【文章內(nèi)容簡介】 每臺 PC 做IP MAC 綁定吧，這樣可以徹底根除 ARP 欺騙帶來的煩惱。況且，路由只需要單向綁定，已經(jīng)為您省去了另一半更繁瑣的工作，并且設(shè)置時不需要重啟路由器斷網(wǎng)。 路由器本身不怕 ARP，您再做好 PC 上的綁定，讓 PC 也不怕 ARP，雙管齊下，您的網(wǎng)吧就可以高枕無憂了 。 網(wǎng)絡(luò)安全中的 ARP 協(xié)議和欺騙技術(shù)及其對策 ARP 協(xié)議的概念和工作原理對 學(xué)習(xí)網(wǎng)絡(luò)安全知識的初學(xué)者來說是首先遇到的幾個重要的知識點之一，其中 ARP 欺騙技術(shù)和及其對策更是學(xué)習(xí)網(wǎng)絡(luò)安全中的重點與難點， 16 往往難以一下子掌握這些 抽象復(fù)雜的機(jī)理。因此很有必要用詳細(xì)介始一下網(wǎng)絡(luò)安全中的 ARP 協(xié)議和欺騙技術(shù)相應(yīng)的對策。 一， TCP/IP 協(xié)議之 ARP 協(xié)議的定義 ARP 協(xié)議即地址解析協(xié)議 Address Resolution Protocol， ARP 協(xié)議是將 IP 地址與網(wǎng)絡(luò)物理地址一一對應(yīng)的協(xié)議。負(fù)責(zé) IP 地址和網(wǎng) 卡實體地址 (MAC)之間的轉(zhuǎn)換。也就是將網(wǎng)絡(luò)層（ IP 層，也 就是相當(dāng)于 ISO OSI 的第三層）地址解析為數(shù)據(jù)連接層（ MAC 層，也就是相當(dāng)于 ISO OSI 的第二層）的 MAC 地址。如果您對網(wǎng)路七層協(xié)定有比較清晰的理解的話應(yīng)該知道各個層級之間都使用其各自的協(xié)定。一張 ARP 的表，用來支持在 MAC 地 址和 IP 地址之間的一一對應(yīng)關(guān)系。它提供兩者的相互轉(zhuǎn)換。 二， ARP 協(xié)議的工作原理 在以太網(wǎng)（ Ether）中，一個網(wǎng)絡(luò)設(shè)備要和另一個網(wǎng)絡(luò)設(shè)備進(jìn)行直接通信，除了知道目標(biāo)設(shè)備的網(wǎng)絡(luò)層邏輯地址（如 IP 地址）外，還要知 道目標(biāo)設(shè)備的第二層物理地址（ MAC 地址）。 ARP 協(xié)議的基本功能就是通過目標(biāo)設(shè)備的 IP 地址， 查詢目標(biāo)設(shè)備的MAC 地址，以保證通信的順利進(jìn)行。 當(dāng)一個網(wǎng)絡(luò)設(shè)備需要和另一個網(wǎng)絡(luò)設(shè)備通信時，它首先把目標(biāo)設(shè)備的 IP 地址與自己的子 網(wǎng)掩碼進(jìn)行 與 操作，以判斷目標(biāo)設(shè)備與自己是否位于同一網(wǎng)段內(nèi)。如果目標(biāo)設(shè)備在同一網(wǎng)段內(nèi)，并且源設(shè)備沒有獲得與目標(biāo) IP 地址相對應(yīng)的 MAC 地址信息， 則源設(shè)備以第二層廣播的形式（目標(biāo) MAC 地址為全 1）發(fā)送 ARP 請求報文，在 ARP 請求報文中包含了源設(shè)備與目標(biāo)設(shè)備的 IP 地址。同一網(wǎng)段中的所有其他 設(shè) 備都可以收到并分析這個 ARP 請求報文，如果某設(shè)備發(fā)現(xiàn)報文中的目標(biāo) IP 地址與自己的 IP 地址相同，則它向源設(shè)備發(fā)回 ARP 響應(yīng)報文，通過該報文使源設(shè)備 獲得目標(biāo)設(shè)備的 MAC 地址信息。 如果目標(biāo)設(shè)備與源設(shè)備不在同一網(wǎng)段，則源設(shè)備首先把 IP 分組發(fā)向自己的缺省網(wǎng)關(guān) （ Default Gateway），由缺省網(wǎng)關(guān)對該分組進(jìn)行轉(zhuǎn)發(fā)。如果源設(shè)備沒有關(guān)于缺省網(wǎng)關(guān)的 MAC 信息，則它同樣通過 ARP 協(xié)議獲取缺省網(wǎng)關(guān)的 MAC 地址信息。為了減 少廣播量，網(wǎng)絡(luò)設(shè)備通過 ARP 表在緩存中保存 IP 與 MAC 地址的映射信息。在一次 ARP 的請求與響應(yīng)過程中，通信雙方都把對方的 MAC 地址與 IP 地址的對 應(yīng)關(guān)系保存在各自的 ARP表中，以在后續(xù)的通信中使用。 ARP 表使用老化機(jī)制，刪除在一段時間內(nèi)沒有使用過的IP 與 MAC 地址的映射關(guān)系。 17 還有當(dāng)傳送過來的包要傳向一個 LAN 的主機(jī)時，當(dāng)它到達(dá)網(wǎng)關(guān)時，網(wǎng)關(guān)要求 ARP 程序 找到物理主機(jī)或與 IP 地址相對應(yīng)的 MAC 地址。 ARP 程序在緩存中尋找，如果找到地址，就提供此地址，以便讓此包轉(zhuǎn)換成相應(yīng)的長度和格式，以傳送到此主 機(jī)。如果未找到， ARP 程序就在網(wǎng)上廣播一個特殊格式的消息，看哪個機(jī)器知道與這個 IP 地址相關(guān)的 MAC 地址。如果一臺機(jī)器發(fā)現(xiàn)那是自己的 IP 地址，它就 發(fā)送回應(yīng)，這樣就指出了相應(yīng)的地址。 ARP 程序就更新自己的緩存然后發(fā)送此包到回應(yīng)的 MAC 地址。因為不同協(xié)議的相應(yīng)處理方法不同，所以有不同網(wǎng)絡(luò)的地址 解析請求。也有反向地址解析協(xié)議（ RARP）供不知道 IP 地址的主機(jī)從 ARP 緩存中獲得 IP 地址。 我們還是來通過實驗更加深入直觀地了解 ARP 協(xié)議的工作原理吧。我們假設(shè)有兩臺主機(jī)： A 機(jī)的 IP 地址是 ， MAC 地址是 5254ab278283 。 B 機(jī)的 IP 地址是 ， MAC 地址是 5254ab278284 。 當(dāng)主機(jī) A 想與主機(jī) B 進(jìn)行通訊時， A 機(jī)只知道 B 機(jī)的 IP 地址是 ,當(dāng)數(shù)據(jù)包封裝到 MAC 層時他如何知道 B 的 MAC 地址呢，一般的 OS 中是這樣做的，在 OS 的內(nèi)核中保存一分 MAC 地址表，就是我們一中介始到的。用 arp a 就可以看見這個表的內(nèi)容了，例如： C:/arp a Interface: on Interface 0x1000002 Inter Address Physical Address Type 5254ab278283 dynamic 其中表內(nèi)有 IP 和 MAC 地址的對應(yīng)關(guān)系，當(dāng)要過進(jìn)行通訊時，系統(tǒng)先查看這個表中是否 有相關(guān)的表項，如果有就直接使用，如果沒有系統(tǒng)就會發(fā)出一個 ARP 請求包 ,這個包的目的地址為 ffffffffffff 的廣播地址，他的作用就是詢問局域 網(wǎng)內(nèi) IP 地址為 的主機(jī)的 MAC 地址，就像是 A 在局域網(wǎng)中發(fā)信息找一個 IP 地址為 . MAC地址，同樣 A機(jī)把自已的 MAC地址告訴出去是 5254ab 278283 ，隨后所有主機(jī)都會接收到這個包，但只有 IP 為 的 B 才會響應(yīng)一個 ARP 應(yīng)答包給主機(jī) A,B 機(jī)會回信息給 A 機(jī)說他的 MAC 地址是 52 54ab278284 18 ,好這下主機(jī) A 就知道 B 的 MAC 地址了，于時他就可以封包發(fā)送了，同時主機(jī) A 將 B的 MAC 地址放入 ARP 緩沖中，隔一定時間就將其刪除，確保不斷更新。 注意，在這個過程中，如果主機(jī) A 在發(fā)送 ARP 請求時，假如該局域網(wǎng)內(nèi)有一臺主機(jī)C 的 IP 和 A 相同， C 就會得知有一臺主機(jī)的 IP 地址同自已的 IP 地址相同，于時就蹦出一個 IP 沖突的對話筐。與 ARP 相對應(yīng)的還有一個協(xié)議 RARP:Reverse Address Resolution Protocol， 反向地址解析協(xié)議，該協(xié)議主要用于工作站模型動態(tài)獲取 IP 的過程中，作用是由MAC 地址向服務(wù)器取回 IP 地址。 三，如何實現(xiàn) ARP 協(xié)議的欺騙技術(shù)和相應(yīng)的對策 1， ARP 協(xié)議欺騙技術(shù) 當(dāng)我們設(shè)定一個目標(biāo)進(jìn)行 ARP 欺騙時，也就是把 MAC 地址通過一主機(jī) A 發(fā)送到主機(jī)B 上的數(shù)據(jù)包都變成發(fā)送給主機(jī) C 的了，如果 C 能夠接收到 A 發(fā)送的數(shù)據(jù)包后，第一步屬于嗅探成功了，而對于主機(jī) A 來目前是不可能意識到這一點，主機(jī) C 接收到主 機(jī) A發(fā)送給主機(jī) B 的數(shù)據(jù)包可沒有轉(zhuǎn)交給 B。當(dāng)進(jìn)行 ARP 重定向。打開主機(jī) C 的 IP 轉(zhuǎn)發(fā)功能，A 發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給 C，好比一個路由器一樣。但是這就 是 ARP 協(xié)議欺騙真正的一步，假如主機(jī) C 進(jìn)行發(fā)送 ICMP 重定向的話就麻煩了，因為他可以直接進(jìn)行整個包的修改轉(zhuǎn)發(fā)，捕獲到主機(jī) A 發(fā)送給的數(shù)據(jù)包，全部進(jìn) 行修改后再轉(zhuǎn)發(fā)給主機(jī) B，而主機(jī)B 接收到的數(shù)據(jù)包完全認(rèn)為是從主機(jī) A 發(fā)送來的。這樣就是主機(jī) C 進(jìn)行 ARP 協(xié)議欺騙技術(shù)，對于網(wǎng)絡(luò)安全來是很重要的。當(dāng)然還 可以通過 MAC 地址進(jìn)行欺騙的。 2， ARP 協(xié)議欺騙技術(shù)相應(yīng)對策 各種網(wǎng)絡(luò)安全的對策都是相對的，主要要看網(wǎng)管平時對網(wǎng)絡(luò)安全的重視性了。下面介始一些相應(yīng)的對策： 1) 在系統(tǒng)中建立靜態(tài) ARP 表 ,建立后對本身自已系統(tǒng)影響不大的，對網(wǎng)絡(luò)影響較大，破壞了動態(tài) ARP 解析過程。靜態(tài) ARP 協(xié)議表不會過期的，我們用 “arp d” 命令清除 ARP 表，即手動刪除。但是有的系統(tǒng)的靜態(tài) ARP 表項可以被動態(tài)刷新，如 Solaris 系統(tǒng) ,那樣的話依靠靜態(tài) ARP 表項并不能對抗 ARP 欺騙攻擊，相反縱容了 ARP 欺騙攻擊，因為虛假的靜態(tài) ARP 表項不會自動超時消失。當(dāng)然， 可以考慮利用 cron 機(jī)制補救 之。 19 (增加一個 crontab) 為了對抗 ARP 欺騙攻擊，對于 Solaris 系統(tǒng)來說，應(yīng)該結(jié)合 禁止相應(yīng)網(wǎng)絡(luò)接口做 ARP 解 析 和 使用靜態(tài) ARP 表 的設(shè)置 2)在相對系統(tǒng)中禁止某個網(wǎng)絡(luò)接口做 ARP解析 (對抗 ARP欺騙攻擊 )，可以做靜態(tài) ARP協(xié)議設(shè)置 (因為對方不會響應(yīng) ARP 請求報文 ) 如： arp s 080020a82eac 在絕大多數(shù)操作系統(tǒng)如： Unix， BSD， NT 等，都可以結(jié)合 禁止相應(yīng)網(wǎng)絡(luò) 接口做 ARP解析 和 使用靜態(tài) ARP 表 的設(shè)置來對抗 ARP 欺騙攻擊。而 Linux 系統(tǒng)，其靜態(tài) ARP 表項不會被動態(tài)刷新，所以不需要 禁止相應(yīng)網(wǎng)絡(luò)接 口做 ARP 解析 即可對抗 ARP 欺騙攻擊。 三 ARP 防范軟件 360 安全衛(wèi)士新版發(fā)布增加 ARP 防火墻 ARP 攻擊免疫功能 Vista Vista 下開啟有 UAC 的實時保護(hù) ,開啟保護(hù)時給用戶彈出提示 解決網(wǎng)絡(luò)鏈接狀態(tài)中的 UDP 端口號顯示不正確的問題 20 bug Sniffer 什么是 Sniffer？人們談到黑客攻擊 ,一般所指的都是以主動方式進(jìn)行的 ,例如利用漏洞或者猜測系統(tǒng)密碼的方式對系統(tǒng)進(jìn)行攻擊。但是其實還有一類危害非常大的被動攻擊方式往往為大家所忽視 ,那就是利用 Sniffer 進(jìn)行嗅探攻擊。 簡紹 Sniffer 使用方法 一、捕獲數(shù)據(jù)包前的準(zhǔn)備工作在默認(rèn)情況下， sniffer 將捕獲其接入碰撞域中流經(jīng)的所有數(shù)據(jù)包，但在某些場景下，有些數(shù)據(jù)包可能不是我們所需要的，為了快速定位網(wǎng)絡(luò)問題所在，有必要對所要捕獲的數(shù)據(jù)包作過濾。 Sniffer 提供了捕獲數(shù)據(jù)包前的過濾規(guī)則的定義，過濾規(guī)則包括 3 層地址的定義和幾百種協(xié)議的定義。定義過濾規(guī)則的做法一般如下： 在主界面選擇 capture224。definefilter 選項。 definefilter224。address，這是最常用的定義。其中包括 MAC 地 址、 ip 地址和 ipx 地址的定義。以定義 IP 地址過濾為例，見圖 1。 21 圖 1 比如， 現(xiàn)在要捕獲地址為 的主機(jī)與其他主機(jī)通信的信息 ，在 Mode 選項卡中，選 Include(選 Exclude選項，是表示捕獲除此地址外所有的數(shù)據(jù)包 )；在 station選項中，在任意一欄填上 ,另外一欄填上 any（ any 表示所有的 IP 地址）。這樣就完成了地址的定義。 注意到 ： 表示，捕獲 station1 收發(fā)的數(shù)據(jù)包； 表示，捕獲 station1 發(fā)送的數(shù)據(jù)包； 表示，捕獲 station1 收到的數(shù)據(jù)包。 最后，選取 ，將定義的規(guī)則保存下來，供以后使用。 definefilter224。advanced，定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包。如圖 2。 22 如圖 2 比如，想捕獲 FTP、 NETBIOS、 DNS、 HTTP 的數(shù)據(jù)包，那么說首先打開 TCP 選項卡，再進(jìn)一步選協(xié)議；還要明確 DNS、 NETBIOS 的數(shù)據(jù)包有些是屬于 UDP 協(xié)議，故需在 UDP選項卡做類 似 TCP 選項卡的工作，否則捕獲的數(shù)據(jù)包將不全。 如果不選任何協(xié)議，則捕獲所有協(xié)議的數(shù)據(jù)包。 PacketSize選項中，可以定義捕獲的包大小，圖 3，是定義捕獲包大小界于 64 至 128bytes的數(shù)據(jù)包。 圖 3 23 definefilter224。buffer,定義捕獲數(shù)據(jù)包的緩沖區(qū)。如圖 4： 圖 4 Buffersize 選項卡，將其設(shè)為最大 40M。 Capturebuffer 選項卡，將設(shè)置緩沖區(qū)文件存放的位置。 最后，需將定義的過濾規(guī)則應(yīng)用于捕獲中。如圖 5： 24 圖 5 點選 SelectFilter224。Capture 中選取定義的捕獲規(guī)則。 二、捕獲數(shù)據(jù)包時觀察到的信息 Capture224。Start,啟動捕獲引擎。 sniffer 可以實時監(jiān)控主機(jī)、協(xié)議、應(yīng)用程序、不同包類型等的分布情況。 如圖 6： 25 圖 6 Dashboard: