【正文】 關(guān)系，在主機(jī)上 通過 Windows 自帶的 arp s命令，可以將特定的 IP 地址和 MAC地址進(jìn)行綁定，實現(xiàn)一定的 ARP 欺騙防御 。為避免系統(tǒng)發(fā)送 ARP請求包后 ,正好收到 ARP 欺騙計算機(jī)的應(yīng)答包 ,可將該過程重復(fù)幾次。相關(guān)代碼如下 : ③ 獲取真實的網(wǎng)關(guān) MAC地址 先調(diào)用系統(tǒng)命令 ARP d清空系統(tǒng) ARP緩存 ,然后立即調(diào)用 SendARP()函數(shù)。如果 Windows 系統(tǒng)的 ARP 緩存中不存在網(wǎng)關(guān)對應(yīng)的記錄 ,該函數(shù)會自動發(fā)送一個 ARP 請求包 ,根據(jù)返回的 ARP 應(yīng)答包獲得網(wǎng)關(guān)對應(yīng)的 MAC 地址。相關(guān)代 碼如下 : ② 獲取 ARP緩存表中網(wǎng)關(guān)的 MAC地址 用 SendARP()函數(shù)獲取系統(tǒng)網(wǎng)關(guān)對應(yīng)的 MAC 地址?；诮邮盏?ARP報文中的 MAC地址和 IP地址等信息， 可以構(gòu)造相應(yīng)的協(xié)議上層數(shù)據(jù)包如 IP層或傳輸層數(shù)據(jù)包，注入到網(wǎng)絡(luò)中，根據(jù)其是否響應(yīng)數(shù)據(jù)報文以及響應(yīng)數(shù)據(jù)報文中的 MAC地址和 IP地址等信息，就能驗證接收的ARP報文中 MAC地址和 IP地址的真實性，從而實施對接收的 ARP報文的認(rèn)證。因此，我們還要對 ARP攻擊進(jìn)行檢測。攻擊者為了防止被追查，通常在 ARP欺騙數(shù)據(jù)報文不會留下發(fā)送虛假信息的主機(jī)地址，而 是偽造一個假的地址填充到報文中，但是承載這個 ARP報文的以太網(wǎng)數(shù)據(jù)幀卻包含了它真實的源 MAC地址。在每個 ARP報文中的數(shù)據(jù)幀報頭和 ARP分組中都包含有發(fā)送端的硬件信息即MAC地址。 按照這種思路，我們首先對 ARP頭信息進(jìn)行異常檢測。因此 ARP防火墻的應(yīng)用具有兩面性。 ARP防火墻是一種安裝在用戶主機(jī)上的 ARP欺騙監(jiān)測軟件 ，能夠動態(tài)監(jiān)測局域網(wǎng)內(nèi)針對本主機(jī)和針對網(wǎng)關(guān)的 ARP欺騙。但 ARP Guard是一款商業(yè)軟件，不能免費使用。 ARP Guard采用了一種基于 SNMP探針的分布 式監(jiān)測架構(gòu)，通過對網(wǎng)絡(luò)監(jiān)聽和 SNMP探針取得的信息分別進(jìn)行動態(tài)分析，以判斷網(wǎng)絡(luò)中是否有 ARP欺騙并及時通知網(wǎng)絡(luò)管理員。 ARP Watch輕便有效，特別適用于小規(guī)模網(wǎng)絡(luò)。ARPWatch是一個在局域網(wǎng)內(nèi)監(jiān)聽 ARP報文的專用工具。 機(jī)器恢復(fù)正常時應(yīng)及時開通被查封的端口 。 系統(tǒng)要求不斷收集三層交換機(jī)上的 IPMAC信息和各接入層交換機(jī)的 MACPORT信息表 。 該方法的優(yōu)點是對 ARP攻擊源進(jìn)行封堵 ， 可防止中毒機(jī)器利用其它機(jī)器 武夷學(xué)院畢業(yè)論文 12 的漏洞進(jìn)行病毒傳播 ， 及時地將攻擊源隔離出網(wǎng)絡(luò) , 使病毒機(jī)器暫時不能上網(wǎng)也不會對整個網(wǎng)絡(luò)造成危害 。 如果在 ARP表中存在一個 MAC對應(yīng)多個 IP的情況 , 就表明極可能存在 ARP欺騙攻擊 , 而這個 MAC就是欺騙主機(jī)的 MAC。 ⑵ 對 IPMAC映射 關(guān)系的監(jiān)控 在網(wǎng)絡(luò)正常時 , 使用 NBTSCAN等 工具掃描全網(wǎng)段的 IP 地址和 MAC地址 , 保存一個全網(wǎng)的 IPMAC地址對照表備用 。 這種方法簡單易行 ,無需特別權(quán)限設(shè)置 ,所有用戶都可以做 ,誤判率較小 。 使用抓包軟件 (如 windump、sniffer pro 等 )在局域網(wǎng)內(nèi)抓去 ARP的 Reply報文 , 以 windump為例 ,假設(shè) , 抓下來的包只分析包含有“ reply” 字符的 ,格式如下 :18:25: arp at 00:07:ec:e1:c8:c3。限于篇幅考慮，只列 出相關(guān)主程序如下： ?????? 3 ARP 欺騙的防御技術(shù) 本章在實踐的基礎(chǔ)上，總結(jié)了一些較為有效的 ARP 欺騙檢測和防御手段，并分析它們優(yōu)劣特點和適用的環(huán)境， 揚長避短、相互結(jié)合，以期達(dá)到更好的防御效果。 圖 25 攻擊后虛機(jī) A、 B的 IPMAC對應(yīng)關(guān)系 11 采用編程模擬 ARP 欺騙 當(dāng)前有很多攻擊者喜歡利用 ARP協(xié)議的欺騙原理編寫木馬或者病毒程序來對網(wǎng)絡(luò)中的主機(jī)進(jìn)行攻擊。 在虛機(jī) A上用命令 arp – a重新獲得 MAC地址表，比較攻擊前后的 MAC地址表，可以發(fā)現(xiàn) ARP緩存表中虛機(jī) B的 MAC地址已經(jīng)被篡改了，這就表明模擬 ARP欺騙攻擊成功。選項完成后點擊“開始”，攻擊就開始了。后面這兩種方式都是用來制造主機(jī)間的 ARP欺騙。 然后開始模擬攻擊，在虛機(jī) C上，進(jìn)入“網(wǎng)絡(luò)執(zhí)法官”的管理界面，右鍵單擊被攻擊的虛機(jī) B，從快捷菜單中選擇“手工管理”。 安裝完“網(wǎng)絡(luò)執(zhí)法官”之后，運行它，選中“網(wǎng)卡復(fù)選框”，在監(jiān)控范圍內(nèi)選擇窗口中的指出網(wǎng)卡所在子網(wǎng)的所有可用 IP地址。 本軟件的主要功能是依據(jù)管理員為 各主機(jī)限定的權(quán)限，實時監(jiān)控整個局域網(wǎng)，并自動將非法用戶與網(wǎng)絡(luò)中某些主機(jī)或整個網(wǎng)絡(luò)隔離，而且無論局域網(wǎng)中的主機(jī)運行何種防火墻，都不能逃避監(jiān)控，也不會引發(fā)防火墻警告，提高了網(wǎng)絡(luò)安全性。 武夷學(xué)院畢業(yè)論文 10 圖 24 攻擊前虛機(jī)的 IPMAC對應(yīng)關(guān)系 這里對“網(wǎng)絡(luò)執(zhí)法官”軟件做一個簡要介紹。 采用軟件模擬 ARP 欺騙 首先在 VMWare中使用 hostonly模式 ，在啟動操作系統(tǒng)后， VMWare會為 A、 B、 C的虛擬網(wǎng)卡分配不通的 MAC地址，我們可以人為配置 IP地址，其 IPMAC地址對應(yīng)表如圖 24所示，子網(wǎng)掩碼為。由于客觀條件限制，在模擬攻擊實驗中我不進(jìn)行小型組網(wǎng)，而是將實驗環(huán)境設(shè)置為在我的 Notebook PC上安裝 VMWare virtual machine，操作系統(tǒng)為 Windows XP OS，虛擬機(jī)分別編號 A、 B、 C。這時，用戶訪問此 WEB服務(wù)器所在網(wǎng)段的所有服務(wù)器，均出現(xiàn)網(wǎng)頁源代碼頂部被加入惡意代碼鏈接的情況。從 WEB服務(wù)器返回網(wǎng)頁訪問客戶端的信息是按照“ WEB服務(wù)器一 ARP攻擊主機(jī)一服務(wù)器所在網(wǎng)絡(luò)網(wǎng)關(guān)一 外部網(wǎng)絡(luò)一 網(wǎng)頁客戶端”的路徑進(jìn)行發(fā)送的。這樣一來，客戶端所在網(wǎng)絡(luò)中的多數(shù)主機(jī)訪問任何 WEB頁面時，反病毒軟件的網(wǎng)頁監(jiān)控均提示發(fā)現(xiàn)病毒。服務(wù)器返回到客戶端瀏覽器的信息是按照“網(wǎng)頁服務(wù)器 — 外部網(wǎng)絡(luò) — 客戶端所在網(wǎng)絡(luò)網(wǎng)關(guān) — ARP攻擊主機(jī) — 客戶端主機(jī)”的路徑進(jìn)行發(fā)送的。 根據(jù)網(wǎng)頁內(nèi)容傳輸過程中， ARP網(wǎng)頁劫持發(fā)生的區(qū)段位置不同，我們可以把 ARP網(wǎng)頁劫持攻擊分成兩種情況：發(fā)生在客戶端所在局域網(wǎng)內(nèi)的 ARP網(wǎng)頁劫持攻擊和發(fā)生在服務(wù)器所在局域網(wǎng)內(nèi)的 ARP網(wǎng)頁劫持攻擊。但是當(dāng)檢查服務(wù)器上網(wǎng)頁的原始代碼時卻發(fā)現(xiàn)沒有任何異常。 ARP網(wǎng)頁劫持攻擊 ARP網(wǎng)頁劫持攻擊其實也可以說是利用了“中間人”攻擊的原理。而如果攻擊者先 對目標(biāo)主機(jī)進(jìn)行 ,使其不能對外部作出任何反應(yīng)之后，再將自身主機(jī)的 IP地址和 MAC地址分別改為目標(biāo)主機(jī)的 IP地址和 MAC地址，代替它接收一切數(shù)據(jù)包，從而進(jìn)一步實施各種非法操作。所以說 MAC Flooding是一種比較 危險的攻擊，嚴(yán)重會使整個網(wǎng)絡(luò)不能正常通信。但是交換機(jī)中的 ARP緩存表的大小是固定的，這就導(dǎo)致了 ARP欺騙的另一種隱患：由于交換機(jī)可以主動學(xué)習(xí)客戶端的 MAC地址，并建立和維護(hù)這個 CAM緩存表，當(dāng)某人利用欺騙攻擊連續(xù)大量的制造欺騙 MAC地址 ， CAM表 就會被迅速填滿，同時更新信息以洪泛方式發(fā)送到所有的接口，也就代表 Trunking（所謂 Trunking是用來在不同的交換機(jī)之間進(jìn)行連接，以保證在跨越多個交換機(jī)上建立的同一個 VLAN的成員能夠相互通訊。 ⑵ MAC Flooding 交換機(jī)中也存放著一個類似 ARP的 緩存表，稱為 CAM。 ⑴ ARP報文 Flooding 攻擊者利用工具構(gòu)造大量 ARP報文，發(fā)往交換機(jī)、路由器或某臺普通主機(jī)，導(dǎo)致設(shè)備的 CPU忙于處理 ARP協(xié)議，負(fù)擔(dān)過重，造成設(shè)備沒有多余資源區(qū)轉(zhuǎn)發(fā)正常的數(shù)據(jù)流量甚至癱瘓。 圖 23 “中間人 ”攻擊過程 武夷學(xué)院畢業(yè)論文 8 Flooding 攻擊 Flooding 是一種快速散布網(wǎng)絡(luò)連接設(shè)備（如交換機(jī)）更新信息到整個大型網(wǎng)絡(luò)打每一個節(jié)點的一種方法。受到“中間人”攻擊的主要表現(xiàn)有：局域網(wǎng)中某臺主機(jī)上網(wǎng)突然掉線，但是過一會兒又恢復(fù)了，只是上網(wǎng)變得很慢。于是，主機(jī) A和 B之間看似直接的通信，實際上都是通過主機(jī) C進(jìn)行的，即主機(jī) C擔(dān)任了“中間人”的角色在傳遞信息，同時也可以對信息進(jìn)行竊取和篡改 ,如圖 23所示。 基于 ARP的“中間人”攻擊又稱為 ARP雙向欺騙，這種說法是相對于攻擊主機(jī)冒充網(wǎng)關(guān)或主機(jī)的單向 ARP欺騙而言的。由于 “ 中間人 ” 對于原通信雙方是透明的，使得 “ 中間人 ” 很難被發(fā)現(xiàn)，也就使得這種攻擊更加具有隱蔽性。這種攻擊對其他用戶是透明的 ，因此這臺主機(jī)就稱為 “ 中間人 ” 。而這些現(xiàn)象的發(fā)生都是因為網(wǎng)關(guān)發(fā)送給該用戶的所有數(shù)據(jù)全部定向到一個錯誤的 MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。查看路由器的 ARP表項 , 發(fā)現(xiàn)很多錯誤地址 ， 所有被攻擊者的 IP地址對應(yīng) 7 的 MAC地址都為攻擊者的 MAC地址。 攻擊主機(jī)冒充正常主機(jī)欺騙網(wǎng)關(guān) 攻擊主機(jī)冒充正常主機(jī)欺騙網(wǎng)關(guān)，是指攻擊者通過偽造并發(fā)送 源 IP地址為同網(wǎng)段內(nèi)某臺合法用戶的 IP 地址 , 源 MAC 地址為偽造的 MAC 地址的 ARP Reply報文給網(wǎng)關(guān)，使得網(wǎng)關(guān)更新自身 ARP緩存表中原合法用戶的 IPMAC地址對應(yīng)關(guān)系。于是在命令行窗口中鍵入 arp – a，查看這些無法上網(wǎng)的主機(jī)的 ARP表，發(fā)現(xiàn)網(wǎng)關(guān)的 MAC地址是錯誤的。 ARP 欺騙的主要攻擊方式 攻擊主機(jī)冒充網(wǎng)關(guān)欺騙正常主機(jī) 仿冒網(wǎng)關(guān)攻擊是指攻擊主機(jī)通過偽造并 在局域網(wǎng)內(nèi)發(fā)送源 IP地址為網(wǎng)關(guān) IP地址、 源 MAC 地址為偽造的 MAC 地址的 ARP Reply報文給被攻擊的主機(jī)，使得這些主機(jī)在自己的 ARP緩存表上更新網(wǎng)關(guān)IPMAC地址的對應(yīng)關(guān)系。只要是存在于 ARP緩存表里的 IP/MAC映射以及接收到的 ARP Reply中的 IP/MAC映射關(guān)系， ARP協(xié)議都認(rèn)為是可信任的，沒有對它們的真實性和有效性進(jìn)行檢驗，也沒有維護(hù)其一致性。而且只要應(yīng)答包的內(nèi)容格式等是有效的，接收到應(yīng)答包的主機(jī)都會無條件地根據(jù)其內(nèi)容更新本機(jī)的ARP緩存表，而不論主機(jī)是否曾發(fā)出過請求。同時，攻擊者也可以不間 武夷學(xué)院畢業(yè)論文 6 斷地在網(wǎng)內(nèi)廣播 ARP Request，造成網(wǎng)絡(luò)的緩慢甚至阻塞。 ⑴ ARP Request報文以廣播形式發(fā)送 由于局域網(wǎng)內(nèi)的計算機(jī)不知道通信對方的 MAC地址，所以需要廣播 ARP Request報文。換言之， ARP 協(xié)議是建立在局域網(wǎng)內(nèi)各主機(jī)相互信任的基礎(chǔ)之上，它本身不作任何安全檢測，并沒有一套安全機(jī)制來確保信息的真實性、完整性、可用性。 再者，攻擊者也可能基于 ARP 協(xié)議的工作特性，不斷向?qū)Ψ接嬎銠C(jī)發(fā)送帶有詐欺性質(zhì)的 ARP 數(shù)據(jù)包，其中包含與當(dāng)前設(shè)備重復(fù)的 MAC 地址，使對方在回應(yīng) ARP 報文時，由于簡單的地址重復(fù)錯誤導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。 攻擊者可以利用此類木馬或病毒程序來截獲用戶數(shù)據(jù)，如 盜取 賬號密碼、盜取各種 網(wǎng)絡(luò)游戲密碼和賬號、盜竊 網(wǎng)上銀行 賬號去進(jìn)行非法交易活動等，給普通用戶造成了巨大的不便甚至是經(jīng)濟(jì)損失。所以，如果受到此類 ARP 欺騙程序的攻擊，其中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時，用戶會突然掉線、頻繁斷網(wǎng)， IE瀏覽器頻繁出錯，之后過一段時間又會恢復(fù)正常。 這就是一個簡單的 ARP欺騙。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù) IP地址進(jìn)行，而是按照 MAC地址進(jìn)行傳輸。偽造的 Reply報文中包含了主機(jī) C的 IP地址和主機(jī) B的 MAC地址。當(dāng)計算機(jī)接收到 ARP應(yīng)答數(shù)據(jù)包的時候， 只要應(yīng)答包中的 IP地址正確， 就會對本地的 ARP緩存 5 進(jìn)行更新，將應(yīng)答中的 IP和 MAC地址存儲在 ARP緩存中 。 為了較好地了解 ARP欺騙，我們可以簡單舉例說明。 圖 22 ARP緩存表結(jié)構(gòu) ARP 欺騙 何為 ARP 欺騙 籠統(tǒng)地講， ARP欺騙是一種使計算機(jī)網(wǎng)絡(luò)無法正常運行的攻擊手段， 即利用 ARP 協(xié)議的漏洞 ,通過向目標(biāo)主機(jī)發(fā)送虛假 ARP 報文 ,來實現(xiàn)監(jiān)聽或截獲目標(biāo)主機(jī)通信數(shù)據(jù)。它采用了老化機(jī)制（ Windows系統(tǒng)中的老化時間默認(rèn)為 2分鐘，Cisco路由器默認(rèn)為 5分鐘），在一段時間內(nèi)，如果緩存表中的某一行數(shù)據(jù)沒有使用，該行數(shù)據(jù)就會被自動刪除，這樣可以大大減少 ARP緩存表的長度，加快查詢速度。ARP協(xié)議的工作原理如圖 21所示。該 ARP Reply報文中包含了主機(jī) B的 IP和 MAC地址。如果不存在，則主機(jī)A會向網(wǎng)內(nèi)所有主機(jī)廣播一個 ARP Request報文，其中目的 IP地址為主機(jī) B的 IP，目的 MAC地址為“ ”，以此來詢問主機(jī) B的 IP對應(yīng)的 MAC地址是什么。局域網(wǎng)中的主機(jī) A要向主機(jī) B 發(fā)送數(shù)據(jù)，建立通訊時，主機(jī) A會首先檢查自己的 ARP緩存表中是否存在目的主機(jī) B的 IPMAC地址對應(yīng)關(guān)系表項。所以，當(dāng)網(wǎng)絡(luò)中一臺主機(jī)要和另一臺主機(jī)進(jìn)行直接通信時，必須知道目標(biāo)主機(jī)的MAC 地址，即利用 ARP 地址解析協(xié)議把目標(biāo) IP地址解析為目標(biāo) MAC地址，建