【文章內(nèi)容簡介】 Access Control）地址，意譯為媒體訪問控制，或稱為物理地址、硬件地址，用來定義網(wǎng)絡(luò)設(shè)備的位置。在 OSI 模型中，第三層網(wǎng)絡(luò)層負責 IP 地址，第二層數(shù)據(jù)鏈路層則負責 MAC 地址。因此一個主機會有一個 MAC 地址，而每個網(wǎng)絡(luò)位置會有一個專屬于它的 IP 地址。 9 Protocol”（地址解析協(xié)議）的縮寫。位于 OSI網(wǎng)絡(luò)七層模型中的第二層 —數(shù)據(jù)鏈路層。在數(shù)據(jù)鏈路層中網(wǎng)絡(luò)中實際傳輸?shù)姆庋b數(shù)據(jù)包為數(shù)據(jù) “幀 ”， 幀的傳播尋址方法是依 靠 目標主機的 MAC地址。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的 MAC地址。這個目標 MAC地址是通過地址解析協(xié)議獲得的。 Inter上常用到 DNS域名解析是將 IP地址與域名對應(yīng)起來，而數(shù)據(jù)鏈接層的 “ MAC地址解析 ” 原理與 DNS相似，其實就是將網(wǎng)卡的 MAC硬件地址與 IP地址對應(yīng)，整個“ MAC地址解析 ” 的過程其實就是主機在發(fā)送幀前將目標 IP地址轉(zhuǎn)換成目標 MAC地址的過程。而 ARP協(xié)議的基本功能就是通過目標設(shè)備的 IP地址， 查詢目標設(shè)備的 MAC地址，以保證通信的順利進行。 圖 23 互聯(lián)網(wǎng)名字解析協(xié)議原理 在圖 23所示的互聯(lián)網(wǎng)名字解析方法中，每臺使用 TCP/IP協(xié)議上網(wǎng)的電腦內(nèi)部都有一個 ARP緩存表，表里的 IP地址與 MAC地址是一一對應(yīng)的。這個高速緩存存放了最近 Inter地址 到硬件地址之間的映射記錄。高速緩存中每一項的生存時間一般默認為 2 0分鐘（可通過注冊表修改），緩存的起始時間從被創(chuàng)建時開始算起。 ARP緩存表 下 圖所示。 圖 24 ARP緩存表 10 更新 ARP 表 回答MAC:bbbbbbbbbbbb 發(fā)送廣播包 需要知道 B 的 MAC A 需要連接 B B的 MAC 地址是否在 ARP 表中 連接bbbbbbbbbbbb 讀取 ARP 表 舉例說明 IPMAC地址表轉(zhuǎn)換工作原理。在 ，每臺主機都會存一張 IPMAC地址對照關(guān)系如表 21。 主機 IP地址 MAC地址 A aaaaaaaaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 表 21 IP地址與 MAC地址對應(yīng)表 根據(jù)表 21的配置，以主機 A（ ）向主機 B（ ）發(fā)送數(shù)據(jù)為例 ， 整個 ARP查詢過程如圖 25所示 。 否 是 圖 25 ARP查詢過程圖 ARP緩存表采用了老化機制 4，在一段時間內(nèi) 如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少 ARP緩存表的長度，加快查詢速度。 從圖 25中可以發(fā)現(xiàn)， ARP協(xié)議存在一個重大的缺陷：每臺主機的 ARP表的更新是信任廣播域內(nèi)所有機器的回應(yīng)包，也就是在說在 ARP協(xié)議中，接受回應(yīng)幀的主機無法驗證回應(yīng)包的真?zhèn)?。所以，?ARP協(xié)議中就很容易實現(xiàn)在以太網(wǎng)中的 ARP欺騙。 4 11 更新 ARP 表 回答： MAC:cccccccccccc 發(fā)送廣播包 需要知道 B 的 MAC A 需要連接 B B的 MAC 地址是否在ARP 表中 連接 :cccccccccccc bbbbbbbbbbbb 讀取 ARP 表 在表 25所示環(huán)境，對目標 A進行欺騙。 C發(fā)出 ARP回應(yīng)數(shù)據(jù)幀到 A，告訴 A“ B的MAC地址是 “ cccccccccccc” ， A接受了假回應(yīng)包，但是無法驗證，于是就將自己的緩存更新了。結(jié)果 ， A去 Ping主機Ｂ卻發(fā)送到了 “ cccccccccccc” 這個地址上。如果進行欺騙的時候，把 B的 MAC地址欺騙為 “ cccccccccccc” ，于是A發(fā)送到 B上的數(shù)據(jù)包都變成發(fā)送給 C的了。如此一來 C能夠接收到 A發(fā)送的數(shù)據(jù)楨，數(shù)據(jù)楨的截獲成功。 由于 ARP 緩存表項是動態(tài)更新的，其生命周期默認是兩分鐘，如果再沒有新的信息更新， ARP 映射項將會自動去除。所以，如果要保持 A上的錯誤信息， C接下來要做的就是一直連續(xù)不斷地向 A和 B發(fā)送虛假的 ARP 響應(yīng)數(shù)據(jù)幀，讓 A的 ARP緩存中保持被篡改了的 映射表項。 否 是 圖 26ARP欺騙過程圖 圖 26 演示了如何運用 ARP 協(xié)議固有的缺陷對其進行欺騙，但是僅僅這種欺騙并不能完成對 A 與 B 之間數(shù)據(jù)交換的竊聽與篡改，原因是，光有第二層的欺騙是不夠的，在建立起數(shù)據(jù)連接層欺騙后，雖然 A 對這個變化一點都沒有意識到，但是接下來在進行網(wǎng)絡(luò)層 TCP/IP 握手以及應(yīng)用層會話建立時由于 C 上并沒有能模仿 B 的應(yīng)用端口監(jiān)聽，所以 A 和 C 是無法建立連續(xù)連接的，通常當 TCP/IP 三次握手不成功時， A與 C 的接將斷開， C 對接收到 A 發(fā)送給 B 的數(shù)據(jù)包可沒有轉(zhuǎn)交給 B。這種攻擊最多也 12 就造成 A 與 B 之間連接中斷，無法造成更大危害。本章介紹數(shù)據(jù)鏈接層協(xié)議中 ARP協(xié)議的先 天缺陷，也是整個 ARP 欺騙攻擊的突破口。 ARP攻擊程序結(jié)構(gòu) [12] 隨著互聯(lián)網(wǎng)的發(fā)展， ARP 攻擊已經(jīng)從早期簡單模式，即發(fā)送 ARP 回應(yīng)包使收欺騙機器無法上網(wǎng)發(fā)展到不只是對 ARP 協(xié)議層的攻擊。攻擊者利用 ARP 信任局域的重大缺陷作為突破口，并通過一系列數(shù)據(jù)包轉(zhuǎn)發(fā)的方法模擬出正常的通訊手段來 欺騙數(shù)據(jù)收發(fā)雙方，然后作為一個透明的網(wǎng)關(guān)在當中進行監(jiān)聽與數(shù)據(jù)偽裝的方法。 圖 27 ARP 攻擊的結(jié)構(gòu)框架圖 整個攻擊的結(jié)構(gòu)如圖 27 所示，所有 ARP 類攻擊的核心原理是 ARP 協(xié)議 MAC地址欺騙。在數(shù)據(jù)鏈接層 MAC 地址欺騙基礎(chǔ)上使用類似于路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)技術(shù)可形成對攻擊目標的網(wǎng)絡(luò)數(shù)據(jù)偵聽。然后便可以與各種攻擊方式相互結(jié)合，達到數(shù)據(jù)篡改、數(shù)據(jù)監(jiān)聽、停止服務(wù)攻擊，以及病毒掛載的目的。 第三章 ARP 攻擊類型 [14] 從第二章內(nèi)容可以看出： ARP 原理存在缺陷，攻擊者可以利用缺陷通過 ARP 欺騙對局域網(wǎng)內(nèi)其它主機進行攻擊，目前 ARP 攻擊根據(jù)其特點可以分為以下三類： 仿冒網(wǎng)關(guān)攻擊 如 圖 31 所示，因為主機 A 仿冒網(wǎng)關(guān)向主機 B 發(fā)送了偽造的網(wǎng)關(guān) ARP 報文，導致主機 B 的 ARP 表中記錄了錯誤的網(wǎng)關(guān)地址映射關(guān)系，從而正常的數(shù)據(jù)不能被網(wǎng)關(guān)接收。 13 圖 31 仿冒 網(wǎng)關(guān)攻擊示意圖 仿冒網(wǎng)關(guān)攻擊是一種比較常見的攻擊方式，如果攻擊源發(fā)送的是廣播 ARP 報文，或者根據(jù)其自身所掌握的局域網(wǎng)內(nèi)主機的信息依次地發(fā)送攻擊報文，就可能會導致整個局域網(wǎng)通信的中斷，是 ARP 攻擊中影響較為嚴重的一種。 仿冒用戶攻擊 (1) 欺騙網(wǎng)關(guān) 如圖 32 所示，主機 A 仿冒主機 B 向網(wǎng)關(guān)發(fā)送了偽造的 ARP 報文，導致網(wǎng)關(guān)的ARP 表中記錄了錯誤的主機 B 地址映射關(guān)系，從而正常的數(shù)據(jù)報文不能正確地被主機 B 接收。 圖 32 欺騙網(wǎng)關(guān)攻擊 14 (2) 欺騙其他用戶 如圖 33 所示，主機 A 仿冒主機 B 向主機 C 發(fā)送了偽造的 ARP 報文，導致主機C 的 ARP 表中記錄了錯誤的主機 B 地址映射關(guān)系，從而正常的數(shù)據(jù)報文不能正確地被主機 B 接收。 圖 33 欺騙其他用戶攻擊示意圖 ARP 泛洪 5攻擊 網(wǎng)絡(luò)設(shè)備在處理 ARP 報文時需要占用系統(tǒng)資源，同時因為系統(tǒng)內(nèi)存和查找 ARP表效率的要求，一般網(wǎng)絡(luò)設(shè)備會限制 ARP 表的大小。攻擊者就利用這一點，通過偽造大量源 IP 地址變化的 ARP 報文，使設(shè)備 ARP 表溢出，合法用戶的 ARP 報文不能生成有效的 ARP 表項，導致正常通信中斷。 另外，通過向設(shè)備發(fā)送大量目標 IP 地址不能解析的 IP 報文，使設(shè)備反復地對目標 IP 地址進行解析，導致 CPU 負荷過重，也是泛洪攻擊的一種。 ARP攻擊的危害 [15] ARP 欺騙不同于通常攻擊可造成的巨大破壞。 ARP 欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂，某些 被欺騙的計算機無法正常訪問內(nèi)外網(wǎng)，讓網(wǎng)關(guān)無法和客戶端正常通信。實際上他的危害還不僅僅如此，一般來說 IP 地址的沖突我們可以通過多種方法和手段來避免，而 ARP 協(xié)議工作在更低層，隱蔽性更高。系統(tǒng)并不會判斷 ARP 緩存的正確與否，無法像 IP 地址沖突那樣給出提示。而且很多黑客工具，可以隨時發(fā)送 ARP 欺騙數(shù)據(jù)包和 ARP 恢復數(shù)據(jù)包，這樣就可以實現(xiàn)在一臺普通計算機上通過發(fā)送 ARP 數(shù)據(jù)包的方法來控制網(wǎng)絡(luò)中任何一臺計算機的網(wǎng)絡(luò)連接截獲其通訊數(shù)據(jù)并可做篡改以加