【文章內容簡介】 ； ； ； ；由于有這些限制，所以ICMP攻擊實際上很難實現(xiàn)。但是我們也可以主動的根據(jù)上面的思維尋找一些其他的方法。更為重要的是我們知道了這些攻擊方法的危害性，我們就可以采取相應的防御辦法。 ARP攻擊的防范 用戶端綁定在用戶端計算機上綁定交換機網(wǎng)關的IP和MAC地址。1）首先，要求用戶獲得交換機網(wǎng)關的IP地址和MAC地址，用戶在dos提示符下執(zhí)行arpa命令，具體如下： 圖35 獲得網(wǎng)關IP地址和MAC地址，因用戶所在的區(qū)域、樓體和交換機不同，其對應網(wǎng)關的IP地址和MAC地址也不相同。2）實現(xiàn)將交換機網(wǎng)關的MAC地址和網(wǎng)關的IP地址的綁定，內容如下：arps00d095a81140用戶應該按照第一步中查找到的交換機網(wǎng)關的IP地址和MAC地址，填入arps后面即可。 網(wǎng)管交換機端綁定在核心交換機上綁定用戶主機的IP地址和網(wǎng)卡的MAC地址，同時在邊緣交換機上將用戶計算機網(wǎng)卡的MAC地址和交換機端口綁定的雙重安全綁定方式。 1）IP和MAC地址的綁定。在核心交換機上將所有局域網(wǎng)絡用戶的IP地址與其網(wǎng)卡MAC地址一一對應進行全部綁定。這樣可以極大程度上避免非法用戶使用arp攻擊或盜用合法用戶的IP地址進行流量的盜取。具體實現(xiàn)方法如下（以銳捷三層交換機為例）： Switch_1(configure)arp00:e0:4c:11:11:11Switch_1(configure)arp00:e0:4c:22:22:22Switch_1(configure)arp00:e0:4c:33:33:332）MAC地址與交換機端口的綁定。根據(jù)局域網(wǎng)絡用戶所在的區(qū)域、樓體和用戶房間所對應的交換機端口號，將用戶計算機網(wǎng)卡的MAC地址和交換機端口綁定。此方案可以防止非法用戶隨意接入網(wǎng)絡端口上網(wǎng)。網(wǎng)絡用戶如果擅自改動本機網(wǎng)卡的MAC地址，該機器的網(wǎng)絡訪問將因其MAC地址被交換機認定為非法而無法實現(xiàn)上網(wǎng)，自然也就不會對局域網(wǎng)造成干擾了。具體操作如下（以銳捷二層邊緣交換機為例）：Console lockport1/1Console addmac00:e0:4c:11:11:111address00:e0:4c:11:11:11wasaddedtothesecurelist!Console lockport1/2Console addmac00:e0:4c:22:22:222address00:e0:4c:22:22:22wasaddedtothesecurelist!Console lockport1/3Console addmac00:e0:4c:33:33:333address00:e0:4c:33:33:33wasaddedtothesecurelist!Console showcamvlandestmac/routedesdestinationport100:e0:4c:11:11:111/1100:e0:4c:22:22:221/2100:e0:4c:33:33:331/3 采用VLAN技術隔離端口局域網(wǎng)的網(wǎng)絡管理員可根據(jù)本單位網(wǎng)絡的拓撲結構，具體規(guī)劃出若干個VLAN，當管理員發(fā)現(xiàn)有非法用戶在惡意利用ARP攻擊攻擊網(wǎng)絡，或因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡時，網(wǎng)絡管理員可利用技術手段首先查找到該用戶所在的交換機端口，然后將該端口劃一個單獨的VLAN將該用戶與其它用戶進行物理隔離，以避免對其它用戶的影響。當然也可以利用將交換機端口disable掉來屏蔽該用戶對網(wǎng)絡造成影響，從而達到安全防范的目的。 設置 ARP服務器 為克服第一個方法的不足，自然的解決方案是對上述維護靜態(tài)記錄的分散工作進行集中管理。也就是指定局域網(wǎng)內部的一臺機器作為ARP服務器，專門保存并且維護可信范圍內的所有主機的IP地址與MAC地址映射記錄。該服務器通過查閱自己的ARP緩存的靜態(tài)記錄并以被查詢主機的名義響應局域網(wǎng)內部的ARP請求。同時設置局域網(wǎng)內部的其它主機只使用來自ARP服務器的ARP響應。 這個方法看似人性化，但也過于理想化，要將一臺主機配置成只相信來自ARP服務器的ARP響應，并不是想象的那么簡單的事情。而且該方案在不同系統(tǒng)中的實現(xiàn)方法不一樣，而且某些系統(tǒng)根本不能實現(xiàn)。4 ARP攻擊的實現(xiàn)通過以上對ARP協(xié)議的分析，我們可以運用程序來實現(xiàn)ARP的攻擊。雖然這是屬于監(jiān)聽局域網(wǎng)數(shù)據(jù)流量的一種黑客行為，但是我們的本意是更好的深入理解ARP攻擊的原理，從而能進一步找到防范ARP攻擊的方法。 系統(tǒng)概述 ARP攻擊工具共分四個功能，分別為主機掃描，反嗅探分析，ARP攻擊，重置被攻擊主機。本攻擊工具根據(jù)所選擇的功能，生成相應的ARP包，并設置網(wǎng)絡適配器為混雜模式，再創(chuàng)建一個線程用來抓捕網(wǎng)絡上的數(shù)據(jù)包，這樣就可以監(jiān)測流經(jīng)本地網(wǎng)絡適配器的數(shù)據(jù)包了。由于本工具用到了WinPcap包來抓捕網(wǎng)絡上的數(shù)據(jù)包，所以還需要以下的準備工作： 1. 安裝Winpcap開發(fā)包，, beta 4； 2. 使用ARP攻擊功能前，必須啟動IP路由功能，修改(添加)注冊表選項：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter = 0x1?！∵@是因為我們在監(jiān)聽A主機和B主機時候，A到B的通信卻被停止了，為了不讓B發(fā)現(xiàn)，我們還要對每次接收到的數(shù)據(jù)包進行轉發(fā)，這樣修改了注冊表選項后，系統(tǒng)就會自動將數(shù)據(jù)報轉發(fā)到真正的目的主機B了，這樣就天衣無縫了。下面我們來了解下WinPcap包。WinPcap(windows packet capture)是windows平臺下一個專業(yè)網(wǎng)絡數(shù)據(jù)包捕獲開發(fā)包。Winpcap是在BSD許可證下發(fā)布的，它主要由加利福尼亞大學的Lawrence Berkeley Laboratory開發(fā)。其下載地址為：：//。開發(fā)WinPcap這個項目的目的在于為win32應用程序提供訪問網(wǎng)絡底層的能力。WinPcap包括三部分的內容。第一部分是內核層的數(shù)據(jù)包過濾模塊。，它是提供給開發(fā)者的一個接口，使用它就可以調用WinPcap的函數(shù)，它是一個較低層的開發(fā)接口。，它也是提供給開發(fā)者的一個接口，但它是一個更高層的接口，其調用與系統(tǒng)無關。它是基于Libpcap而設計的。使用WinPcap有很多好處，主要體現(xiàn)在以下幾個方面。1．WinPcap給程序員提供了一套標準的網(wǎng)絡數(shù)據(jù)包捕獲的編程接口，并且與Libpcap兼容，使得原來許多Linux平臺下的網(wǎng)絡安全程序可以很快地移植到Windows平臺下。2．使用WinPcap可以提供更高的應用效率。WinPcap充分考慮了各種性能和效率的優(yōu)化，在內核層實現(xiàn)了數(shù)據(jù)包的捕獲和過濾。這是由NPF來實現(xiàn)的，NPF是WinPcap的核心部分，它實現(xiàn)了內核層次的統(tǒng)計功能，對于設計網(wǎng)絡流量的程序很有好處。3．WinPcap還提供了發(fā)送數(shù)據(jù)包的能力。4．WinPcap還可以收集網(wǎng)絡通信過程中的統(tǒng)計信息。[6] 概要設計首先，在網(wǎng)絡編程中的第一件事就是獲得本地主機的MAC地址及相關網(wǎng)絡設置。我們以一個特殊的IP地址()向本地主機發(fā)送一個ARP Request數(shù)據(jù)報，當本地主機接收到后，就會發(fā)送一個ARP Reply數(shù)據(jù)報來回應請求，這樣我們就可以獲得本地主機的MAC地址了。相關的網(wǎng)絡設置可以通過PacketGetNetInfoEx()和PacketGetNetType()獲得。以本地主機的名義(本地主機的IP和MAC)向指定IP網(wǎng)段內的所有主機發(fā)送廣播(FF:FF:FF:FF:FF:FF)ARP Request數(shù)據(jù)報，處于開機狀態(tài)的主機就會發(fā)送ARP Reply數(shù)據(jù)報，這樣就可以獲得當前存活主機的列表。因為在很多網(wǎng)關上都對ARP Request做了限制非內網(wǎng)IP發(fā)送的ARP Request數(shù)據(jù)報不會得到網(wǎng)關的回應，如果你用內網(wǎng)的其他某臺主機的IP來發(fā)送ARP Request數(shù)據(jù)報，如果填寫的MAC地址和相應的IP不合，就會出現(xiàn)IP沖突。所以最好還是用自己的IP和MAC地址來發(fā)送請求。2．反嗅探掃描功能。理論上，嗅探程序是不可能被檢測出來的，因為嗅探程序是一種被動的接收程序，屬于被動觸發(fā)的，它只會收集數(shù)據(jù)包，而不發(fā)送出任何數(shù)據(jù)，盡管如此，嗅探程序有時候還是能夠被檢測出來的。一個嗅探程序，不會發(fā)送任何數(shù)據(jù)，但是當它安裝在一臺正常的局域網(wǎng)內的計算機上的時候會產生一些數(shù)據(jù)流。很多的計算機操作系統(tǒng)（比如Windows）都支持MAC過濾器（很多過濾器只檢查MAC地址的第一個字節(jié)，這樣一來，MAC地址FF0000000000和FFFFFFFFFFFF就沒有區(qū)別了）。這種技術通常會用在交換模型的以太網(wǎng)中，當交換機發(fā)現(xiàn)一個未知的MAC地址的時候，它會執(zhí)行類似“flood”的操作，把這個包發(fā)送給每個節(jié)點?，F(xiàn)在就以本地主機的名義(本地主機的IP和MAC)向指定IP網(wǎng)段內的所有主機發(fā)送31位偽廣播地址(FF:FF:FF:FF:FF:FE)的ARP Request數(shù)據(jù)報，在此我們選擇31位偽廣播地址，是因為絕大多數(shù)的系統(tǒng)在嗅探時都會對它做出回應。而正常狀況下的各種系統(tǒng)，都不會對31位偽廣播地址做出回應。只有正在嗅探的主機才會發(fā)送ARP Reply數(shù)據(jù)報，這樣就可以獲得當前存活有嗅探的主機列表。3．ARP攻擊功能。需要強調的是在某些局域網(wǎng)(如以太網(wǎng))內，數(shù)據(jù)報的發(fā)送與接收是基于硬件地址的，這是我們實現(xiàn)攻擊的基礎。首先獲得指定的兩臺主機(假設為 A 和 B)的MAC地址，然后向A發(fā)送ARP Reply數(shù)據(jù)報，其中的源IP地址為B的IP地址，但是源MAC地址卻是本地主機的MAC地址，這樣主機A就會認為主機B的MAC地址是本地主機的MAC地址，所以主機A發(fā)送到主機B的數(shù)據(jù)報都發(fā)送到本地主機了。同理向主機B發(fā)送ARP Reply數(shù)據(jù)報，通知它主機A的MAC地址為本地主機的MAC地址。這樣主機A和主機B就會把目的主機的MAC地址理解為本地主機的MAC地址，于是他們之間相互發(fā)送的數(shù)據(jù)報都首先到達了本地主機，而先前我們已經(jīng)將本地主機設置了IP路由功能，系統(tǒng)會自動將數(shù)據(jù)報轉發(fā)到真正的目的主機。其間，你就可以監(jiān)聽它們通信的各種數(shù)據(jù)報了。如果指定的兩個目的主機均為本地主機，那么就只是將網(wǎng)絡適配器設置為混雜模式，這樣就可以監(jiān)聽到流過本地主機網(wǎng)絡適配器的各種數(shù)據(jù)。如果你選擇攻擊的兩臺主機是位于局域網(wǎng)內的同一臺主機(假設都是主機C)，那么就會不斷地向主機C發(fā)送ARP Reply數(shù)據(jù)報，報文中的源IP地址就是主機C的IP地址，但是源MAC地址卻是本地主機的MAC地址，因此主機C就會發(fā)現(xiàn)有另一臺主機同時擁有和自己相同的IP，這就是IP沖突。此時計算機的操作系統(tǒng)就會提示用戶IP沖突警告。要想對方的操作系統(tǒng)不提醒用戶IP沖突，這涉及到操作系統(tǒng)內核檢測IP方面的技術，超出了本文討論范圍，在此不作討論。4．重置被攻擊主機功能。在實現(xiàn)了ARP攻擊的情況下，向主機A和B發(fā)送ARP Reply數(shù)據(jù)報，通知主機A(B)注意主機B(A)的MAC地址為主機B(A)自己的MAC地址，這樣主機A和B就會更新他們的ARP緩存，實現(xiàn)正常的數(shù)據(jù)通信。[20] 相關數(shù)據(jù)結構及函數(shù) 首先我們介紹程序中的一些相關數(shù)據(jù)結構： 1. typedef struct ethdr{ //以太網(wǎng)的頭部 unsigned char eh_dst[6]。 unsigned char eh_src[6]。 unsigned short eh_type。}。2. typedef struct arphdr{ // ARP幀的頭部 unsigned short arp_hdr。 unsigned short arp_pro。 unsigned char arp_hln。 unsigned char arp_pln。 unsigned short arp_opt。 unsigned char arp_sha[6]。 unsigned long arp_spa。 unsigned char arp_tha[6]。 unsigned long arp_tpa。}。 struct iphdr{ //IP包的頭部 unsigned char h_lenver。 unsigned char tos。 unsigned short total_len。 unsigned short ident。 unsigned short frag_and_flags。