP協(xié)議的無連接、無認證特性，使得局域網(wǎng)中的任何主機可隨意發(fā)送ARP請求包，也可以接收ARP應(yīng)答包，并且無條件的根據(jù)應(yīng)答包內(nèi)的內(nèi)容刷新本機的ARP緩存，因此ARP欺騙廣泛用于交換式以太網(wǎng)絡(luò)中。 ARP協(xié)議ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫 。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目標主機的MAC地址。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標的MAC。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行。 解決ARP攻擊的方法舉一個簡單的ARP欺騙的例子：每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如圖11所示：主機IP地址MAC地址A192．168．0．200105caaaab7B192．168．0．500908181fc1aC192．168．0．6000aebe9d0bdD192．168．0．900e04cb095f3 圖11 IP地址與MAC對應(yīng)表我們以主機A（）向主機B（）發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機A就會在網(wǎng)絡(luò)上發(fā)送一個廣播，目標MAC地址是“”，這表示向同一網(wǎng)段的所有主機發(fā)出這樣的詢問：“？”網(wǎng)絡(luò)上其他主機并不響應(yīng)ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應(yīng)：“”的MAC地址是“00908181fc1a”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內(nèi)如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。從上面可以看出，ARP協(xié)議的基礎(chǔ)是信任局域網(wǎng)內(nèi)部所有的人，那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標A進行欺騙，A去Pign主機C卻發(fā)送到了00e04cb095f3這個地址上。如果進行欺騙的時候，把C的MAC地址騙為00e04cb095f3，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。A對這個變化一點都有意識到，但是接下來的事情就讓A產(chǎn)生了懷疑。因為A和C連接不上了。D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。做“man in the middle”進行ARP重定向。打開D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個路由器一樣。不過，假如D發(fā)送ICMP重定向的話就中斷了整個計劃。D直接進行整個包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認為是從A發(fā)送來的。不過，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進行對C的ARP欺騙?，F(xiàn)在D就完全成為A與C的中間橋梁了，對于A和C之間的通迅就可以了如指掌了。 故障現(xiàn)象當局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。切換到病毒主機上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機就可以盜號了。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。 解決思路(1) 不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，（rarp同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在