【導(dǎo)讀】布不良信息、監(jiān)聽(tīng)傳輸數(shù)據(jù)等非法活動(dòng)的目的。ARP欺騙原理在過(guò)去常被運(yùn)用到簡(jiǎn)單的拒絕服務(wù)攻擊中。然而，隨著大量缺乏管。ARP基本攻擊與偵聽(tīng)、網(wǎng)頁(yè)篡改等黑客技術(shù)相互結(jié)合的攻擊方式。這種ARP攻擊之所以。或重定向攻擊得以滋生。系統(tǒng)并不會(huì)判斷ARP緩存的正確與否，無(wú)法像IP地址沖突那樣給出提示。黑客工具可以隨時(shí)發(fā)送ARP欺騙數(shù)據(jù)包和ARP恢復(fù)數(shù)據(jù)包，這對(duì)于公眾上網(wǎng)環(huán)境來(lái)說(shuō)，黑客還可以最大化的利用ARP欺騙原理，將其與其他攻擊方。從而達(dá)到多種攻擊目。因?yàn)锳RP廣播協(xié)議本身存在的缺陷，使得即使一個(gè)網(wǎng)吧或網(wǎng)站系統(tǒng)管理員能保證。所以，對(duì)付此類違法犯罪活動(dòng)，傳統(tǒng)上從操作系統(tǒng)或交換。竊取等違法行為對(duì)國(guó)家的安定團(tuán)結(jié)社會(huì)的穩(wěn)步發(fā)展有極為不利的影響。析，證明了ARP協(xié)議漏洞是可以被用作ARP欺騙。在探討ARP攻擊的防御措施時(shí)，文章從MAC地址集中管理、ARP數(shù)據(jù)包探。對(duì)于公眾上網(wǎng)環(huán)境中存在可被ARP攻擊的漏洞。進(jìn)行分析，并對(duì)整體防御構(gòu)架進(jìn)一步探索。

　　

【正文】 (2)A主機(jī)查詢自己的 ARP緩存列表，如果發(fā)現(xiàn)具有對(duì)應(yīng)于目的 IP地址 的 MAC地址項(xiàng)，則直接使用此 MAC地址項(xiàng)構(gòu)造并發(fā)送以太網(wǎng)數(shù)據(jù)包，如果沒(méi)有發(fā)現(xiàn)對(duì)應(yīng)的 MAC地址項(xiàng)則繼續(xù)下一步； (3)在 A主機(jī)發(fā)出 ARP解析請(qǐng)求廣播的過(guò)程中， A會(huì)發(fā)出一個(gè)目的 MAC地址是FF:FF:FF:FF:FF:FF的 ARP請(qǐng)求幀，來(lái)請(qǐng)求 IP為 復(fù) MAC地址； 圖 28 ARP請(qǐng)求數(shù)據(jù)幀格式 (4)B主機(jī)收到 ARP解析請(qǐng)求廣播后，回復(fù)給 A主機(jī)一個(gè) ARP應(yīng)答數(shù)據(jù)包，其中包含自己的 IP地址 MAC地址 bbbbbbbbbbbb；ARP 病毒的攻擊與防范 16 圖 29 ARP回復(fù)數(shù)據(jù)幀格式 (5)A接收到 B主機(jī)的 ARP回復(fù)后，將 B主機(jī)的 MAC地址放入自己的 ARP緩存列表，然后使用 B主機(jī)的 MAC地址作為目的 MAC地址， B主機(jī)的 IP地址（ ）作為目的 IP地址，構(gòu)造并發(fā)送以太網(wǎng)數(shù)據(jù)包 . (6)如果 A主機(jī)還要發(fā)送數(shù)據(jù)包給 ，由于在 ARP緩存列表中已經(jīng)具有 IP地址 MAC地址，所以 A主機(jī)直接使用此 MAC地址發(fā)送數(shù)據(jù)包，而不再發(fā)送 ARP解析請(qǐng)求廣播；當(dāng)此緩存地址項(xiàng)超過(guò)兩分鐘沒(méi)有活動(dòng)（沒(méi)有使用）后，此ARP緩存將超時(shí)被刪除。 以上是正常情況下 ARP查詢與回復(fù)的數(shù)據(jù)幀結(jié)構(gòu)，如果使用 ARP欺騙，從 C發(fā)送偽造的 ARP數(shù)據(jù)包，則當(dāng) C收到一份目的端為 B的 ARP請(qǐng)求廣播報(bào)文后， C會(huì)把自己的硬件地址填進(jìn)去，然后將目的端的 MAC與 IP地址寫成發(fā)送源 A的物理與邏輯地址，源 MAC地址偽裝成自己的地址，源 IP地址填寫 B的 IP。最后把操作字段置為 2，發(fā)回?cái)?shù)據(jù)幀。偽裝的數(shù)據(jù)幀結(jié)構(gòu)如圖 210示。 圖 210ARP欺騙數(shù)據(jù)幀格式 ARP 協(xié)議其他特性 ，這種情況比如在以 Hub鏈接的局域網(wǎng)內(nèi)。在一個(gè)以 HUB相連接的局域網(wǎng)內(nèi)， HUB直接把整個(gè)數(shù)據(jù)包廣播到所有的端口，這樣任何一臺(tái)機(jī)器都能監(jiān)聽(tīng)到其他機(jī)器之間相互的通訊以及 ARP廣播查詢包。ARP 病毒的攻擊與防范 17 所以 A發(fā)出 ARP查詢幀經(jīng)過(guò) HUB傳輸?shù)?B的時(shí)候， C就能夠接收到 A發(fā)送的數(shù)據(jù)包。這樣的廣播網(wǎng)絡(luò)安全性較差，除了 ARP攻擊外還很容易受到監(jiān)聽(tīng)以及廣播風(fēng)暴的 襲擊。 在使用交換機(jī)鏈接的交換網(wǎng)絡(luò)中，點(diǎn)與點(diǎn)之間的數(shù)據(jù)交換不采取廣播方式，而是使用虛擬電路的方式在兩點(diǎn)間建立之間鏈路，局域網(wǎng)內(nèi)的機(jī)器除非在鏡像端口上，否則無(wú)法監(jiān)聽(tīng)其他機(jī)器之間的通訊。在這種網(wǎng)絡(luò)中，如果是同一個(gè)廣播域內(nèi)，同樣可以進(jìn)行 ARP欺騙，因?yàn)殡m然是交換網(wǎng)絡(luò)，但是 ARP查詢報(bào)文是通過(guò)廣播包發(fā)送的。然而如果是通過(guò)路由器鏈接的兩個(gè)網(wǎng)絡(luò)之間的通訊，其 ARP查詢機(jī)制與廣播網(wǎng)絡(luò)完全不同，應(yīng)為當(dāng)一臺(tái)機(jī)器需要知道其他機(jī)器的 ARP地址時(shí)，他發(fā)出的廣播包可能不是由目的機(jī)而是由網(wǎng)關(guān)路由器來(lái)回復(fù)的。這就是所謂的 ARP代理。 ARP代理也稱作混合 ARP（ promiscuous ARP）或 ARP 出租 (ARP hack)。這些名字來(lái)自于 ARP代理的其他用途：通過(guò)兩個(gè)物理網(wǎng)絡(luò)之間的路由器可以互相隱藏物理網(wǎng)絡(luò)。在這種情況下，兩個(gè)物理網(wǎng)絡(luò)可以使用相同的網(wǎng)絡(luò)號(hào)，只要把中間的路由器設(shè)置成一個(gè) ARP代理，以響應(yīng)一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)主機(jī)的 ARP請(qǐng)求。這種技術(shù)在過(guò)去用來(lái)隱藏一組在不同物理電纜上運(yùn)行舊版 TCP/IP的主機(jī)。分開(kāi)這些舊主機(jī)有兩個(gè)共同的理由，其一是它們不能處理子網(wǎng)劃分，其二是它們使用舊的廣播地址（所有比特值為 0的主機(jī)號(hào)，而不是目前使用的所 有比特值為 1的主機(jī)號(hào)）。 在廣播域中 ARP請(qǐng)求是從一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)往另一個(gè)網(wǎng)絡(luò)上的主機(jī)，但是在兩個(gè)局域網(wǎng)內(nèi)，或者兩臺(tái)機(jī)器在兩個(gè) VLAN中，那么對(duì)方機(jī)器本身是收不到 ARP request的廣播報(bào)文的，回復(fù)報(bào)文是由這兩個(gè)機(jī)器所在的網(wǎng)關(guān)路由器發(fā)回的，這個(gè)過(guò)程稱作委托 ARP或 ARP代理 (Proxy ARP)。 在 ARP代理中，如果主機(jī) A需要查詢 B的 MAC地址， B并不能收到 A發(fā)出的廣播查詢包，而 A的網(wǎng)關(guān)回復(fù)了這個(gè)查詢，在回復(fù)數(shù)據(jù)幀中，網(wǎng)關(guān)將自己的 MAC地址替換了 B的地址，使Ａ誤以為網(wǎng)關(guān)就是目的主機(jī)，而事實(shí)上目的主機(jī)是 在路由器的對(duì)端上。路由器的功能相當(dāng)于代理服務(wù)器，把數(shù)據(jù)包從其他網(wǎng)絡(luò)上的主機(jī)轉(zhuǎn)發(fā)給它。ARP 病毒的攻擊與防范 18 圖 211ARP代理的網(wǎng)絡(luò)結(jié)構(gòu) 如圖 211示，主機(jī) A是服務(wù)器， B為客戶端， A與 B在不同的網(wǎng)段中，之間通過(guò)路由器 C與 D。當(dāng) B需要訪問(wèn) A時(shí)， B像往常一樣發(fā)送 ARP查詢的廣播幀。當(dāng)然，在 A是收不到這個(gè)廣播請(qǐng)求包的。那 B是如何獲得 A的地址的呢？其實(shí)， B發(fā)出查詢數(shù)據(jù)報(bào)文時(shí)，路由器 D在接受到這個(gè)報(bào)文后，識(shí)別出目的地的 IP地址 ，于是 D把自己的 MAC地址 DDDDDDDDDDDD配上 A的IP地址 AAAAAAAAAAAA返回給主機(jī) B。于是， B會(huì)以為 A的 MAC地址就是DDDDDDDDDDDD，這與前文所說(shuō)的 ARP欺騙原理是一樣的。當(dāng)主機(jī) B發(fā)出數(shù)據(jù)包給 A時(shí)，他查詢自己的緩存，讀出 A的地址 DDDDDDDDDDDD，后將數(shù)據(jù)包發(fā)送到此地址，也就是路由器 D。 D受到數(shù)據(jù)包后檢查目的的 IP地址在路由表中，與是將數(shù)據(jù)加上包頭后轉(zhuǎn)發(fā)到路由器 C。 C受到后將數(shù)據(jù)解包，去除 D加上的包頭，然后在發(fā)送到 A，這樣 B與 A之間就實(shí)現(xiàn)了通訊。 這個(gè)過(guò)程對(duì)于所有子網(wǎng)上的主機(jī)來(lái)說(shuō)都是透明的。通過(guò)一個(gè)實(shí)驗(yàn)?zāi)茏C明 ARP代ARP 病毒的攻擊與防范 19 理機(jī)制，如果在服務(wù)器 A所在的網(wǎng)段 E 當(dāng) B訪問(wèn) C通信以后，我們發(fā)現(xiàn)在同一個(gè)子網(wǎng)內(nèi)的 A與 E在 B的 ARP表中的 MAC地址是相同的。 圖 212ARP代理實(shí)驗(yàn) 圖 213RP代理實(shí)驗(yàn)中的 ARP表結(jié)構(gòu) 圖 213B機(jī)器上使用 ARP代理時(shí) ARP緩存的情況（為了演示方便，將實(shí)驗(yàn)中機(jī)器的 MAC成與例子一致）。 ARP 病毒的攻擊與防范 20 另一個(gè) ARP特性稱作免費(fèi) ARP (gratuitous ARP)。它是指主機(jī)發(fā)送 ARP查找自己的 IP地址。通常，它發(fā)生在系統(tǒng)引導(dǎo)期間進(jìn)行接口配置 的時(shí)候。免費(fèi) ARP可以有兩個(gè)方面的作用：一個(gè)主機(jī)可以通過(guò)它來(lái)確定另一個(gè)主機(jī)是否設(shè)置了相同的 IP地址。比如主機(jī) A并不希望對(duì)此請(qǐng)求有一個(gè)回答。但是，如果收到一個(gè)回答，那么就會(huì)在終端日志上產(chǎn)生一個(gè)錯(cuò)誤消息 “以太網(wǎng)地址： a:b:c:d:e:f”發(fā)送來(lái)重復(fù)的 IP地址 ”。這樣就可以警告系統(tǒng)管理員，某個(gè)系統(tǒng)有不正確的設(shè)置。如果發(fā)送免費(fèi) ARP的主機(jī)正好改變了硬件地址（很可能是主機(jī)關(guān)機(jī)了，并換了一塊接口卡，然后重新啟動(dòng)），那么這個(gè)分組就可以使其他主機(jī)高速緩存中舊的硬件地址進(jìn)行相應(yīng)的更新。免費(fèi) ARP的特性運(yùn)用在 IP沖突等攻擊中 。 網(wǎng)關(guān)出口上的 ARP 欺騙 在公眾上網(wǎng)環(huán)境的實(shí)際運(yùn)行中，最大的威脅就是服務(wù)器在網(wǎng)關(guān)出口處被加入中間層欺騙服務(wù)器 “maninthemiddle”。利用上文所說(shuō)的 ARP欺騙報(bào)文以及 ARP代理中存在的缺陷，可以在服務(wù)器和網(wǎng)關(guān)之間插入一個(gè) “偽造的網(wǎng)關(guān) ”，在上面進(jìn)行數(shù)據(jù)的重定向與篡改操作。目前，一般的交換網(wǎng)絡(luò)對(duì)探測(cè)進(jìn)行了限制，目的是限制探測(cè)的深入程度，讓他被隔絕在局域網(wǎng)內(nèi)部。但是，只要主機(jī)以及交換設(shè)備中的 ARP緩存表依然是動(dòng)態(tài)的，利用 ARP協(xié)議漏洞，依然可以形成 “maninthemiddle”攻擊 方式。 圖 214 網(wǎng)關(guān) 類 ARP欺騙 ARP 病毒的攻擊與防范 21 如圖 214示，主機(jī) C同時(shí)向主機(jī) A與網(wǎng)關(guān) B發(fā)出 ARP應(yīng)答數(shù)據(jù)包，之后主機(jī) A的緩存表中網(wǎng)關(guān)的 MAC地址變成 CCCCCCCCCCCC。所以當(dāng) A要發(fā)出數(shù)據(jù)包時(shí)，他會(huì)將數(shù)據(jù)發(fā)往主機(jī) C， C又將數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)關(guān) B，由 B轉(zhuǎn)發(fā)到目的地網(wǎng)絡(luò)。所以此時(shí) C相當(dāng)與 A的網(wǎng)關(guān)，插入 A與 B的路由之間，所以此時(shí) C能夠收取 A與公網(wǎng)之間的所有數(shù)據(jù)并可進(jìn)行篡改。此時(shí)，相當(dāng)于網(wǎng)絡(luò)中的路由設(shè)備被黑客攻占了。 IP 數(shù)據(jù)包的截取與轉(zhuǎn)發(fā) 根據(jù)有關(guān) ARP欺騙原理的描述，在數(shù)據(jù)鏈接層完成 ARP表的修改以后，并不 能最終完成 “ManInTheMiddle”重定向，需要進(jìn)一步的在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。按照 ARP 協(xié)議的設(shè)計(jì)，為了減少網(wǎng)絡(luò)上過(guò)多的 ARP 數(shù)據(jù)通信，一個(gè)主機(jī)，即使收到的 ARP 應(yīng)答并非自己請(qǐng)求得到的，它也會(huì)將其插入到自己的 ARP 緩存表中，這樣，就造成了 “ ARP 欺騙 ”的可能。如果黑客想探聽(tīng)同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信（即使是通過(guò)交換機(jī)相連），他會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè) ARP 應(yīng)答包，讓兩臺(tái)主機(jī)都 “誤 ”認(rèn)為對(duì)方的 MAC 地址是第三方的黑客所在的主機(jī)，這樣，雙方看似 “直接 ”的通信連接， 實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。在這種探測(cè)方式中，黑客所在主機(jī)是不需要設(shè)置網(wǎng)卡的混雜模式的，因?yàn)橥ㄐ烹p方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機(jī)的。如上例中 A和 B要進(jìn)行通信，實(shí)際上彼此發(fā)送的數(shù)據(jù)包都會(huì)先到達(dá) C主機(jī)，這時(shí)，如果 C不做進(jìn)一步處理， A和 B之間的通信就無(wú)法正常建立， C也就達(dá)不到 “探測(cè) ”通信內(nèi)容的目的，因此， C要對(duì) “錯(cuò)誤 ”收到的數(shù)據(jù)包進(jìn)行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的 內(nèi)容，是將目的 MAC和源 MAC地址進(jìn)行替換。如此一來(lái)，在 A和 C看來(lái)，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對(duì)方的，但在 B來(lái) 看 ， 自 己 擔(dān) 當(dāng) 的 就 是 “第 三 者 ”的 角 色 。 這 種 探 測(cè) 方 法 ， 也 被 稱 作 “ManInTheMiddle”的方法。目前利用 ARP原理編制的工具可以直接探測(cè)和分析 FTP、 POP SMB、SMTP、 HTTP/HTTPS、 SSH、 MSN等超過(guò) 30種應(yīng)用的密碼和傳輸內(nèi)容。不僅僅是以上特定應(yīng)用的數(shù)據(jù)，利用中間人攻擊者可將監(jiān)控到數(shù)據(jù)直接發(fā)給 SNIFFER等探測(cè)器，這樣就可以監(jiān)控所有被欺騙用戶的數(shù)據(jù)。還有些人利用 ARP原理開(kāi)發(fā)出網(wǎng)管工具，隨時(shí)切斷指定用戶的連接。這些工具流傳到搗亂者手里極易使網(wǎng)絡(luò)變得不穩(wěn)定，通常這些故障很難排查。 ARP 病毒的攻擊與防范 22 表 23 “ManInTheMiddle”重定向方法案例配置表 舉例說(shuō)明 “ManInTheMiddle”重定向方法：如表 23所述，已經(jīng)使用例二所述的方法從 C機(jī)器修改了 A與 B的 ARP表，讓 A錯(cuò)誤的覺(jué)得 B的 MAC地址是CCCCCCCCCCCC，而 B覺(jué)得 A的 MAC地址是 CCCCCCCCCC。但是僅僅這種欺騙并不能完成 C對(duì) A與 B之間數(shù)據(jù)交換的竊聽(tīng)與篡改，原因是，光有第二層的欺騙是不夠的，在建立起數(shù)據(jù)連接層欺騙后，雖然 A對(duì)這個(gè)變化一點(diǎn)都沒(méi)有意識(shí)到，但是接下來(lái)在進(jìn)行網(wǎng)絡(luò)層 TCP/IP握手以及應(yīng)用層會(huì)話建立時(shí)由于 C上并沒(méi)有能模仿 B的應(yīng)用端口監(jiān)聽(tīng)，所以 A和 C是無(wú)法建立連續(xù)連接的，通常當(dāng) TCP/IP三次握手不成功時(shí)， A與 C的連接將斷開(kāi)， C對(duì)接收到 A發(fā)送給 B的數(shù)據(jù)包可沒(méi)有轉(zhuǎn)交給 B。為了做到透明網(wǎng)關(guān)的作用，接下來(lái)需要打開(kāi) C的 IP轉(zhuǎn)發(fā)功能， A發(fā)送過(guò)來(lái)的數(shù)據(jù)包，被 C截獲后要馬上轉(zhuǎn)發(fā)給 B，好比一個(gè)路由器一樣。 C直接進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā)，捕獲到 A發(fā)送給B的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給 B，而 B接收到的數(shù)據(jù)包完全認(rèn)為是從 A發(fā)送來(lái)的。不過(guò)， B發(fā)送的數(shù)據(jù)包又直接傳遞給 A?，F(xiàn)在 C就完全成為 A與 B的中間橋梁了，對(duì)于 A和 B之間的通訊就可以了如指掌了。欺騙主機(jī)在 “ManInTheMiddle”重定向過(guò)程中完成的步驟如下： (1)C從自己的 ARP緩存表中讀取 A與 B的 MAC地址； (2)C將自己的ＭＡＣ加上Ｂ的ＩＰ地址發(fā)送給 A； (3)C將自己的ＭＡＣ加上Ａ的ＩＰ地址發(fā)送給 B； (4)當(dāng) AB接受到 C的答復(fù)幀后， A發(fā)往 B的數(shù)據(jù)會(huì)發(fā)到 C， B回復(fù)給 A的數(shù)據(jù)也會(huì)發(fā)到 C，形成 “ManInTheMiddle”重定向；當(dāng)一臺(tái)主機(jī)把以太網(wǎng)數(shù)據(jù)幀發(fā)送到位于ARP 病毒的攻擊與防范 23 同一局域網(wǎng)上的另一臺(tái)主機(jī)時(shí)，是根據(jù) 48 bit的以太網(wǎng)地址來(lái)確定目的接口的。設(shè)備驅(qū)動(dòng)程序從不檢查 IP數(shù)據(jù)報(bào)中的目的 IP地址。但是，僅僅有數(shù)據(jù)鏈接層的重定向還是不夠的，接下來(lái) C需要繼續(xù)在 MAC層之上進(jìn)行 TCP/IP的數(shù)據(jù)傳送，這個(gè)時(shí)候，其原理與就與路由器轉(zhuǎn)發(fā)相同了。ARP 病毒的攻擊與防范 24 第 3 章 ARP 欺騙攻擊的實(shí)現(xiàn) 構(gòu)造 ARP 欺騙幀 在知道了 ARP欺騙攻擊的原理以及 ARP數(shù)據(jù)請(qǐng)求與響應(yīng)幀格式后，接下來(lái)就是研究如何通過(guò)編程實(shí)現(xiàn) ARP攻擊黑客 工具。在 ARP攻擊程序編寫中，使用 Parcket32開(kāi)發(fā)包編寫程序?qū)崿F(xiàn)攻擊。假設(shè)使用 windows 2020/XP系統(tǒng)，則在 ARP協(xié)議并不只在發(fā)送了 ARP請(qǐng)求才接收 ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到 ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)立即對(duì)本地的 ARP緩存進(jìn)行更新，將應(yīng)答中的 IP和 MAC地址存儲(chǔ)在 ARP緩存中。因此，在表 22示例的網(wǎng)絡(luò)環(huán)境中， C向 A發(fā)送一個(gè)自己偽造的 ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方 IP地址是 （ B