【正文】 程中間直接插入病毒的代碼； (3)發(fā)覺困難：如沒有機房網(wǎng)絡管理人員協(xié)助協(xié)查，服務器系統(tǒng)管理員光靠系統(tǒng)日志無法在短時間內(nèi)找到攻擊源； (4)恢復復雜：網(wǎng)站管理員即時發(fā)現(xiàn)被攻擊后，但是從系統(tǒng)層面上無法自己清除； (5)攻擊手段變化多樣：黑客可以最大化的利用 ARP欺騙，將他與其他攻擊方法組合后運用于多種攻擊，如，偵聽、拒絕服務、掛載病毒。攻擊者利用 ARP信任局域的重大缺陷作為突破口，并通過一系列數(shù)據(jù)包轉(zhuǎn)發(fā)的方法模擬出正常的通訊手段來欺騙數(shù)據(jù)收發(fā)雙方，然后作為一個透明的網(wǎng)關在當中進行監(jiān)聽與數(shù)據(jù)偽裝的方法。在數(shù)據(jù)鏈接層 MAC地址欺騙基礎上使用類似于路由器的數(shù)據(jù)包轉(zhuǎn)發(fā)技術(shù)可形成對攻擊目標的網(wǎng)絡數(shù)據(jù)偵聽。 ARP 協(xié)議缺陷 ARP攻擊的突破口是 ARP協(xié)議缺陷，為了說明黑客程序是如何進行 ARP欺騙進而修改 ARP表，首先需要研究 ARP協(xié)議的工作原理。位于 OSI網(wǎng)絡七層模型中的第二層 —數(shù)據(jù)鏈路層。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的 MAC地址。 Inter上常用到 DNS域名解析是將 IP地址與域名對應起來，而數(shù)據(jù)鏈接層的 “MAC地址解析 ”原理與 DNS相似，其實就是將網(wǎng)卡的 MAC硬件地址與 IP地址對應，整個“MAC地址解析 ”的過程其實就是主機在發(fā)送幀前將目標 IP地址轉(zhuǎn)換成目標 MAC地址的過程。 圖 23 互聯(lián)網(wǎng)名字解析協(xié)議原理 在圖 23所示的互聯(lián)網(wǎng)名字解析方法中，每臺使用 TCP/IP協(xié)議上網(wǎng)的電腦內(nèi)部都有一個 ARP緩存表，表里的 IP地址與 MAC地址是一一對應的。高速緩存中每一項的生存時間一般默ARP 病毒的攻擊與防范 9 認為 2 0分鐘（可通過注冊表修改），緩存的起始時間從被創(chuàng)建時開始算起。 圖 24 ARP緩存表 舉例說明 IPMAC地址 表轉(zhuǎn)換工作原理。 表 21IPMAC 地址對照關系 根據(jù)表 21的配置，以主機 A（ .1）向主機 B（ .2）發(fā)送數(shù)據(jù)為例。如果找到了，也就知道了目標 MAC地址，直接把目標 MAC地址寫入幀里面發(fā)送就可以；如果在 ARP緩存表中沒有找到相對應的 IP地址，主機 A就會在網(wǎng)絡上發(fā)送一個廣播，目標 MAC地址是 “”，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出詢問：“ 192. MAC地址是什么？ ”網(wǎng)絡上其他主機并不響應 ARP詢問，只有主機B接收到這個幀時，才向主機 A做出這樣的回應： “ MAC地址是“ bbbbbbbb bbbb”。同時它還更新了自己的 ARP緩存表，下次再向主機 B發(fā)送信息時，直接從 ARP緩存表里查找就可以了。整個 ARP查詢過程如圖 25所示。所以，在 ARP協(xié)議中就很容易實現(xiàn)在以太網(wǎng)中的 ARP欺騙。 C發(fā)出 ARP回應數(shù)據(jù)幀到 A，告訴 A“B的MAC地址是 CCCCCCCCCC”， A接受了假回應包，但是無法驗證，于是就將自己的緩存更新了。如果進行欺騙的時 候，把 B的 MAC地址欺騙為 CCCCCCCCCCCC，于是 A發(fā)送到 BARP 病毒的攻擊與防范 11 上的數(shù)據(jù)包都變成發(fā)送給 C的了。 由于 ARP 緩存表項是動態(tài)更新的，其生命周期默認是兩分鐘，如果再沒有新的信息更新， ARP 映射項將會自動去除。 圖 25 ARP欺騙的流程 圖 25演示了如何運用 ARP協(xié)議固有的缺陷對其進行欺騙， 但是僅僅這種欺騙并不能完成對 A與 B之間數(shù)據(jù)交換的竊聽與篡改，原因是，光有第二層的欺騙是不夠的，在建立起 數(shù)據(jù)連接層欺騙后，雖然 A對這個變化一點都沒有意識到，但是接下來在進行網(wǎng)絡層 TCP/IP握手以及應用層會話建立時由于 C上并沒有能模仿 B的應用端口監(jiān)ARP 病毒的攻擊與防范 12 聽，所以 A和 C是無法建立連續(xù)連接的，通常當 TCP/IP三次握手不成功時， A與 C的接將斷開， C對接收到 A發(fā)送給 B的數(shù)據(jù)包可沒有轉(zhuǎn)交給 B。本章 介紹數(shù)據(jù)鏈接層協(xié)議中 ARP協(xié)議的先 天缺陷，也是整個 ARP欺騙攻擊的突破 口。在大多數(shù)的 TCP/IP實現(xiàn)中， ARP是一個基礎協(xié)議，但是它的運行對于應用程序或系統(tǒng)管理員來說一般是透明的。 高速緩存中的每一項內(nèi)容都有一個定時器，根據(jù)它來刪除不完整和完整的表項。下面說明操作系統(tǒng)中對 ARP緩存表的基本操作方法。比如在 Windows XP的命令提示符窗口中鍵入 “arp a”或 “arp g”可以查看 ARP緩存中的內(nèi)容；鍵入 “arp d IPaddress”表示刪除指定的 IP地址項（ IPaddress表示 IP地址）。 (2)ARP命令其他參數(shù)的功能：超級用戶可以用選項 d來刪除 ARP高速緩存中的某一項內(nèi)容。這個參數(shù)需要主機名和以太網(wǎng)地址：對應于主機名的 IP地址和以太網(wǎng)地址被增加到高速緩存中。位于命令行末尾的關鍵字 pub和 s選項一起，可以使系統(tǒng)起著主機 ARP代理的作用。如果廣播的地址是系統(tǒng)本身，那么系統(tǒng)就為指定的主機名起著委托 ARP代理的作用。微軟的 ISA Server中沒有提供對于 MAC地址的控制功能，這是因為 MAC地址只能在本地網(wǎng)絡中使用，當數(shù)據(jù)包跨越路由器時，數(shù)據(jù)包中主機的源 MAC地址就會被路由器的出站接口的 MAC地址所代替，這個時候，使用 MAC地址來進行控制就不ARP 病毒的攻擊與防范 13 適用了。不過在 Windows中，如果安裝了 TCP/IP網(wǎng)絡協(xié)議組件，就可以執(zhí)行命令ARP。其實綁定 IP地址和 MAC地址的本意是為了減少 ARP廣播流量，只是可以利用這一功能來控制 IP地址的使用。而在 Windows server 2020和 XP中，靜態(tài)綁定的項不會被動態(tài)更新，直到 TCP/IP協(xié)議終止為止，例如重啟計算機。 (5)ARP高速緩存超時設置：在 ARP高速緩存中的表項一般都要設置超時值。所以，為了保持 A與 C被修改的 ARP表， B一直連續(xù)不斷地向 A和 C發(fā)送這種虛假的 ARP 響應包?？梢孕薷牡逆I值有兩個，都位于 HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services Tcpip\Parameters。鍵值 2： ArpCacheMinReferencedLife，類型為 Dword，單位為秒，默認值為 600這些鍵值默認是不存在的，如果想修改，必須自行創(chuàng)建。如果 ArpCacheLife的值比 ArpCacheMinReferencedLife的值大，那么 ARP緩存的超時時間設置為 ArpCacheLife的值。對于正在使用的ARP緩存，超時時間則設置為 ArpCacheMinReferencedLife的值。要發(fā)動 ARP欺騙攻擊需要獲得 ARP請求與應答幀的格式。對于 ARP攻擊我們僅研究在以太網(wǎng)地址解析時的格式。在以太網(wǎng)首部最后兩個字節(jié)長的以太網(wǎng) “幀類型 ”表示后面數(shù)據(jù)的類型。 (2)頭部后面的 2字節(jié)的 “硬件類型 ”和兩字節(jié)的 “協(xié)議類型 ”用來描述 ARP分組中的各個字段。這些類型字段的值在以太網(wǎng)數(shù)據(jù)幀中是固定的。當用于在以太網(wǎng)上進行 IP地址的 ARP查詢時， “硬件地址長度 ”的值為 6， “協(xié)議地址長度 ”為 4。 (4)接下來的 OP為 “操作字段 ”，可以選擇四種操作類型，分別是 ARP請求（值為1）、 ARP應答（值為 2）、 R ARP請求（值為 3）和 R ARP應答（值為 4）。 (5)報文最后的四個字段將重復出現(xiàn)發(fā)送與接受端的硬件地址（在以太網(wǎng)的數(shù)據(jù)幀報頭中出現(xiàn)過）。 (6)另外，由于 ARP請求或回答的數(shù)據(jù)幀長都是 42字節(jié)（ 28字節(jié)的 ARP數(shù)據(jù)加上14字節(jié)的以太網(wǎng)幀頭），因此，每一幀都必須加入填充字符以達到以太網(wǎng)數(shù)據(jù)幀 60字節(jié)的最小長度要求。 以上是正常情況下 ARP查詢與回復的數(shù)據(jù)幀結(jié)構(gòu)，如果使用 ARP欺騙，從 C發(fā)送偽造的 ARP數(shù)據(jù)包，則當 C收到一份目的端為 B的 ARP請求廣播報文后， C會把自己的硬件地址填進去，然后將目的端的 MAC與 IP地址寫成發(fā)送源 A的物理與邏輯地址，源 MAC地址偽裝成自己的地址，源 IP地址填寫 B的 IP。偽裝的數(shù)據(jù)幀結(jié)構(gòu)如圖 210示。在一個以 HUB相連接的局域網(wǎng)內(nèi)， HUB直接把整個數(shù)據(jù)包廣播到所有的端口，這樣任何一臺機器都能監(jiān)聽到其他機器之間相互的通訊以及 ARP廣播查詢包。這樣的廣播網(wǎng)絡安全性較差，除了 ARP攻擊外還很容易受到監(jiān)聽以及廣播風暴的 襲擊。在這種網(wǎng)絡中，如果是同一個廣播域內(nèi)，同樣可以進行 ARP欺騙，因為雖然是交換網(wǎng)絡，但是 ARP查詢報文是通過廣播包發(fā)送的。這就是所謂的 ARP代理。這些名字來自于 ARP代理的其他用途：通過兩個物理網(wǎng)絡之間的路由器可以互相隱藏物理網(wǎng)絡。這種技術(shù)在過去用來隱藏一組在不同物理電纜上運行舊版 TCP/IP的主機。 在廣播域中 ARP請求是從一個網(wǎng)絡的主機發(fā)往另一個網(wǎng)絡上的主機，但是在兩個局域網(wǎng)內(nèi)，或者兩臺機器在兩個 VLAN中，那么對方機器本身是收不到 ARP request的廣播報文的，回復報文是由這兩個機器所在的網(wǎng)關路由器發(fā)回的，這個過程稱作委托 ARP或 ARP代理 (Proxy ARP)。路由器的功能相當于代理服務器，把數(shù)據(jù)包從其他網(wǎng)絡上的主機轉(zhuǎn)發(fā)給它。當 B需要訪問 A時， B像往常一樣發(fā)送 ARP查詢的廣播幀。那 B是如何獲得 A的地址的呢？其實， B發(fā)出查詢數(shù)據(jù)報文時，路由器 D在接受到這個報文后，識別出目的地的 IP地址 ，于是 D把自己的 MAC地址 DDDDDDDDDDDD配上 A的IP地址 AAAAAAAAAAAA返回給主機 B。當主機 B發(fā)出數(shù)據(jù)包給 A時，他查詢自己的緩存，讀出 A的地址 DDDDDDDDDDDD，后將數(shù)據(jù)包發(fā)送到此地址，也就是路由器 D。 C受到后將數(shù)據(jù)解包，去除 D加上的包頭，然后在發(fā)送到 A，這樣 B與 A之間就實現(xiàn)了通訊。通過一個實驗能證明 ARP代ARP 病毒的攻擊與防范 19 理機制，如果在服務器 A所在的網(wǎng)段 E 當 B訪問 C通信以后，我們發(fā)現(xiàn)在同一個子網(wǎng)內(nèi)的 A與 E在 B的 ARP表中的 MAC地址是相同的。 ARP 病毒的攻擊與防范 20 另一個 ARP特性稱作免費 ARP (gratuitous ARP)。通常，它發(fā)生在系統(tǒng)引導期間進行接口配置 的時候。比如主機 A并不希望對此請求有一個回答。這樣就可以警告系統(tǒng)管理員，某個系統(tǒng)有不正確的設置。免費 ARP的特性運用在 IP沖突等攻擊中 。利用上文所說的 ARP欺騙報文以及 ARP代理中存在的缺陷，可以在服務器和網(wǎng)關之間插入一個 “偽造的網(wǎng)關 ”，在上面進行數(shù)據(jù)的重定向與篡改操作。但是，只要主機以及交換設備中的 ARP緩存表依然是動態(tài)的，利用 ARP協(xié)議漏洞，依然可以形成 “maninthemiddle”攻擊 方式。所以當 A要發(fā)出數(shù)據(jù)包時，他會將數(shù)據(jù)發(fā)往主機 C， C又將數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)關 B，由 B轉(zhuǎn)發(fā)到目的地網(wǎng)絡。此時，相當于網(wǎng)絡中的路由設備被黑客攻占了。按照 ARP 協(xié)議的設計，為了減少網(wǎng)絡上過多的 ARP 數(shù)據(jù)通信，一個主機，即使收到的 ARP 應答并非自己請求得到的，它也會將其插入到自己的 ARP 緩存表中，這樣，就造成了 “ ARP 欺騙 ”的可能。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。如上例中 A和 B要進行通信，實際上彼此發(fā)送的數(shù)據(jù)包都會先到達 C主機，這時，如果 C不做進一步處理， A和 B之間的通信就無法正常建立， C也就達不到 “探測 ”通信內(nèi)容的目的，因此， C要對 “錯誤 ”收到的數(shù)據(jù)包進行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的 內(nèi)容，是將目的 MAC和源 MAC地址進行替換。 這 種 探 測 方 法 ， 也 被 稱 作 “ManInTheMiddle”的方法。不僅僅是以上特定應用的數(shù)據(jù)，利用中間人攻擊者可將監(jiān)控到數(shù)據(jù)直接發(fā)給 SNIFFER等探測器，這樣就可以監(jiān)控所有被欺騙用戶的數(shù)據(jù)。這些工具流傳到搗亂者手里極易使網(wǎng)絡變得不穩(wěn)定，通常這些故障很難排查。但是僅僅這種欺騙并不能完成 C對 A與 B之間數(shù)據(jù)交換的竊聽與篡改，原因是，光有第二層的欺騙是不夠的，在建立起數(shù)據(jù)連接層欺騙后，雖然 A對這個變化一點都沒有意識到，但是接下來在進行網(wǎng)絡層 TCP/IP握手以及應用層會話建立時由于 C上并沒有能模仿 B的應用端口監(jiān)聽，所以 A和 C是無法建立連續(xù)連接的，通常當 TCP/IP三次握手不成功時， A與 C的連接將斷開， C對接收到 A發(fā)送給 B的數(shù)據(jù)包可沒有轉(zhuǎn)交給 B。 C直接進行整個包的修改轉(zhuǎn)發(fā)，捕獲到 A發(fā)送給B的數(shù)據(jù)包，全部進行修改后再轉(zhuǎn)發(fā)給 B，而 B接收到的數(shù)據(jù)包完全認為是從 A發(fā)送來的?，F(xiàn)在 C就完全成為 A與 B的中間橋梁了，對于 A和 B之間的通訊就可以了如指掌了。設備驅(qū)動程序從不檢查 IP數(shù)據(jù)報中的目的 IP地址。ARP 病毒的攻擊與防范 24 第 3 章 ARP 欺騙攻擊的實現(xiàn) 構(gòu)造 ARP 欺騙幀 在知道了 ARP欺騙攻擊的原理以及 ARP數(shù)據(jù)請求與響應幀格式后，接下來就是研究如何通過編程實現(xiàn) ARP攻擊黑客 工具。假設使用 windows 2020/XP系統(tǒng)，則在 ARP協(xié)議并不只在發(fā)送了 ARP請求才接收 ARP應答。因此，在表 22示例的網(wǎng)絡環(huán)境中， C向 A發(fā)送一個自己偽造的 ARP應答，而這個應答中的數(shù)據(jù)為發(fā)送方 IP地址是 （