【文章內(nèi)容簡介】 AN的成員能夠相互通訊。）的流量也會發(fā)給所有的接口和鄰近的交換機，會導致其他交換機的 CAM表溢出，造成交換機負載過大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。所以說 MAC Flooding是一種比較 危險的攻擊，嚴重會使整個網(wǎng)絡(luò)不能正常通信。 這種基于 ARP欺騙的 Flooding攻擊，也可以稱作“拒絕服務(wù)式攻擊（ ）”。而如果攻擊者先 對目標主機進行 ,使其不能對外部作出任何反應(yīng)之后，再將自身主機的 IP地址和 MAC地址分別改為目標主機的 IP地址和 MAC地址，代替它接收一切數(shù)據(jù)包，從而進一步實施各種非法操作。那么這樣一種攻擊方式，我們也可以稱作“克隆攻擊”。 ARP網(wǎng)頁劫持攻擊 ARP網(wǎng)頁劫持攻擊其實也可以說是利用了“中間人”攻擊的原理。局域網(wǎng)內(nèi)用戶訪問網(wǎng)頁時，網(wǎng)頁源代碼的頭部被插入代碼“ iframe 8113=’ 包含病毒或者木馬程序的網(wǎng)頁地址 ’ /iframe或者“ ”，訪問網(wǎng)頁不順暢，提示腳本錯誤，同時殺毒軟件的網(wǎng)頁監(jiān)控提示網(wǎng)頁存在病毒。但是當檢查服務(wù)器上網(wǎng)頁的原始代碼時卻發(fā)現(xiàn)沒有任何異常。這種情況很可能就是 ARP網(wǎng)頁劫持攻擊引起的。 根據(jù)網(wǎng)頁內(nèi)容傳輸過程中， ARP網(wǎng)頁劫持發(fā)生的區(qū)段位置不同，我們可以把 ARP網(wǎng)頁劫持攻擊分成兩種情況：發(fā)生在客戶端所在局域網(wǎng)內(nèi)的 ARP網(wǎng)頁劫持攻擊和發(fā)生在服務(wù)器所在局域網(wǎng)內(nèi)的 ARP網(wǎng)頁劫持攻擊。 9 ⑴ 客戶端 ARP網(wǎng)頁劫持 如果客戶端所在的網(wǎng)絡(luò)中存在進行 ARP攻擊的主 機， ARP攻擊主機通過 ARP欺騙篡改網(wǎng)關(guān)的 ARP緩存表，在網(wǎng)關(guān)與網(wǎng)頁客戶端主機之間建立單向代理。服務(wù)器返回到客戶端瀏覽器的信息是按照“網(wǎng)頁服務(wù)器 — 外部網(wǎng)絡(luò) — 客戶端所在網(wǎng)絡(luò)網(wǎng)關(guān) — ARP攻擊主機 — 客戶端主機”的路徑進行發(fā)送的。ARP攻擊主機并不修改 HTTP請求信息，但是它修改網(wǎng)頁服務(wù)器的返回信息，在其中加入木馬或病毒鏈接。這樣一來，客戶端所在網(wǎng)絡(luò)中的多數(shù)主機訪問任何 WEB頁面時，反病毒軟件的網(wǎng)頁監(jiān)控均提示發(fā)現(xiàn)病毒。 ⑵ 服務(wù)器端 ARP網(wǎng)頁劫持 如果 WEB服務(wù)器所在的網(wǎng)絡(luò) 存在 ARP攻擊主機，那么 ARP攻擊主機通過 ARP欺騙污染 WEB服務(wù)器的ARP緩存表，在 WE B服務(wù)器和網(wǎng)關(guān)之間建立單向代理。從 WEB服務(wù)器返回網(wǎng)頁訪問客戶端的信息是按照“ WEB服務(wù)器一 ARP攻擊主機一服務(wù)器所在網(wǎng)絡(luò)網(wǎng)關(guān)一 外部網(wǎng)絡(luò)一 網(wǎng)頁客戶端”的路徑進行發(fā)送的。 ARP攻擊主機監(jiān)聽 WEB服務(wù)器 80端口的 HTTP應(yīng)答包，并進行篡改，加入木馬或病毒鏈接，然后通過網(wǎng)關(guān)發(fā)送給客戶端。這時，用戶訪問此 WEB服務(wù)器所在網(wǎng)段的所有服務(wù)器，均出現(xiàn)網(wǎng)頁源代碼頂部被加入惡意代碼鏈接的情況。 簡單模擬 ARP 欺騙 因為 在局域網(wǎng)實際應(yīng)用中遭受 ARP欺騙攻擊的情況是比較普遍的，所以如何在實驗環(huán)境下模擬ARP欺騙攻擊就顯得很重要。由于客觀條件限制，在模擬攻擊實驗中我不進行小型組網(wǎng)，而是將實驗環(huán)境設(shè)置為在我的 Notebook PC上安裝 VMWare virtual machine，操作系統(tǒng)為 Windows XP OS，虛擬機分別編號 A、 B、 C。在綜合各個相對零散的小實驗后，我總結(jié)了兩個比較典型的 ARP欺騙攻擊實驗：利用“網(wǎng)絡(luò)執(zhí)法官”軟件和編寫小程序來模擬。 采用軟件模擬 ARP 欺騙 首先在 VMWare中使用 hostonly模式 ，在啟動操作系統(tǒng)后， VMWare會為 A、 B、 C的虛擬網(wǎng)卡分配不通的 MAC地址，我們可以人為配置 IP地址，其 IPMAC地址對應(yīng)表如圖 24所示，子網(wǎng)掩碼為。然后在虛機 C上安裝“網(wǎng)絡(luò)執(zhí)法官”軟件，破壞虛機 A、 B之間的正常通信。 武夷學院畢業(yè)論文 10 圖 24 攻擊前虛機的 IPMAC對應(yīng)關(guān)系 這里對“網(wǎng)絡(luò)執(zhí)法官”軟件做一個簡要介紹。它是一款局域網(wǎng)管理輔助軟件，采用網(wǎng)絡(luò)底層協(xié)議，能穿透各種客戶端防火墻，對網(wǎng)絡(luò)中的每一臺主機進行監(jiān)控，采用 MAC識別用戶，可靠性高。 本軟件的主要功能是依據(jù)管理員為 各主機限定的權(quán)限，實時監(jiān)控整個局域網(wǎng)，并自動將非法用戶與網(wǎng)絡(luò)中某些主機或整個網(wǎng)絡(luò)隔離，而且無論局域網(wǎng)中的主機運行何種防火墻，都不能逃避監(jiān)控，也不會引發(fā)防火墻警告，提高了網(wǎng)絡(luò)安全性。管理員 可以實現(xiàn) 如禁止某些主機在指定的時段訪問外網(wǎng)或徹底禁止某些主機訪問外網(wǎng)；保護網(wǎng)絡(luò)中關(guān)鍵主機，只允許指定的主機訪問 等功能。 安裝完“網(wǎng)絡(luò)執(zhí)法官”之后，運行它，選中“網(wǎng)卡復選框”，在監(jiān)控范圍內(nèi)選擇窗口中的指出網(wǎng)卡所在子網(wǎng)的所有可用 IP地址。在進行攻擊前，我們可以再次在各虛機的 D0S命令窗口中運行命令ipconfig /all和 arp – a，以獲得被攻擊前各虛機的 IPMAC地址，再用 ping命令測試各虛機之間是否能正常通信。 然后開始模擬攻擊，在虛機 C上，進入“網(wǎng)絡(luò)執(zhí)法官”的管理界面，右鍵單擊被攻擊的虛機 B，從快捷菜單中選擇“手工管理”。這里有三種攻擊方式： IP地址沖突攻擊，即制造主機間的 IP沖突；禁止與關(guān)鍵主機連接攻擊；禁止與所有其他主機連接。后面這兩種方式都是用來制造主機間的 ARP欺騙?？梢栽凇邦l率”中選擇每 N秒 N次，頻率越高，攻擊效果越明顯。選項完成后點擊“開始”，攻擊就開始了。之后我們可以再在虛機 A、 B之間用 ping命令 測試，提示“ Request timed out”，表明通信斷了。 在虛機 A上用命令 arp – a重新獲得 MAC地址表，比較攻擊前后的 MAC地址表，可以發(fā)現(xiàn) ARP緩存表中虛機 B的 MAC地址已經(jīng)被篡改了，這就表明模擬 ARP欺騙攻擊成功。如圖 25所示。 圖 25 攻擊后虛機 A、 B的 IPMAC對應(yīng)關(guān)系 11 采用編程模擬 ARP 欺騙 當前有很多攻擊者喜歡利用 ARP協(xié)議的欺騙原理編寫木馬或者病毒程序來對網(wǎng)絡(luò)中的主機進行攻擊。這里我們也可以用 C++語言來編寫一段程序模擬這種欺騙攻擊。限于篇幅考慮，只列 出相關(guān)主程序如下： ?????? 3 ARP 欺騙的防御技術(shù) 本章在實踐的基礎(chǔ)上，總結(jié)了一些較為有效的 ARP 欺騙檢測和防御手段，并分析它們優(yōu)劣特點和適用的環(huán)境， 揚長避短、相互結(jié)合，以期達到更好的防御效果。 ARP 欺騙的檢測 手動檢測 ⑴ 命令查看和抓包分析 可以通過 DOS命令查看主機或路由器等網(wǎng)關(guān)設(shè)備上的 ARP緩存表。 使用抓包軟件 (如 windump、sniffer pro 等 )在局域網(wǎng)內(nèi)抓去 ARP的 Reply報文 , 以 windump為例 ,假設(shè) , 抓下來的包只分析包含有“ reply” 字符的 ,格式如下 :18:25: arp at 00:07:ec:e1:c8:c3。 如果最后的 MAC地址不是網(wǎng)關(guān)的真實 MAC地址的話 , 那就說明有 ARP欺騙存在 ,而這個 MAC地址就是那臺進行 ARP 欺騙主機的 MAC地址 。 這種方法簡單易行 ,無需特別權(quán)限設(shè)置 ,所有用戶都可以做 ,誤判率較小 。 但必須在局域網(wǎng)內(nèi)部 (廣播域內(nèi)部 )聽包才有效 。 ⑵ 對 IPMAC映射 關(guān)系的監(jiān)控 在網(wǎng)絡(luò)正常時 , 使用 NBTSCAN等 工具掃描全網(wǎng)段的 IP 地址和 MAC地址 , 保存一個全網(wǎng)的 IPMAC地址對照表備用 。 ⑶ 對三層交換機的監(jiān)控 登陸局域網(wǎng)的上聯(lián)三層交換機 ,并查看交換機的 ARP緩存表 。 如果在 ARP表中存在一個 MAC對應(yīng)多個 IP的情況 , 就表明極可能存在 ARP欺騙攻擊 , 而這個 MAC就是欺騙主機的 MAC。 ⑷ 對二層交換機的監(jiān)測 在接入二層交換機上利用轉(zhuǎn)發(fā)表找出病毒機器的 MAC PORT對應(yīng)的網(wǎng)絡(luò)端口 ,對端口進行 隔離或?qū)υ?MAC的數(shù)據(jù)包進行過濾 。 該方法的優(yōu)點是對 ARP攻擊源進行封堵 ， 可防止中毒機器利用其它機器 武夷學院畢業(yè)論文 12 的漏洞進行病毒傳播 ， 及時地將攻擊源隔離出網(wǎng)絡(luò) , 使病毒機器暫時不能上網(wǎng)也不會對整個網(wǎng)絡(luò)造成危害 。 但該方法也存在一定的局限性 .它的實現(xiàn)對網(wǎng)絡(luò)交換設(shè)備有較強的依賴性 。 系統(tǒng)要求不斷收集三層交換機上的 IPMAC信息和各接入層交換機的 MACPORT信息表 。 用戶端口一旦被查封 , 一定要通過其它方式告知用戶 ,請用戶及時處理病毒機器 。 機器恢復正常時應(yīng)及時開通被查封的端口 。 自動檢測 ⑴ 使用檢測軟件 諸如 ARP Watch、 ARP Guard、 ARP 防火墻等軟件均可用于動態(tài)檢測局域網(wǎng)內(nèi)的 ARP欺騙攻擊。ARPWatch是一個在局域網(wǎng)內(nèi)監(jiān)聽 ARP報文的專用工具。在監(jiān)測到 IPMAC地址映射出現(xiàn)可疑的改變時，通過郵件通知網(wǎng)絡(luò)管理員。 ARP Watch輕便有效，特別適用于小規(guī)模網(wǎng)絡(luò)。入侵監(jiān)測系統(tǒng) Snort也具有與 ARP watch相類似的 ARP欺騙監(jiān)測功能，但它主要是一個安全預(yù)警軟件， ARP欺騙監(jiān)測只是其中一小部分功能，應(yīng)用具有局限性。 ARP Guard采用了一種基于 SNMP探針的分布 式監(jiān)測架構(gòu)，通過對網(wǎng)絡(luò)監(jiān)聽和 SNMP探針取得的信息分別進行動態(tài)分析，以判斷網(wǎng)絡(luò)中是否有 ARP欺騙并及時通知網(wǎng)絡(luò)管理員。與 ARP Watch相比， ARP Guard增加了 SNMP探針模塊，可以應(yīng)用于大規(guī)模網(wǎng)絡(luò)。但 ARP Guard是一款商業(yè)軟件，不能免費使用。 ARP Watch、 ARP Guard僅監(jiān)測網(wǎng)絡(luò)中是否存在 ARP欺騙，并不主動向外發(fā)送 ARP報文；相比之下，ARP防火墻則在監(jiān)測網(wǎng)絡(luò)是否存在 ARP欺騙的同時，還主動向外發(fā)送 ARP報文，防止對本機進行 ARP欺騙。 ARP防火墻是一種安裝在用戶主機上的 ARP欺騙監(jiān)測軟件 ，能夠動態(tài)監(jiān)測局域網(wǎng)內(nèi)針對本主機和針對網(wǎng)關(guān)的 ARP欺騙。但是如果設(shè)置錯誤，主動監(jiān)測的 ARP防火墻會向局域網(wǎng)內(nèi)發(fā)送大量 ARP報文，造成 ARP報文的廣播風暴，影響網(wǎng)絡(luò)通信。因此 ARP防火墻的應(yīng)用具有兩面性。 ⑵ 針對 ARP報文的檢測 基于“所有的攻擊都是從 PC終端上發(fā)起的，如果能從終端操作平臺采取防范措施，這些不安全因素將從終端源頭被控制”的思想，從局域網(wǎng)中的每個終端人手，提出一種檢測 ARP欺騙攻擊的主要思路：對每個主機發(fā)送和接收的 ARP報文進行一致性檢測，實施發(fā) 送方身份認證。 按照這種思路，我們首先對 ARP頭信息進行異常檢測。通過對眾多的 ARP攻擊工具和利用 ARP攻擊手段的病毒的分析，發(fā)現(xiàn)攻擊流量中存在大量頭信息異常的 ARP報文，這些非一致頭信息的 ARP報文都是偽造的 ARP欺騙報文。在每個 ARP報文中的數(shù)據(jù)幀報頭和 ARP分組中都包含有發(fā)送端的硬件信息即MAC地址。正常情況下以太網(wǎng)數(shù)據(jù)幀中，幀頭相應(yīng)的 MAC地址應(yīng)該和幀數(shù)據(jù)中 ARP分組相應(yīng)的 MAC地址一致，這樣的 ARP報文才算是正確的。攻擊者為了防止被追查，通常在 ARP欺騙數(shù)據(jù)報文不會留下發(fā)送虛假信息的主機地址，而 是偽造一個假的地址填充到報文中，但是承載這個 ARP報文的以太網(wǎng)數(shù)據(jù)幀卻包含了它真實的源 MAC地址。 13 即使以太網(wǎng)的數(shù)據(jù)幀頭里的相應(yīng)的 MAC地址和幀數(shù)據(jù)包中 ARP分組相應(yīng)的的 MAC地址一致，也不能斷定這個 ARP報文不是欺騙或攻擊的報文，一些高明的攻擊者能利用正確的 ARP報文甚至偽造出格式完全正確的 ARP報文發(fā)起 ARP攻擊。因此，我們還要對 ARP攻擊進行檢測。如果能夠?qū)邮盏?ARP報文實施發(fā)送方身份認證，拒絕未通過認證的報文，那么就能檢測出 ARP欺騙攻擊報文。基于接收的 ARP報文中的 MAC地址和 IP地址等信息， 可以構(gòu)造相應(yīng)的協(xié)議上層數(shù)據(jù)包如 IP層或傳輸層數(shù)據(jù)包，注入到網(wǎng)絡(luò)中，根據(jù)其是否響應(yīng)數(shù)據(jù)報文以及響應(yīng)數(shù)據(jù)報文中的 MAC地址和 IP地址等信息，就能驗證接收的ARP報文中 MAC地址和 IP地址的真實性，從而實施對接收的 ARP報文的認證。 ⑶ 基于 Windows OS自身函數(shù)的檢測 ① 獲得網(wǎng)關(guān)地址 可以用系統(tǒng)函數(shù) Get IpAddr Table( )獲得 Windows系統(tǒng)中的路由表 ,找到 Default Gateway ,自動獲得系統(tǒng)網(wǎng)關(guān)的 IP地址。相關(guān)代 碼如下 : ② 獲取 ARP緩存表中網(wǎng)關(guān)的 MAC地址 用 SendARP()函數(shù)獲取系統(tǒng)網(wǎng)關(guān)對應(yīng)的 MAC 地址。如果 Windows 系統(tǒng)的 ARP 緩存中有網(wǎng)關(guān)對應(yīng)的記錄 ,該函數(shù)獲得 ARP 緩存中記錄的 MAC 地址。如果 Windows 系統(tǒng)的 ARP 緩存中不存在網(wǎng)關(guān)對應(yīng)的記錄 ,該函數(shù)會自動發(fā)送一個 ARP 請求包 ,根據(jù)返回的 ARP 應(yīng)答包獲得網(wǎng)關(guān)對應(yīng)的 MAC 地址。然后將該地址保存下來。相關(guān)代碼如下 : ③ 獲取真實的網(wǎng)關(guān) MAC地址 先調(diào)用系統(tǒng)命令 ARP d清空系統(tǒng) ARP緩存 ,然后立即調(diào)用 SendARP()函數(shù)。該函數(shù)根據(jù)返回的 ARP應(yīng)答包獲得網(wǎng)關(guān)對應(yīng)的 MAC地址，從而獲得網(wǎng)關(guān)對應(yīng)的真實 MAC地址。為避免系統(tǒng)發(fā)送 ARP請求包后 ,正好收到 ARP 欺騙計算機的應(yīng)答包 ,可將該過程重復幾次。將獲得的 MAC地址和前面保存的從緩存獲得的 MAC地址相比較。相關(guān)代碼如下： ARP 欺騙攻擊的防御 手動防御 ⑴ 使用靜態(tài) ARP緩存表 防御 ARP欺騙的最簡單方法就是在交換機或