【正文】 當(dāng)計(jì)算機(jī)接收到 ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)立即對本地的 ARP緩存進(jìn)行更新，將應(yīng)答中的 IP和 MAC地址存儲(chǔ)在 ARP緩存中。在 ARP攻擊程序編寫中，使用 Parcket32開發(fā)包編寫程序?qū)崿F(xiàn)攻擊。但是，僅僅有數(shù)據(jù)鏈接層的重定向還是不夠的，接下來 C需要繼續(xù)在 MAC層之上進(jìn)行 TCP/IP的數(shù)據(jù)傳送，這個(gè)時(shí)候，其原理與就與路由器轉(zhuǎn)發(fā)相同了。欺騙主機(jī)在 “ManInTheMiddle”重定向過程中完成的步驟如下： (1)C從自己的 ARP緩存表中讀取 A與 B的 MAC地址； (2)C將自己的ＭＡＣ加上Ｂ的ＩＰ地址發(fā)送給 A； (3)C將自己的ＭＡＣ加上Ａ的ＩＰ地址發(fā)送給 B； (4)當(dāng) AB接受到 C的答復(fù)幀后， A發(fā)往 B的數(shù)據(jù)會(huì)發(fā)到 C， B回復(fù)給 A的數(shù)據(jù)也會(huì)發(fā)到 C，形成 “ManInTheMiddle”重定向；當(dāng)一臺(tái)主機(jī)把以太網(wǎng)數(shù)據(jù)幀發(fā)送到位于ARP 病毒的攻擊與防范 23 同一局域網(wǎng)上的另一臺(tái)主機(jī)時(shí)，是根據(jù) 48 bit的以太網(wǎng)地址來確定目的接口的。不過， B發(fā)送的數(shù)據(jù)包又直接傳遞給 A。為了做到透明網(wǎng)關(guān)的作用，接下來需要打開 C的 IP轉(zhuǎn)發(fā)功能， A發(fā)送過來的數(shù)據(jù)包，被 C截獲后要馬上轉(zhuǎn)發(fā)給 B，好比一個(gè)路由器一樣。 ARP 病毒的攻擊與防范 22 表 23 “ManInTheMiddle”重定向方法案例配置表 舉例說明 “ManInTheMiddle”重定向方法：如表 23所述，已經(jīng)使用例二所述的方法從 C機(jī)器修改了 A與 B的 ARP表，讓 A錯(cuò)誤的覺得 B的 MAC地址是CCCCCCCCCCCC，而 B覺得 A的 MAC地址是 CCCCCCCCCC。還有些人利用 ARP原理開發(fā)出網(wǎng)管工具，隨時(shí)切斷指定用戶的連接。目前利用 ARP原理編制的工具可以直接探測和分析 FTP、 POP SMB、SMTP、 HTTP/HTTPS、 SSH、 MSN等超過 30種應(yīng)用的密碼和傳輸內(nèi)容。如此一來，在 A和 C看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對方的，但在 B來 看 ， 自 己 擔(dān) 當(dāng) 的 就 是 “第 三 者 ”的 角 色 。在這種探測方式中，黑客所在主機(jī)是不需要設(shè)置網(wǎng)卡的混雜模式的，因?yàn)橥ㄐ烹p方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機(jī)的。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信（即使是通過交換機(jī)相連），他會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè) ARP 應(yīng)答包，讓兩臺(tái)主機(jī)都 “誤 ”認(rèn)為對方的 MAC 地址是第三方的黑客所在的主機(jī)，這樣，雙方看似 “直接 ”的通信連接， 實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的。 IP 數(shù)據(jù)包的截取與轉(zhuǎn)發(fā) 根據(jù)有關(guān) ARP欺騙原理的描述，在數(shù)據(jù)鏈接層完成 ARP表的修改以后，并不 能最終完成 “ManInTheMiddle”重定向，需要進(jìn)一步的在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。所以此時(shí) C相當(dāng)與 A的網(wǎng)關(guān)，插入 A與 B的路由之間，所以此時(shí) C能夠收取 A與公網(wǎng)之間的所有數(shù)據(jù)并可進(jìn)行篡改。 圖 214 網(wǎng)關(guān) 類 ARP欺騙 ARP 病毒的攻擊與防范 21 如圖 214示，主機(jī) C同時(shí)向主機(jī) A與網(wǎng)關(guān) B發(fā)出 ARP應(yīng)答數(shù)據(jù)包，之后主機(jī) A的緩存表中網(wǎng)關(guān)的 MAC地址變成 CCCCCCCCCCCC。目前，一般的交換網(wǎng)絡(luò)對探測進(jìn)行了限制，目的是限制探測的深入程度，讓他被隔絕在局域網(wǎng)內(nèi)部。 網(wǎng)關(guān)出口上的 ARP 欺騙 在公眾上網(wǎng)環(huán)境的實(shí)際運(yùn)行中，最大的威脅就是服務(wù)器在網(wǎng)關(guān)出口處被加入中間層欺騙服務(wù)器 “maninthemiddle”。如果發(fā)送免費(fèi) ARP的主機(jī)正好改變了硬件地址（很可能是主機(jī)關(guān)機(jī)了，并換了一塊接口卡，然后重新啟動(dòng)），那么這個(gè)分組就可以使其他主機(jī)高速緩存中舊的硬件地址進(jìn)行相應(yīng)的更新。但是，如果收到一個(gè)回答，那么就會(huì)在終端日志上產(chǎn)生一個(gè)錯(cuò)誤消息 “以太網(wǎng)地址： a:b:c:d:e:f”發(fā)送來重復(fù)的 IP地址 ”。免費(fèi) ARP可以有兩個(gè)方面的作用：一個(gè)主機(jī)可以通過它來確定另一個(gè)主機(jī)是否設(shè)置了相同的 IP地址。它是指主機(jī)發(fā)送 ARP查找自己的 IP地址。 圖 212ARP代理實(shí)驗(yàn) 圖 213RP代理實(shí)驗(yàn)中的 ARP表結(jié)構(gòu) 圖 213B機(jī)器上使用 ARP代理時(shí) ARP緩存的情況（為了演示方便，將實(shí)驗(yàn)中機(jī)器的 MAC成與例子一致）。 這個(gè)過程對于所有子網(wǎng)上的主機(jī)來說都是透明的。 D受到數(shù)據(jù)包后檢查目的的 IP地址在路由表中，與是將數(shù)據(jù)加上包頭后轉(zhuǎn)發(fā)到路由器 C。于是， B會(huì)以為 A的 MAC地址就是DDDDDDDDDDDD，這與前文所說的 ARP欺騙原理是一樣的。當(dāng)然，在 A是收不到這個(gè)廣播請求包的。ARP 病毒的攻擊與防范 18 圖 211ARP代理的網(wǎng)絡(luò)結(jié)構(gòu) 如圖 211示，主機(jī) A是服務(wù)器， B為客戶端， A與 B在不同的網(wǎng)段中，之間通過路由器 C與 D。 在 ARP代理中，如果主機(jī) A需要查詢 B的 MAC地址， B并不能收到 A發(fā)出的廣播查詢包，而 A的網(wǎng)關(guān)回復(fù)了這個(gè)查詢，在回復(fù)數(shù)據(jù)幀中，網(wǎng)關(guān)將自己的 MAC地址替換了 B的地址，使Ａ誤以為網(wǎng)關(guān)就是目的主機(jī)，而事實(shí)上目的主機(jī)是 在路由器的對端上。分開這些舊主機(jī)有兩個(gè)共同的理由，其一是它們不能處理子網(wǎng)劃分，其二是它們使用舊的廣播地址（所有比特值為 0的主機(jī)號(hào)，而不是目前使用的所 有比特值為 1的主機(jī)號(hào)）。在這種情況下，兩個(gè)物理網(wǎng)絡(luò)可以使用相同的網(wǎng)絡(luò)號(hào)，只要把中間的路由器設(shè)置成一個(gè) ARP代理，以響應(yīng)一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)主機(jī)的 ARP請求。 ARP代理也稱作混合 ARP（ promiscuous ARP）或 ARP 出租 (ARP hack)。然而如果是通過路由器鏈接的兩個(gè)網(wǎng)絡(luò)之間的通訊，其 ARP查詢機(jī)制與廣播網(wǎng)絡(luò)完全不同，應(yīng)為當(dāng)一臺(tái)機(jī)器需要知道其他機(jī)器的 ARP地址時(shí)，他發(fā)出的廣播包可能不是由目的機(jī)而是由網(wǎng)關(guān)路由器來回復(fù)的。 在使用交換機(jī)鏈接的交換網(wǎng)絡(luò)中，點(diǎn)與點(diǎn)之間的數(shù)據(jù)交換不采取廣播方式，而是使用虛擬電路的方式在兩點(diǎn)間建立之間鏈路，局域網(wǎng)內(nèi)的機(jī)器除非在鏡像端口上，否則無法監(jiān)聽其他機(jī)器之間的通訊。ARP 病毒的攻擊與防范 17 所以 A發(fā)出 ARP查詢幀經(jīng)過 HUB傳輸?shù)?B的時(shí)候， C就能夠接收到 A發(fā)送的數(shù)據(jù)包。 圖 210ARP欺騙數(shù)據(jù)幀格式 ARP 協(xié)議其他特性 ，這種情況比如在以 Hub鏈接的局域網(wǎng)內(nèi)。最后把操作字段置為 2，發(fā)回?cái)?shù)據(jù)幀。 ARP 病毒的攻擊與防范 15 表 22 ARP幀機(jī)構(gòu)實(shí)驗(yàn)的 IPMAC地址對照關(guān)系 (1)假設(shè)在表 22網(wǎng)絡(luò)環(huán)境中： A主機(jī)的 IP地址為 ，它現(xiàn)在需要與 IP為（主機(jī) B）進(jìn)行通訊，那么將進(jìn)行以下動(dòng)作： (2)A主機(jī)查詢自己的 ARP緩存列表，如果發(fā)現(xiàn)具有對應(yīng)于目的 IP地址 的 MAC地址項(xiàng)，則直接使用此 MAC地址項(xiàng)構(gòu)造并發(fā)送以太網(wǎng)數(shù)據(jù)包，如果沒有發(fā)現(xiàn)對應(yīng)的 MAC地址項(xiàng)則繼續(xù)下一步； (3)在 A主機(jī)發(fā)出 ARP解析請求廣播的過程中， A會(huì)發(fā)出一個(gè)目的 MAC地址是FF:FF:FF:FF:FF:FF的 ARP請求幀，來請求 IP為 復(fù) MAC地址； 圖 28 ARP請求數(shù)據(jù)幀格式 (4)B主機(jī)收到 ARP解析請求廣播后，回復(fù)給 A主機(jī)一個(gè) ARP應(yīng)答數(shù)據(jù)包，其中包含自己的 IP地址 MAC地址 bbbbbbbbbbbb；ARP 病毒的攻擊與防范 16 圖 29 ARP回復(fù)數(shù)據(jù)幀格式 (5)A接收到 B主機(jī)的 ARP回復(fù)后，將 B主機(jī)的 MAC地址放入自己的 ARP緩存列表，然后使用 B主機(jī)的 MAC地址作為目的 MAC地址， B主機(jī)的 IP地址（ ）作為目的 IP地址，構(gòu)造并發(fā)送以太網(wǎng)數(shù)據(jù)包 . (6)如果 A主機(jī)還要發(fā)送數(shù)據(jù)包給 ，由于在 ARP緩存列表中已經(jīng)具有 IP地址 MAC地址，所以 A主機(jī)直接使用此 MAC地址發(fā)送數(shù)據(jù)包，而不再發(fā)送 ARP解析請求廣播；當(dāng)此緩存地址項(xiàng)超過兩分鐘沒有活動(dòng)（沒有使用）后，此ARP緩存將超時(shí)被刪除。最后四個(gè)字段分別是：發(fā)送源以太網(wǎng)地址、目的地以太網(wǎng)地址、發(fā)送源 IP地址以及目的地 IP地址。由于在ARP請求和 ARP應(yīng)答時(shí)的 “幀類型 ”字段 值相同（都為 0x0806），所以需要從這個(gè)字段來區(qū)分是請求還是應(yīng)答。注意：此處是以字節(jié)為單位。 (3)第 19與 20字段的兩個(gè) 1字節(jié)的字段， “硬件地址長度 ”和 “協(xié)議地址長度 ”分別指出硬件地址和協(xié)議地址的長度。在以太網(wǎng)的解析中，一個(gè) ARP請求分組詢問 “協(xié)議類型 ”填寫 IP（ 0x0800即表示 IP），硬件類型 填寫以太網(wǎng)（值為 1即表示以太網(wǎng)）。在表示 ARP請求或應(yīng)答時(shí)該字段被設(shè)置成 “0x0806”。 ARP請求和應(yīng)答幀的ARP 病毒的攻擊與防范 14 格式如圖 27所示： 圖 27ARP數(shù)據(jù)幀格式 (1)如圖 27所示，以太網(wǎng)報(bào)頭中的前兩個(gè)字段是以太網(wǎng)的源地址和目的地址。 ARP幀使用是工作在數(shù)據(jù)鏈接層的協(xié)議，它也可以用于其他類型的網(wǎng)絡(luò)以解析 IP地址以外的地址（報(bào)文第 1 14兩字節(jié)的 “幀類型 ”以及 1 16字節(jié) “硬件類型 ”以及 1 18字節(jié) “協(xié)議類型 ”說明了解析的是什么網(wǎng)絡(luò)）。 ARP 偽造幀格式 在 ARP攻擊中，黑客是運(yùn)用 ARP協(xié)議缺陷更改 ARP緩存表的。如果 ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小，那么超時(shí)時(shí)間設(shè)置為 120秒。修改后重啟計(jì)算機(jī)后生效。 鍵值 1： ArpCacheLife，類型為 Dword，單位為秒，默認(rèn)值為 120。可以在注冊表中進(jìn)行修改。默認(rèn)情況下 ARP緩存的超時(shí)時(shí)限是兩分鐘，如果再?zèng)]有新的信息更新， ARP 映射項(xiàng)會(huì)自動(dòng)去除。如果要?jiǎng)?chuàng)建永久的靜態(tài) MAC地址綁定項(xiàng) ，可以寫一個(gè)腳本文件來執(zhí)行 ARP靜態(tài)綁定，然后使用計(jì)劃任務(wù)在啟動(dòng)計(jì)算機(jī)時(shí)執(zhí)行該腳本即可。 (4)不同操作系統(tǒng)中 ARP設(shè)置的差異：在 Windows server 2020和 XP以前的 WIN DOWS系統(tǒng)中，就算設(shè)置了靜態(tài) MAC地址綁定項(xiàng)，同樣會(huì)通過接收其他主機(jī)的數(shù)據(jù)包而更新已經(jīng)綁定的項(xiàng)。 ARP命令的作用是查看本機(jī)的 ARP緩存、靜態(tài) 綁定 IP地址和 MAC地址和刪除靜態(tài)綁定項(xiàng)。所以只要是企業(yè)級的硬件或者軟件防火墻，都基本沒有提供對 MAC地址的控制功能。 (3)特殊類別 ARP的操作：委托 ARP（當(dāng)路由器對來自于另一個(gè)路由器接口的 ARP請求進(jìn)行應(yīng)答 時(shí)）和免費(fèi) ARP（發(fā)送自己 IP地址的 ARP請求，一般發(fā)生在引導(dǎo)過程中）。系統(tǒng)將回答與主機(jī)名對應(yīng)的 IP地址的 ARP請求，并以指定的以太網(wǎng)地址作為應(yīng)答。新增加的內(nèi)容是永久性的（比如，它沒有超時(shí)值），除非在命令行的末尾附上關(guān)鍵字 temp。另外，可以通過選項(xiàng) s來增加高 速緩存中的內(nèi)容。 arp命令的其他用法可以鍵入 “arp /?”查看到。 (1)ARP命令的使用：進(jìn)行 ARP欺騙攻防的基本操作是使用 Windows的命令 ARP來實(shí)現(xiàn) IP地址和 MAC地址的映射與綁定。ARP命令可以顯示和修改 ARP高速緩存中的內(nèi)容。 ARP高速緩存在它的運(yùn)行過程中非常關(guān)鍵，系統(tǒng)管理員可以用 ARP命令對高速緩存進(jìn)行檢查和操作。 ARP 表的操作方法 ARP欺騙的突破點(diǎn) —ARP協(xié)議缺陷，可見對計(jì)算機(jī)內(nèi)部 ARP緩存表的修改是 ARP欺騙的關(guān)鍵所在。這種攻擊最多也就造成 A與 B之間連接中斷，無法造成更大危害。所以，如果要保持 A上的錯(cuò)誤信息， C接下來要做的就是一直連續(xù)不斷地向 A和 B發(fā)送虛假的 ARP 響應(yīng)數(shù)據(jù)幀，讓 A的 ARP緩存中保持被篡改了的映射表項(xiàng)。如此一來 C能夠接收到 A發(fā)送的數(shù)據(jù)楨，數(shù)據(jù)楨的截獲成功。結(jié)果， A去 Ping主機(jī)Ｂ卻發(fā)送到了 CCCCCCCCCC這個(gè)地址上。 在表 21所示環(huán)境，對目標(biāo) A進(jìn)行欺騙。 圖 25 正常 ARP查 詢流程 從圖 25中可以發(fā)現(xiàn)， ARP協(xié)議存在一個(gè)重大的缺陷：每臺(tái)主機(jī)的 ARP表的更新是信任廣播域內(nèi)所有機(jī)器的回應(yīng)包的，也就是在說在 ARP協(xié)議中，接受回應(yīng)幀的主機(jī)無法驗(yàn)證回應(yīng)包的真?zhèn)巍? ARP 病毒的攻擊與防范 10 ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒有使用，就會(huì)被刪除，這樣可以大大減少 ARP緩存表的長度，加快查詢速度。這樣，主機(jī) A就知道了主機(jī) B的 MAC地 址，它就可以向主機(jī) B發(fā)送信息了。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī) A會(huì)在自己的 ARP緩存表中尋找是否有目標(biāo) IP地址 。在 ，每臺(tái)主機(jī)都會(huì)存有一張 IPMAC地址對照關(guān)系如表 22。 ARP緩存表 下 圖所示。這個(gè)高速緩存存放了最近 Inter地址到硬件地址之間的映射記錄。而 ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的 IP地址，查詢目標(biāo)設(shè)備的 MAC地址，以保證通信的順利進(jìn)行。這個(gè)目標(biāo) MAC地址是通過地址解析協(xié)議獲得的。在數(shù)據(jù)鏈路層中網(wǎng)絡(luò)中實(shí)際傳輸?shù)姆庋b數(shù)據(jù)包為數(shù)據(jù) “幀 ”，幀的傳播尋址方法是依靠目標(biāo)主機(jī)的 MAC地址。 ARP協(xié)議是 “Address Resolution Protocol”（地址解析協(xié)議）的縮寫。然后便可以與各種攻擊方式相互結(jié)合，達(dá)到數(shù)據(jù)篡ARP 病毒的攻擊與防范 8 改、數(shù)據(jù)監(jiān)聽、停止服務(wù)攻擊，以及病毒掛載的目的。 圖 22 ARP攻擊的結(jié)構(gòu)框架圖 整個(gè)攻擊的結(jié)