【文章內(nèi)容簡介】 每臺 PC 做IP MAC 綁定吧，這樣可以徹底根除 ARP 欺騙帶來的煩惱。況且，路由只需要單向綁定，已經(jīng)為您省去了另一半更繁瑣的工作，并且設置時不需要重啟路由器斷網(wǎng)。 路由器本身不怕 ARP，您再做好 PC 上的綁定，讓 PC 也不怕 ARP，雙管齊下，您的網(wǎng)吧就可以高枕無憂了 。 網(wǎng)絡安全中的 ARP 協(xié)議和欺騙技術及其對策 ARP 協(xié)議的概念和工作原理對 學習網(wǎng)絡安全知識的初學者來說是首先遇到的幾個重要的知識點之一，其中 ARP 欺騙技術和及其對策更是學習網(wǎng)絡安全中的重點與難點， 16 往往難以一下子掌握這些 抽象復雜的機理。因此很有必要用詳細介始一下網(wǎng)絡安全中的 ARP 協(xié)議和欺騙技術相應的對策。 一， TCP/IP 協(xié)議之 ARP 協(xié)議的定義 ARP 協(xié)議即地址解析協(xié)議 Address Resolution Protocol， ARP 協(xié)議是將 IP 地址與網(wǎng)絡物理地址一一對應的協(xié)議。負責 IP 地址和網(wǎng) 卡實體地址 (MAC)之間的轉換。也就是將網(wǎng)絡層（ IP 層，也 就是相當于 ISO OSI 的第三層）地址解析為數(shù)據(jù)連接層（ MAC 層，也就是相當于 ISO OSI 的第二層）的 MAC 地址。如果您對網(wǎng)路七層協(xié)定有比較清晰的理解的話應該知道各個層級之間都使用其各自的協(xié)定。一張 ARP 的表，用來支持在 MAC 地 址和 IP 地址之間的一一對應關系。它提供兩者的相互轉換。 二， ARP 協(xié)議的工作原理 在以太網(wǎng)（ Ether）中，一個網(wǎng)絡設備要和另一個網(wǎng)絡設備進行直接通信，除了知道目標設備的網(wǎng)絡層邏輯地址（如 IP 地址）外，還要知 道目標設備的第二層物理地址（ MAC 地址）。 ARP 協(xié)議的基本功能就是通過目標設備的 IP 地址， 查詢目標設備的MAC 地址，以保證通信的順利進行。 當一個網(wǎng)絡設備需要和另一個網(wǎng)絡設備通信時，它首先把目標設備的 IP 地址與自己的子 網(wǎng)掩碼進行 與 操作，以判斷目標設備與自己是否位于同一網(wǎng)段內(nèi)。如果目標設備在同一網(wǎng)段內(nèi)，并且源設備沒有獲得與目標 IP 地址相對應的 MAC 地址信息， 則源設備以第二層廣播的形式（目標 MAC 地址為全 1）發(fā)送 ARP 請求報文，在 ARP 請求報文中包含了源設備與目標設備的 IP 地址。同一網(wǎng)段中的所有其他 設 備都可以收到并分析這個 ARP 請求報文，如果某設備發(fā)現(xiàn)報文中的目標 IP 地址與自己的 IP 地址相同，則它向源設備發(fā)回 ARP 響應報文，通過該報文使源設備 獲得目標設備的 MAC 地址信息。 如果目標設備與源設備不在同一網(wǎng)段，則源設備首先把 IP 分組發(fā)向自己的缺省網(wǎng)關 （ Default Gateway），由缺省網(wǎng)關對該分組進行轉發(fā)。如果源設備沒有關于缺省網(wǎng)關的 MAC 信息，則它同樣通過 ARP 協(xié)議獲取缺省網(wǎng)關的 MAC 地址信息。為了減 少廣播量，網(wǎng)絡設備通過 ARP 表在緩存中保存 IP 與 MAC 地址的映射信息。在一次 ARP 的請求與響應過程中，通信雙方都把對方的 MAC 地址與 IP 地址的對 應關系保存在各自的 ARP表中，以在后續(xù)的通信中使用。 ARP 表使用老化機制，刪除在一段時間內(nèi)沒有使用過的IP 與 MAC 地址的映射關系。 17 還有當傳送過來的包要傳向一個 LAN 的主機時，當它到達網(wǎng)關時，網(wǎng)關要求 ARP 程序 找到物理主機或與 IP 地址相對應的 MAC 地址。 ARP 程序在緩存中尋找，如果找到地址，就提供此地址，以便讓此包轉換成相應的長度和格式，以傳送到此主 機。如果未找到， ARP 程序就在網(wǎng)上廣播一個特殊格式的消息，看哪個機器知道與這個 IP 地址相關的 MAC 地址。如果一臺機器發(fā)現(xiàn)那是自己的 IP 地址，它就 發(fā)送回應，這樣就指出了相應的地址。 ARP 程序就更新自己的緩存然后發(fā)送此包到回應的 MAC 地址。因為不同協(xié)議的相應處理方法不同，所以有不同網(wǎng)絡的地址 解析請求。也有反向地址解析協(xié)議（ RARP）供不知道 IP 地址的主機從 ARP 緩存中獲得 IP 地址。 我們還是來通過實驗更加深入直觀地了解 ARP 協(xié)議的工作原理吧。我們假設有兩臺主機： A 機的 IP 地址是 ， MAC 地址是 5254ab278283 。 B 機的 IP 地址是 ， MAC 地址是 5254ab278284 。 當主機 A 想與主機 B 進行通訊時， A 機只知道 B 機的 IP 地址是 ,當數(shù)據(jù)包封裝到 MAC 層時他如何知道 B 的 MAC 地址呢，一般的 OS 中是這樣做的，在 OS 的內(nèi)核中保存一分 MAC 地址表，就是我們一中介始到的。用 arp a 就可以看見這個表的內(nèi)容了，例如： C:/arp a Interface: on Interface 0x1000002 Inter Address Physical Address Type 5254ab278283 dynamic 其中表內(nèi)有 IP 和 MAC 地址的對應關系，當要過進行通訊時，系統(tǒng)先查看這個表中是否 有相關的表項，如果有就直接使用，如果沒有系統(tǒng)就會發(fā)出一個 ARP 請求包 ,這個包的目的地址為 ffffffffffff 的廣播地址，他的作用就是詢問局域 網(wǎng)內(nèi) IP 地址為 的主機的 MAC 地址，就像是 A 在局域網(wǎng)中發(fā)信息找一個 IP 地址為 . MAC地址，同樣 A機把自已的 MAC地址告訴出去是 5254ab 278283 ，隨后所有主機都會接收到這個包，但只有 IP 為 的 B 才會響應一個 ARP 應答包給主機 A,B 機會回信息給 A 機說他的 MAC 地址是 52 54ab278284 18 ,好這下主機 A 就知道 B 的 MAC 地址了，于時他就可以封包發(fā)送了，同時主機 A 將 B的 MAC 地址放入 ARP 緩沖中，隔一定時間就將其刪除，確保不斷更新。 注意，在這個過程中，如果主機 A 在發(fā)送 ARP 請求時，假如該局域網(wǎng)內(nèi)有一臺主機C 的 IP 和 A 相同， C 就會得知有一臺主機的 IP 地址同自已的 IP 地址相同，于時就蹦出一個 IP 沖突的對話筐。與 ARP 相對應的還有一個協(xié)議 RARP:Reverse Address Resolution Protocol， 反向地址解析協(xié)議，該協(xié)議主要用于工作站模型動態(tài)獲取 IP 的過程中，作用是由MAC 地址向服務器取回 IP 地址。 三，如何實現(xiàn) ARP 協(xié)議的欺騙技術和相應的對策 1， ARP 協(xié)議欺騙技術 當我們設定一個目標進行 ARP 欺騙時，也就是把 MAC 地址通過一主機 A 發(fā)送到主機B 上的數(shù)據(jù)包都變成發(fā)送給主機 C 的了，如果 C 能夠接收到 A 發(fā)送的數(shù)據(jù)包后，第一步屬于嗅探成功了，而對于主機 A 來目前是不可能意識到這一點，主機 C 接收到主 機 A發(fā)送給主機 B 的數(shù)據(jù)包可沒有轉交給 B。當進行 ARP 重定向。打開主機 C 的 IP 轉發(fā)功能，A 發(fā)送過來的數(shù)據(jù)包，轉發(fā)給 C，好比一個路由器一樣。但是這就 是 ARP 協(xié)議欺騙真正的一步，假如主機 C 進行發(fā)送 ICMP 重定向的話就麻煩了，因為他可以直接進行整個包的修改轉發(fā)，捕獲到主機 A 發(fā)送給的數(shù)據(jù)包，全部進 行修改后再轉發(fā)給主機 B，而主機B 接收到的數(shù)據(jù)包完全認為是從主機 A 發(fā)送來的。這樣就是主機 C 進行 ARP 協(xié)議欺騙技術，對于網(wǎng)絡安全來是很重要的。當然還 可以通過 MAC 地址進行欺騙的。 2， ARP 協(xié)議欺騙技術相應對策 各種網(wǎng)絡安全的對策都是相對的，主要要看網(wǎng)管平時對網(wǎng)絡安全的重視性了。下面介始一些相應的對策： 1) 在系統(tǒng)中建立靜態(tài) ARP 表 ,建立后對本身自已系統(tǒng)影響不大的，對網(wǎng)絡影響較大，破壞了動態(tài) ARP 解析過程。靜態(tài) ARP 協(xié)議表不會過期的，我們用 “arp d” 命令清除 ARP 表，即手動刪除。但是有的系統(tǒng)的靜態(tài) ARP 表項可以被動態(tài)刷新，如 Solaris 系統(tǒng) ,那樣的話依靠靜態(tài) ARP 表項并不能對抗 ARP 欺騙攻擊，相反縱容了 ARP 欺騙攻擊，因為虛假的靜態(tài) ARP 表項不會自動超時消失。當然， 可以考慮利用 cron 機制補救 之。 19 (增加一個 crontab) 為了對抗 ARP 欺騙攻擊，對于 Solaris 系統(tǒng)來說，應該結合 禁止相應網(wǎng)絡接口做 ARP 解 析 和 使用靜態(tài) ARP 表 的設置 2)在相對系統(tǒng)中禁止某個網(wǎng)絡接口做 ARP解析 (對抗 ARP欺騙攻擊 )，可以做靜態(tài) ARP協(xié)議設置 (因為對方不會響應 ARP 請求報文 ) 如： arp s 080020a82eac 在絕大多數(shù)操作系統(tǒng)如： Unix， BSD， NT 等，都可以結合 禁止相應網(wǎng)絡 接口做 ARP解析 和 使用靜態(tài) ARP 表 的設置來對抗 ARP 欺騙攻擊。而 Linux 系統(tǒng)，其靜態(tài) ARP 表項不會被動態(tài)刷新，所以不需要 禁止相應網(wǎng)絡接 口做 ARP 解析 即可對抗 ARP 欺騙攻擊。 三 ARP 防范軟件 360 安全衛(wèi)士新版發(fā)布增加 ARP 防火墻 ARP 攻擊免疫功能 Vista Vista 下開啟有 UAC 的實時保護 ,開啟保護時給用戶彈出提示 解決網(wǎng)絡鏈接狀態(tài)中的 UDP 端口號顯示不正確的問題 20 bug Sniffer 什么是 Sniffer？人們談到黑客攻擊 ,一般所指的都是以主動方式進行的 ,例如利用漏洞或者猜測系統(tǒng)密碼的方式對系統(tǒng)進行攻擊。但是其實還有一類危害非常大的被動攻擊方式往往為大家所忽視 ,那就是利用 Sniffer 進行嗅探攻擊。 簡紹 Sniffer 使用方法 一、捕獲數(shù)據(jù)包前的準備工作在默認情況下， sniffer 將捕獲其接入碰撞域中流經(jīng)的所有數(shù)據(jù)包，但在某些場景下，有些數(shù)據(jù)包可能不是我們所需要的，為了快速定位網(wǎng)絡問題所在，有必要對所要捕獲的數(shù)據(jù)包作過濾。 Sniffer 提供了捕獲數(shù)據(jù)包前的過濾規(guī)則的定義，過濾規(guī)則包括 3 層地址的定義和幾百種協(xié)議的定義。定義過濾規(guī)則的做法一般如下： 在主界面選擇 capture224。definefilter 選項。 definefilter224。address，這是最常用的定義。其中包括 MAC 地 址、 ip 地址和 ipx 地址的定義。以定義 IP 地址過濾為例，見圖 1。 21 圖 1 比如， 現(xiàn)在要捕獲地址為 的主機與其他主機通信的信息 ，在 Mode 選項卡中，選 Include(選 Exclude選項，是表示捕獲除此地址外所有的數(shù)據(jù)包 )；在 station選項中，在任意一欄填上 ,另外一欄填上 any（ any 表示所有的 IP 地址）。這樣就完成了地址的定義。 注意到 ： 表示，捕獲 station1 收發(fā)的數(shù)據(jù)包； 表示，捕獲 station1 發(fā)送的數(shù)據(jù)包； 表示，捕獲 station1 收到的數(shù)據(jù)包。 最后，選取 ，將定義的規(guī)則保存下來，供以后使用。 definefilter224。advanced，定義希望捕獲的相關協(xié)議的數(shù)據(jù)包。如圖 2。 22 如圖 2 比如，想捕獲 FTP、 NETBIOS、 DNS、 HTTP 的數(shù)據(jù)包，那么說首先打開 TCP 選項卡，再進一步選協(xié)議；還要明確 DNS、 NETBIOS 的數(shù)據(jù)包有些是屬于 UDP 協(xié)議，故需在 UDP選項卡做類 似 TCP 選項卡的工作，否則捕獲的數(shù)據(jù)包將不全。 如果不選任何協(xié)議，則捕獲所有協(xié)議的數(shù)據(jù)包。 PacketSize選項中，可以定義捕獲的包大小，圖 3，是定義捕獲包大小界于 64 至 128bytes的數(shù)據(jù)包。 圖 3 23 definefilter224。buffer,定義捕獲數(shù)據(jù)包的緩沖區(qū)。如圖 4： 圖 4 Buffersize 選項卡，將其設為最大 40M。 Capturebuffer 選項卡，將設置緩沖區(qū)文件存放的位置。 最后，需將定義的過濾規(guī)則應用于捕獲中。如圖 5： 24 圖 5 點選 SelectFilter224。Capture 中選取定義的捕獲規(guī)則。 二、捕獲數(shù)據(jù)包時觀察到的信息 Capture224。Start,啟動捕獲引擎。 sniffer 可以實時監(jiān)控主機、協(xié)議、應用程序、不同包類型等的分布情況。 如圖 6： 25 圖 6 Dashboard: