【文章內(nèi)容簡介】 ； ； ； ；由于有這些限制，所以ICMP攻擊實際上很難實現(xiàn)。但是我們也可以主動的根據(jù)上面的思維尋找一些其他的方法。更為重要的是我們知道了這些攻擊方法的危害性，我們就可以采取相應(yīng)的防御辦法。 ARP攻擊的防范 用戶端綁定在用戶端計算機(jī)上綁定交換機(jī)網(wǎng)關(guān)的IP和MAC地址。1）首先，要求用戶獲得交換機(jī)網(wǎng)關(guān)的IP地址和MAC地址，用戶在dos提示符下執(zhí)行arpa命令，具體如下： 圖35 獲得網(wǎng)關(guān)IP地址和MAC地址，因用戶所在的區(qū)域、樓體和交換機(jī)不同，其對應(yīng)網(wǎng)關(guān)的IP地址和MAC地址也不相同。2）實現(xiàn)將交換機(jī)網(wǎng)關(guān)的MAC地址和網(wǎng)關(guān)的IP地址的綁定，內(nèi)容如下：arps00d095a81140用戶應(yīng)該按照第一步中查找到的交換機(jī)網(wǎng)關(guān)的IP地址和MAC地址，填入arps后面即可。 網(wǎng)管交換機(jī)端綁定在核心交換機(jī)上綁定用戶主機(jī)的IP地址和網(wǎng)卡的MAC地址，同時在邊緣交換機(jī)上將用戶計算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定的雙重安全綁定方式。 1）IP和MAC地址的綁定。在核心交換機(jī)上將所有局域網(wǎng)絡(luò)用戶的IP地址與其網(wǎng)卡MAC地址一一對應(yīng)進(jìn)行全部綁定。這樣可以極大程度上避免非法用戶使用arp攻擊或盜用合法用戶的IP地址進(jìn)行流量的盜取。具體實現(xiàn)方法如下（以銳捷三層交換機(jī)為例）： Switch_1(configure)arp00:e0:4c:11:11:11Switch_1(configure)arp00:e0:4c:22:22:22Switch_1(configure)arp00:e0:4c:33:33:332）MAC地址與交換機(jī)端口的綁定。根據(jù)局域網(wǎng)絡(luò)用戶所在的區(qū)域、樓體和用戶房間所對應(yīng)的交換機(jī)端口號，將用戶計算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定。此方案可以防止非法用戶隨意接入網(wǎng)絡(luò)端口上網(wǎng)。網(wǎng)絡(luò)用戶如果擅自改動本機(jī)網(wǎng)卡的MAC地址，該機(jī)器的網(wǎng)絡(luò)訪問將因其MAC地址被交換機(jī)認(rèn)定為非法而無法實現(xiàn)上網(wǎng)，自然也就不會對局域網(wǎng)造成干擾了。具體操作如下（以銳捷二層邊緣交換機(jī)為例）：Console lockport1/1Console addmac00:e0:4c:11:11:111address00:e0:4c:11:11:11wasaddedtothesecurelist!Console lockport1/2Console addmac00:e0:4c:22:22:222address00:e0:4c:22:22:22wasaddedtothesecurelist!Console lockport1/3Console addmac00:e0:4c:33:33:333address00:e0:4c:33:33:33wasaddedtothesecurelist!Console showcamvlandestmac/routedesdestinationport100:e0:4c:11:11:111/1100:e0:4c:22:22:221/2100:e0:4c:33:33:331/3 采用VLAN技術(shù)隔離端口局域網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)本單位網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，具體規(guī)劃出若干個VLAN，當(dāng)管理員發(fā)現(xiàn)有非法用戶在惡意利用ARP攻擊攻擊網(wǎng)絡(luò)，或因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時，網(wǎng)絡(luò)管理員可利用技術(shù)手段首先查找到該用戶所在的交換機(jī)端口，然后將該端口劃一個單獨(dú)的VLAN將該用戶與其它用戶進(jìn)行物理隔離，以避免對其它用戶的影響。當(dāng)然也可以利用將交換機(jī)端口disable掉來屏蔽該用戶對網(wǎng)絡(luò)造成影響，從而達(dá)到安全防范的目的。 設(shè)置 ARP服務(wù)器 為克服第一個方法的不足，自然的解決方案是對上述維護(hù)靜態(tài)記錄的分散工作進(jìn)行集中管理。也就是指定局域網(wǎng)內(nèi)部的一臺機(jī)器作為ARP服務(wù)器，專門保存并且維護(hù)可信范圍內(nèi)的所有主機(jī)的IP地址與MAC地址映射記錄。該服務(wù)器通過查閱自己的ARP緩存的靜態(tài)記錄并以被查詢主機(jī)的名義響應(yīng)局域網(wǎng)內(nèi)部的ARP請求。同時設(shè)置局域網(wǎng)內(nèi)部的其它主機(jī)只使用來自ARP服務(wù)器的ARP響應(yīng)。 這個方法看似人性化，但也過于理想化，要將一臺主機(jī)配置成只相信來自ARP服務(wù)器的ARP響應(yīng)，并不是想象的那么簡單的事情。而且該方案在不同系統(tǒng)中的實現(xiàn)方法不一樣，而且某些系統(tǒng)根本不能實現(xiàn)。4 ARP攻擊的實現(xiàn)通過以上對ARP協(xié)議的分析，我們可以運(yùn)用程序來實現(xiàn)ARP的攻擊。雖然這是屬于監(jiān)聽局域網(wǎng)數(shù)據(jù)流量的一種黑客行為，但是我們的本意是更好的深入理解ARP攻擊的原理，從而能進(jìn)一步找到防范ARP攻擊的方法。 系統(tǒng)概述 ARP攻擊工具共分四個功能，分別為主機(jī)掃描，反嗅探分析，ARP攻擊，重置被攻擊主機(jī)。本攻擊工具根據(jù)所選擇的功能，生成相應(yīng)的ARP包，并設(shè)置網(wǎng)絡(luò)適配器為混雜模式，再創(chuàng)建一個線程用來抓捕網(wǎng)絡(luò)上的數(shù)據(jù)包，這樣就可以監(jiān)測流經(jīng)本地網(wǎng)絡(luò)適配器的數(shù)據(jù)包了。由于本工具用到了WinPcap包來抓捕網(wǎng)絡(luò)上的數(shù)據(jù)包，所以還需要以下的準(zhǔn)備工作： 1. 安裝Winpcap開發(fā)包，, beta 4； 2. 使用ARP攻擊功能前，必須啟動IP路由功能，修改(添加)注冊表選項：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter = 0x1?！∵@是因為我們在監(jiān)聽A主機(jī)和B主機(jī)時候，A到B的通信卻被停止了，為了不讓B發(fā)現(xiàn)，我們還要對每次接收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，這樣修改了注冊表選項后，系統(tǒng)就會自動將數(shù)據(jù)報轉(zhuǎn)發(fā)到真正的目的主機(jī)B了，這樣就天衣無縫了。下面我們來了解下WinPcap包。WinPcap(windows packet capture)是windows平臺下一個專業(yè)網(wǎng)絡(luò)數(shù)據(jù)包捕獲開發(fā)包。Winpcap是在BSD許可證下發(fā)布的，它主要由加利福尼亞大學(xué)的Lawrence Berkeley Laboratory開發(fā)。其下載地址為：：//。開發(fā)WinPcap這個項目的目的在于為win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。WinPcap包括三部分的內(nèi)容。第一部分是內(nèi)核層的數(shù)據(jù)包過濾模塊。，它是提供給開發(fā)者的一個接口，使用它就可以調(diào)用WinPcap的函數(shù)，它是一個較低層的開發(fā)接口。，它也是提供給開發(fā)者的一個接口，但它是一個更高層的接口，其調(diào)用與系統(tǒng)無關(guān)。它是基于Libpcap而設(shè)計的。使用WinPcap有很多好處，主要體現(xiàn)在以下幾個方面。1．WinPcap給程序員提供了一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包捕獲的編程接口，并且與Libpcap兼容，使得原來許多Linux平臺下的網(wǎng)絡(luò)安全程序可以很快地移植到Windows平臺下。2．使用WinPcap可以提供更高的應(yīng)用效率。WinPcap充分考慮了各種性能和效率的優(yōu)化，在內(nèi)核層實現(xiàn)了數(shù)據(jù)包的捕獲和過濾。這是由NPF來實現(xiàn)的，NPF是WinPcap的核心部分，它實現(xiàn)了內(nèi)核層次的統(tǒng)計功能，對于設(shè)計網(wǎng)絡(luò)流量的程序很有好處。3．WinPcap還提供了發(fā)送數(shù)據(jù)包的能力。4．WinPcap還可以收集網(wǎng)絡(luò)通信過程中的統(tǒng)計信息。[6] 概要設(shè)計首先，在網(wǎng)絡(luò)編程中的第一件事就是獲得本地主機(jī)的MAC地址及相關(guān)網(wǎng)絡(luò)設(shè)置。我們以一個特殊的IP地址()向本地主機(jī)發(fā)送一個ARP Request數(shù)據(jù)報，當(dāng)本地主機(jī)接收到后，就會發(fā)送一個ARP Reply數(shù)據(jù)報來回應(yīng)請求，這樣我們就可以獲得本地主機(jī)的MAC地址了。相關(guān)的網(wǎng)絡(luò)設(shè)置可以通過PacketGetNetInfoEx()和PacketGetNetType()獲得。以本地主機(jī)的名義(本地主機(jī)的IP和MAC)向指定IP網(wǎng)段內(nèi)的所有主機(jī)發(fā)送廣播(FF:FF:FF:FF:FF:FF)ARP Request數(shù)據(jù)報，處于開機(jī)狀態(tài)的主機(jī)就會發(fā)送ARP Reply數(shù)據(jù)報，這樣就可以獲得當(dāng)前存活主機(jī)的列表。因為在很多網(wǎng)關(guān)上都對ARP Request做了限制非內(nèi)網(wǎng)IP發(fā)送的ARP Request數(shù)據(jù)報不會得到網(wǎng)關(guān)的回應(yīng)，如果你用內(nèi)網(wǎng)的其他某臺主機(jī)的IP來發(fā)送ARP Request數(shù)據(jù)報，如果填寫的MAC地址和相應(yīng)的IP不合，就會出現(xiàn)IP沖突。所以最好還是用自己的IP和MAC地址來發(fā)送請求。2．反嗅探掃描功能。理論上，嗅探程序是不可能被檢測出來的，因為嗅探程序是一種被動的接收程序，屬于被動觸發(fā)的，它只會收集數(shù)據(jù)包，而不發(fā)送出任何數(shù)據(jù)，盡管如此，嗅探程序有時候還是能夠被檢測出來的。一個嗅探程序，不會發(fā)送任何數(shù)據(jù)，但是當(dāng)它安裝在一臺正常的局域網(wǎng)內(nèi)的計算機(jī)上的時候會產(chǎn)生一些數(shù)據(jù)流。很多的計算機(jī)操作系統(tǒng)（比如Windows）都支持MAC過濾器（很多過濾器只檢查MAC地址的第一個字節(jié)，這樣一來，MAC地址FF0000000000和FFFFFFFFFFFF就沒有區(qū)別了）。這種技術(shù)通常會用在交換模型的以太網(wǎng)中，當(dāng)交換機(jī)發(fā)現(xiàn)一個未知的MAC地址的時候，它會執(zhí)行類似“flood”的操作，把這個包發(fā)送給每個節(jié)點(diǎn)。現(xiàn)在就以本地主機(jī)的名義(本地主機(jī)的IP和MAC)向指定IP網(wǎng)段內(nèi)的所有主機(jī)發(fā)送31位偽廣播地址(FF:FF:FF:FF:FF:FE)的ARP Request數(shù)據(jù)報，在此我們選擇31位偽廣播地址，是因為絕大多數(shù)的系統(tǒng)在嗅探時都會對它做出回應(yīng)。而正常狀況下的各種系統(tǒng)，都不會對31位偽廣播地址做出回應(yīng)。只有正在嗅探的主機(jī)才會發(fā)送ARP Reply數(shù)據(jù)報，這樣就可以獲得當(dāng)前存活有嗅探的主機(jī)列表。3．ARP攻擊功能。需要強(qiáng)調(diào)的是在某些局域網(wǎng)(如以太網(wǎng))內(nèi)，數(shù)據(jù)報的發(fā)送與接收是基于硬件地址的，這是我們實現(xiàn)攻擊的基礎(chǔ)。首先獲得指定的兩臺主機(jī)(假設(shè)為 A 和 B)的MAC地址，然后向A發(fā)送ARP Reply數(shù)據(jù)報，其中的源IP地址為B的IP地址，但是源MAC地址卻是本地主機(jī)的MAC地址，這樣主機(jī)A就會認(rèn)為主機(jī)B的MAC地址是本地主機(jī)的MAC地址，所以主機(jī)A發(fā)送到主機(jī)B的數(shù)據(jù)報都發(fā)送到本地主機(jī)了。同理向主機(jī)B發(fā)送ARP Reply數(shù)據(jù)報，通知它主機(jī)A的MAC地址為本地主機(jī)的MAC地址。這樣主機(jī)A和主機(jī)B就會把目的主機(jī)的MAC地址理解為本地主機(jī)的MAC地址，于是他們之間相互發(fā)送的數(shù)據(jù)報都首先到達(dá)了本地主機(jī)，而先前我們已經(jīng)將本地主機(jī)設(shè)置了IP路由功能，系統(tǒng)會自動將數(shù)據(jù)報轉(zhuǎn)發(fā)到真正的目的主機(jī)。其間，你就可以監(jiān)聽它們通信的各種數(shù)據(jù)報了。如果指定的兩個目的主機(jī)均為本地主機(jī)，那么就只是將網(wǎng)絡(luò)適配器設(shè)置為混雜模式，這樣就可以監(jiān)聽到流過本地主機(jī)網(wǎng)絡(luò)適配器的各種數(shù)據(jù)。如果你選擇攻擊的兩臺主機(jī)是位于局域網(wǎng)內(nèi)的同一臺主機(jī)(假設(shè)都是主機(jī)C)，那么就會不斷地向主機(jī)C發(fā)送ARP Reply數(shù)據(jù)報，報文中的源IP地址就是主機(jī)C的IP地址，但是源MAC地址卻是本地主機(jī)的MAC地址，因此主機(jī)C就會發(fā)現(xiàn)有另一臺主機(jī)同時擁有和自己相同的IP，這就是IP沖突。此時計算機(jī)的操作系統(tǒng)就會提示用戶IP沖突警告。要想對方的操作系統(tǒng)不提醒用戶IP沖突，這涉及到操作系統(tǒng)內(nèi)核檢測IP方面的技術(shù)，超出了本文討論范圍，在此不作討論。4．重置被攻擊主機(jī)功能。在實現(xiàn)了ARP攻擊的情況下，向主機(jī)A和B發(fā)送ARP Reply數(shù)據(jù)報，通知主機(jī)A(B)注意主機(jī)B(A)的MAC地址為主機(jī)B(A)自己的MAC地址，這樣主機(jī)A和B就會更新他們的ARP緩存，實現(xiàn)正常的數(shù)據(jù)通信。[20] 相關(guān)數(shù)據(jù)結(jié)構(gòu)及函數(shù) 首先我們介紹程序中的一些相關(guān)數(shù)據(jù)結(jié)構(gòu)： 1. typedef struct ethdr{ //以太網(wǎng)的頭部 unsigned char eh_dst[6]。 unsigned char eh_src[6]。 unsigned short eh_type。}。2. typedef struct arphdr{ // ARP幀的頭部 unsigned short arp_hdr。 unsigned short arp_pro。 unsigned char arp_hln。 unsigned char arp_pln。 unsigned short arp_opt。 unsigned char arp_sha[6]。 unsigned long arp_spa。 unsigned char arp_tha[6]。 unsigned long arp_tpa。}。 struct iphdr{ //IP包的頭部 unsigned char h_lenver。 unsigned char tos。 unsigned short total_len。 unsigned short ident。 unsigned short frag_and_flags。