网络遭遇ARP欺骗攻击的症状

网络遭遇ARP欺骗攻击的症状（共5篇）

网络遭遇ARP欺骗攻击的症状 篇1

一上班，就有报告说Email没办法用的，过去一看，是台通过Wi-Fi上网的笔记本，现象是打开Web登录界面速度奇慢无比，因为手头还有别的事情，所以直接打开OE添加了个帐号，说先这样用吧，我那边去找找原因，

接下来就开始有三三两两的说网络不正常的，包括Web浏览、股票行情、视频直播，都出现问题，这下麻烦大了。在自己机器上开ping，外部网站、DNS，都不正常，从30ms到丢包，不规律重复出现。

查看已经打开的页面源文件，第一行有一个iframe，访问一个直接数字ip开头的vip.htm页面，但是那个页面打不开，这个应该就是所有网站打开缓慢的原因之一。

打电话给ISP，让他们反向ping回来，过了几分钟，反馈说一切正常，维持在1-2ms之间，ISP嫌疑排除，继续。

询问ISP是否做广告推送，确认没有。

带笔记本到机房，直接接到ForitGate上，一切正常，故障定位在下层交换机。

怀疑arp欺骗(已经碰到过n次了)，笔记本看一下网关，到别的地方看一下，果然不同，确定故障，

到FortiGate的dhcp log里面查找那个问题mac，居然没有，想不通。

先群发bqq消息，通知有问题的人下载antiARP安装，继续查。

找一台有问题的机器，做全c段ip scan，然后arp –a，看到那个问题机器的mac对应的ip。

问题ipd$，出现登录窗口，看到问题机器名，找到。

将问题机器断网，杀毒，杀木马，搞定。

整个流程是这样：问题机器中木马，开始arp欺骗，其他机器收到arp广播，认为问题机器是网关，于是走这条路，问题机器将http请求开头加上那个iframe，目的是为了流量或者广告或者再传播。

总结一下

现在基础网络，稳定性还是可以的，出现大面积问题，首先怀疑arp欺骗。有条件的，做双向ip-mac绑定，可以解决大部分此类问题。无条件的，建立机器-mac对应表，出现问题之后可以非常迅速的找到问题机器。尽量在每台机器上装杀毒软件和杀木马软件，可以减少不少麻烦。

网络遭遇ARP欺骗攻击的症状 篇2

关键词：ARP协议,ARP欺骗,判定,防范

0前言

近期,ARP欺骗攻击反复袭击,致使因特网用户网络经常断线,上网时出现网络时断时续的现象,甚至长时间无法上网,严重影响了正常网络用户的学习、工作和生活,也给网络管理带来了极大的压力和困扰。而且随着ARP攻击的不断升级,目前一些局域网内发现的“ARP欺骗攻击”系列病毒已经有了几十个变种,因此有效地防范ARP欺骗攻击已成为了保证网络畅通的必要条件。

1 ARP协议概述

1.1 什么是ARP协议

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

1.2 ARP协议的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP高速缓存(ARP Cache),里面存放本机目前知道的IP地址到MA地址的映射表。在Windows操作系统的命令行窗口输入"arp-a"命令可查看本机当前的ARP缓存表,ARP缓存表保存的就是IP地址与MAC地址的对应关系,如图1所示。

下面我们以主机A(192.168.1.1)向本局域网内的主机B(192.168.1.2)发送数据为例来说明ARP协议的工作原理(如图2)。

当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.2的MAC地址是“bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。A和B还同时都更新了自己的ARP缓存表(因为A在询问的时候把自己的IP和MAC地址一起告诉了B),下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制(即设置了生存时间TTL),在一段时间内(一般15到20分钟)如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

2 ARP欺骗攻击的实现过程

2.1 ARP协议的缺陷

ARP协议是建立在信任局域网内所有节点基础上的,它高效,但却存在着不可忽视的安全漏洞。在基于原始的TCP/IP实现中,并不存在对报文信息的真实性校验,ARP报文也不例外,所以无法识别出伪造的ARP报文;它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是不是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文,从而影响网内节点的通信,甚至可以做“中间人”,实施信息的窃取。

2.2 ARP欺骗攻击

ARP欺骗就是指通过伪造假的ARP应答报文,以一个比ARP缓存失效短的时间间隔不停地发送,从而修改目标的ARP缓存表,使得目标在进行IP与MAC的转换时由于先查缓存表而得到一个被欺骗的MAC地址,从而影响报文投向正确的目标物理地址,同时也影响了报文在网络中的传输和被接收情况。

ARP欺骗攻击最早用于盗取密码之用,网内中毒电脑可以伪装成路由器,盗取用户的密码,后来发展成内藏于软件,扰乱其他局域网用户正常的网络通信。

下面我们简要阐述ARP欺骗的原理:

第一步:假设这样一个网络,一个交换机连接了3台机器,依次是计算机A,B,C

A的地址为:IP:192.168.1.1 MAC:AA-AA-AA-AA-AA-AA

B的地址为:IP:192.168.1.2 MAC:BB-BB-BB-BB-BB-BB

C的地址为:IP:192.168.1.3 MAC:CC-CC-CC-CC-CC-CC

第二步:正常情况下,A和C进行通信,在A计算机上运行ARP-A查询ARP缓存表应该出现如下信息:

Interface:192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。

B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.1.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.1.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD MAC地址。

第四步:欺骗完毕我们在A计算机上运行ARP-A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

Interface:192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

此时在主机A上Ping 192.168.1.3,结果当然不能Ping通C,那么A和C也就表现为不能通信了。如果在第三步中B向A发送的伪造ARP应答,MAC地址是BB-BB-BB-BB-BB-BB,那么A发往C的数据就会错误地发送到B,此时,B就可以窃取C的数据。这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让网络上的计算机发来的数据无法发送到正常网关,无法正常上网,造成这些计算机无法访问外网。而且局域网中所有机器的数据,却都可能流经它,被它窃取。

3 ARP欺骗攻击的判定

ARP欺骗攻击存在时,会出现的现象:网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等。如果用户发现网络有这样的一些状况,可以通过以下步骤进行ARP欺骗行为的判定。

(1)检查本地计算机上的ARP缓存列表

点击“开始”菜单,选择“运行”,然后输入“CMD”,点击“确定”按钮,在命令提示符窗口中输入“arp-a”。ARP缓存列表中网关IP地址所对应的MAC地址与真正的网关MAC地址不符,一般显示为攻击者本身的MAC地址。

(2)监听数据报

当有ARP攻击的时候,攻击源一般会向本网段内的所有主机发送ARP广播报文。因此可以利用一些网络协议分析工具,如Sniffer、Ethereal、OmniPeek等进行抓包,如果发现有大量的ARP请求报文从某一台机器发出,那么这台机器极有可能就是攻击源。

(3)查看网关ARP缓存

ARP攻击时最主要的攻击对象就是网关。因此可以查看作为网络中网关的路由器或者三层交换机上的ARP缓存列表,如果有很多个IP地址都指向同一个MAC地址,那么就说明存在ARP欺骗攻击,这个MAC地址对应的主机就是ARP攻击源。

(4)检查计算机是否有“ARP欺骗攻击”木马进程

同时按住键盘上的“Ctrl+Shift+Delete”键,选择“任务管理器”,点选“进程”标签,察看其中是否有一个名为“MIR0.dat”的进程。如果有则说明已经中毒(多数ARP欺骗木马的名称都是这个,但也有一些其他的,请仔细辨别),如图3。

(5)运行tracert–d命令。如果第一跳显示的不是网关而是其他的IP地址,那么第一跳中显示的IP即为中了ARP病毒计算机的IP地址。

4 ARP欺骗攻击的防范策略

由于ARP欺骗攻击主要利用的是ARP协议自身的安全漏洞,因此没有彻底的方法来防御ARP欺骗攻击。但ARP欺骗攻击也存在一些局限性,如:计算机arp表中的记录一段时间后就会自动刷新,当时间一到或者正确的网关发出正确的信息之时,受欺骗的计算机就能得到正确的信息,待到ARP病毒再次攻击。所以,我们可以通过一些安全策略来提高网络的安全性,使欺骗攻击对网络正常运行的影响最小化。通常我们可以使用下面的一些方法来积极防范和解决ARP欺骗攻击。

4.1 已经受到ARP欺骗攻击的计算机临时上网解决方法

第一步,首先进入命令行模式。然后运行arp–a命令,该命令是查看当前arp表,可以确认网关IP地址和对应的MAC地址是否与已知的网关的IP地址和MAC地址一致。如果不一至就说明该主机已被欺骗,会造成用户无法上网。而被欺骗的电脑可能会出现多个IP对应同样的MAC,如图4所示,可以看出192.168.1.1地址和192.168.1.252地址对应的MAC地址都是00-0f-3d-83-74-28,很显然,这就是arp欺骗造成的。这个时候记住要记下那个IP对应的错误MAC地址,这个地址很可能就是中了木马的电脑,以方便接下来的查杀。

第二步,确认之后,可以输入arp-d命令,以删除当前计算机的arp表,方便重新建立arp表。

第三步,接下来可以绑定正确的arp网关。输入arp-s***.***.***.***(网关IP)**-**-**-**-**-**(网关MAC)。

第四步,再用arp-a查看,这时,类型变为静态(static),就不会再受攻击影响了。

4.2 预防ARP欺骗攻击

预防ARP欺骗攻击,减小ARP病毒对网络造成的影响,应注意以下几个方面:

(1)安全上网意识。用户要增强网络安全意识,不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站;不要随便打开不明来历的电子邮件,尤其是邮件附件;不要随便共享文件和文件夹,即使要共享,也得设置好权限,一般指定特定账号或特定机器才能访问,另外不建议设置可写或可控制,以免个人计算机受到木马病毒的侵入给网络的安全带来隐患。

(2)软件防护。及时下载和更新系统补丁程序,安装使用防病毒软件(如金山毒霸、瑞星等)和网络防火墙,并及时更新病毒库。网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡来自网络的攻击和病毒的入侵,防范ARP协议欺骗。安装常见的防范ARP欺骗攻击的工具软件。针对ARP欺骗攻击出现了一些可以保护客户端的网关MAC地址不被修改的工具软件,并且报警当前是哪个MAC地址在攻击网络。如Antiarp,WinArpAttacker,OmniPeek等网络协议分析软件。

(3)采用静态绑定方法。即用arp-s命令在各主机上绑定网关的IP和MAC地址,同时在网关上绑定各主机的IP和MAC地址。如果是Windows系统主机可编写一个名为rarp。Bat的批处理文件,内容如下:

实际操作时,文件中的将网关IP地址和MAC地址应改为用户所在的网关IP地址和MAC地址。

若想让系统每次启动时都能自动的加载静态ARP,则可将这个批处理软件拖到“windows--开始--程序--启动”中。采用这样双向绑定的方式是比较保险的,但使用静态ARP缓存增大了网络维护量,在较大或经常移动主机的网络中这样做工作量大,不易维护。而且,使用静态ARP缓存只能防止ARP欺骗,对IP地址冲突、Flood攻击仍然没有办法阻止。

(4)使用具有ARP防护功能的网络设备。近年来,基于病毒的ARP攻击愈演愈烈,各网络设备厂家也积极应对ARP欺骗攻击的特点提供了相应的解决策略。如在锐捷S21系列二层交换机上可以通过开启Anti-ARP-Spoofing功能,防止同一网段内针对用户的ARP欺骗攻击;神州数码网络公司从客户端程序、接入交换机、汇聚交换机,一直到网关设备,都研发了ARP攻击防护功能,客户可根据自己网络的特点,灵活选取相关网络设备和方案。其他厂家的设备也有类似功能。

(5)可采用Super VLAN或PVLAN技术,所谓Super VLAN,也叫VLAN聚合,这种技术在同一个子网中化出多个Sub VLAN,而将整个IP子网指定为一个VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默认网关IP地址,不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口化为一个Sub VLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。

PVLAN即私有VLAN(Private VLAN),PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个(下层)VLAN,则实现了所有端口的隔离。

5 结束语

由于ARP协议存在安全方面的固有缺陷,所以我们只有清楚地了解该协议的工作原理和其漏洞之后,我们才能够有效地检测和防御相应的欺骗攻击。本文通过分析ARP协议的工作原理,探讨了基于ARP协议漏洞的欺骗攻击的实现过程,提出了多种可行的安全防御策略。要全面而有效地防范ARP欺骗攻击,一般需要多种方案配合使用。如果要从根本上解决这一问题,最好的方法将是重新设计一种安全的地址解析协议。IPV6中就采用了更加安全的方式(通过ND(Neighbor Discovery邻居发现)协议取代了ARP协议)来解决这一问题。

参考文献

[1]Angus Mackinnon,Tony MoGregor,and James Breen.Overview of Internet Protocol Security.Technical Report94-10.Monash University.Australia.October27.1994.

[2]谢希仁.计算机网络[M].电子工业出版社.2008.

[3]杨玮莹,局域网中的ARP欺骗[J].黑龙江科技信息.2008.

[4]田维珍,窦为伟,庞雄昌.ARP欺骗攻击防控方法研究[J].计算机与信息技术.2010.

[5]http://publish.it168.com/2004/0316/200403160005101.shtml.

[6]http://network.51cto.com/art/200509/3644.htm.

网络遭遇ARP欺骗攻击的症状 篇3

关键词:ARP协议;ARP地址;欺骗

ARP,全称Address Resolution Protocol,它是“地址解析协议的缩写。MAC地址是固化在网卡上串行EEPROM中的物理地址,是由48比特长(6字节),16进制的数字组成,0~23位是由厂家自己分配,24~47位叫做组织唯一标志符,是识别LAN(局域网)节点的标识。

一、ARP地址欺骗攻击者的定位

利用ARP协议的漏洞,攻击者对整个局域网的安全造成威胁,那么,怎样才能快速检测并定位出局域网中的哪些机器在进行ARP地址欺骗攻击呢?面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实,我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其他电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,再根据网络正常时候的IP—MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出攻击者了。

下面再介绍几种不同的检测ARP地址欺骗攻击的方法。

1.命令行法。

在CMD命令提示窗口中利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候,攻击者会向全网不停地发送ARP欺骗广播,这时局域网中的其他电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成攻击者本身的MAC地址,此时,我们只要在其受影响的电脑中使用“ARP -a”命令查询一下当前网关的MAC地址,就可知道攻击者的MAC地址。我们输入ARP -a,命令后的返回信息如下:

Internet Address 00-50-56-e6-49-56 Physical Address Type 192.168.0. dynamic.

由于当前电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是攻击者的MAC地址。这时,再根据网络正常时,全网的IP-MAC地址对照表,查找攻击者的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP-MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。

2.工具软件法。

现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙)。利用此类软件,我们可以轻松地找到ARP攻击者的MAC地址。然后,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出攻击者。

3.Sniffer抓包嗅探法 。

当局域网中有ARP地址欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好地检测出网络的异常举动,利用Ethereal之类的抓包工具找出大量发送ARP广播包的机器,这基本上就可以当作攻击者进行处理。

以上3种方法有时需要结合使用,互相印证,这样可以快速、准确地将ARP地址欺骗攻击者找出来。找到攻击者后,即可利用杀毒软件或手动将攻击程序删除。

二、ARP地址欺骗攻击的防御及其解决办法

1.使用静态的IP-MAC地址解析。

针对ARP地址欺骗攻击的网络特性,我们可以使用静态的IP-MAC地址解析,主机的IP-MAC地址映射表由手工维护,输人后不再动态更新。即便网络中有ARP攻击者在发送欺骗的ARP数据包,其他电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的接收者。这种防御方法中常用的是“双向绑定法”。双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器(或交换机)中,把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。另一端是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC机IP-MAC绑定。除此之外,很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品,如:华为的FIX AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,这是避免IP地址假冒攻击的一种方式。

2.使用ARP服务器。

通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播,但必须确保这台ARP服务器不被黑客攻击。

3.使用其他交换方式。

现在,基于IP地址变换进行路由的第三层交换机逐渐被采用,第三层交换技术用的是IP路由交换协议。以往的MAC地址和ARP协议已经不起作用,因而ARP欺骗攻击在这种交换环境下不起作用。该方法的缺点是这种交换机价格普遍比较昂贵。

出现ARP地址欺骗攻击的解决办法如下:

第一步:记住网关的正确IP地址和MAC地址,为以后的IP-MAC绑定做准备,也方便以后查找病毒主机。网关MAC的获取,一是可以向单位的网管人员询问;二是在机器正常上网时进行查询,记下网關IP地址和MAC地址,方法如下:打开“命令提示符”窗口,在提示符后键入:ipconfig/al(l用此命令先查询网关的IP地址),然后再键入:arp-a(用来显示ARP高速缓存中所有项目),如果并未列出网关IP地址与MAC地址的对应项,那就先ping一下网关IP地址,再显示ARP高速缓存内容就能看到网关的IP-MAC对应项了。第二步:发现网关MAC地址有冲突后,可先用arp-d命令先清除ARP高速缓存的内容,然后再用arp-a命令查看网关IP-MAC项目是否正确。如果病毒不断攻击网关,那就要静态绑定网关的IP-MAC。例如:网关IP地址为10.1.4.254,MAC地址为00-08-20-8b-68-0a,先用arp-d命令清除ARP高速缓存的内容,再在命令提示符后键入:arp-s10.1.4.254 00-08-20-8b-68-0a,这样网关IP地址和MAC地址就被静态绑定了。如果用户安装了瑞星防火墙,也可以通过防火墙提供的“设置-详细设置-ARP静态规则”中进行静态绑定,或是在文章最开始的防火墙提示中选择正确的MAC地址后点击“添加到ARP静态表中”。第三步:如果病毒不断攻击网关致使网关的IP-MAC的静态绑定都无法操作,那就应该先找到病毒主机,使其断网杀毒,才能保证网段内其他机器正常上网操作。

三、结束语

由于ARP协议制定时间比较早,当时对这些协议的缺陷考虑不周,使得ARP攻击的破坏性比较大,但其也有局限性,比如ARP攻击只局限在本地网络环境中。最根本的解决措施就是使用IPv6协议,因为在IPv6协议定义了邻机发现协议(NDP),把ARP纳人NDP并运行于因特网控制报文协议(ICMP)上,使ARP更具有一般性,包括更多的内容。

参考文献:

[1]专家解读APR病毒,http : //security. ccidnet. com/.

[2]马军,王岩.ARP协议攻击及其解决方案, 2006.

网络遭遇ARP欺骗攻击的症状 篇4

第一种ARP 欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行地址的更换，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，从而造成计算机访问 精心构建的网络陷阱。

第二种ARP 欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的计算机向假网关发数据，而不是通过正常的路由器途径上网。在用户的角度看来，就是上不了网了以及网络掉线了，这样会给用户造成系统网关出错的假象。

如何利用“ARP 欺骗”入侵

要进行ARP 欺骗入侵只需要一个前提条件，就是进行入侵的计算机和被攻击的计算机要在一个局域网的网段中。由于ARP 欺骗是通过数据包进行欺骗的，所以在进行操作以前要在本地计算机安装一个驱动程序WinPcap(图1)。

打开系统的命令提示符命令，并切换到利用工具所在的目录，接着执行利用工具命令：arpspoof.exe /n，然后会生成一个文本文件，

现在打开这个文本文件后按照自己的需求进行编辑，比如可以将“Hack by cooldiyer”改为“该系统已经被我成功入侵!”(图2)。

在命令提示符窗口输入命令：ArpSpoof 192.168.1.6 192.168.1.3 80 2 1 /r job.txt，其中192.168.1.6表示入侵计算机的IP地址，192.168.1.3表示被侵计算机的IP地址，80表示用于欺骗的远程端口。

后面的相关参数设置，用户应该根据自己网络网关的实际类型(例如有些网关地址为192.168.0.1有些则是192.168.110.1)情况进行设置。当准确键入以上命令后回车，程序就可以进行ARP 欺骗攻击(图3)。当其他用户访问这台服务器的80端口后，从浏览器看到的就是我们文本文件中的内容。

网络遭遇ARP欺骗攻击的症状 篇5

人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理账户和相关密码,在网络上安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备CPU利用率过高、二层生成树环路直至网络瘫痪。

目前这类攻击和欺骗工具已经非常成熟和易用,而目前企业在部署这方面的防范还存在很多不足,有很多工作要做。

下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署Dynamic ARP Inspection(DAI)技术,从而实现防止在交换环境中实施“中间人”攻击、地址欺骗等,更具意义的是通过Dynamic ARP Inspection(DAI)技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口;防止IP地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。

1 MITM(Man-In-The-Middle)攻击原理

按照ARP协议的设计,为了减少网络上过多的ARP数据通信,一个主机,即使收到的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了“ARP欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP应答包,让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

这里举个例子,假定同一个局域网内,有3台主机通过交换机相连,通过ipconfig/all查看配置如下:

A主机:IP地址为192.168.0.1,MAC地址为01:01:0101:01:01;

B主机:IP地址为192.168.0.2,MAC地址为02:02:0202:02:02;

C主机:IP地址为192.168.0.3,MAC地址为03:03:0303:03:03。

B主机对A和C进行欺骗的前奏就是发送假的ARP应答包,如图1所示。在收到B主机发来的ARP应答后,A主机应知道。

到192.168.0.3的数据包应该发到MAC地址为020202020202的主机;C主机也知道:到192.168.0.1的数据包应该发到MAC地址为020202020202的主机。这样,A和C都认为对方的MAC地址是020202020202,实际上这就是B主机所需得到的结果。当然,因为ARP缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新,ARP映射项会自动去除。所以,B还有一个“任务”,那就是一直连续不断地向A和C发送这种虚假的ARP响应包,让其ARP缓存中一直保持被毒害的映射表项。

现在,如果A和C要进行通信,实际上彼此发送的数据包都会先到达B主机,这时,如果B不做进一步处理,A和C之间的通信就无法正常建立,B也就达不到“嗅探”通信内容的目的,因此,B要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的MAC和源MAC地址进行替换。如此一来,在A和C看来,彼此发送的数据包都是直接到达对方的,但在B来看,自己担当的就是“第三者”的角色。这种嗅探方法,也被称作“Man-In-The-Middle”的方法(如图2所示)。

2 攻击实例

目前利用ARP原理编制的工具十分简单易用,这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。下面是测试时利用工具捕获的TELNET过程,捕获内容包含了TELNET密码和全部所传的内容:

不仅仅是以上特定应用的数据,利用中间人攻击者可将监控到数据直接发给SNIFFER等嗅探器,这样就可以监控所有被欺骗用户的数据。

还有些人利用ARP原理开发出网管工具,随时切断指定用户的连接。这些工具流传到捣乱者手里极易使网络变得不稳定,通常这些故障很难排查(图3)。

3 防范方法

思科Dynamic ARP Inspection(DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI以DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。

4 配置示例

IOS全局命令:

本文中的信息创建于一个特定实验室环境中的设备。本文档中使用的所有的设备开始使用一个缺省(默认)配置。

摘要：本文主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署Dynamic ARP Inspection(DAI)技术,从而实现防止在交换环境中实施“中间人”攻击、地址欺骗等,更具意义的是通过Dynamic ARP Inspection(DAI)技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口;防止IP地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。

关键词：ARP欺骗,MITM攻击,防范

参考文献

[1]王倩.高校机房ARP病毒的攻击与防范[J].电子制作.2013.

[2]杨建平.SSL中间人攻击对策研究[J].电脑知识与技术.2012.

[3]王京智,洪观甫.IP伪装技术分析[J].信息安全与技术.2012.

[4]孙莉.浅谈构建中小规模无线网络解决方案[J]科技经济市场.2011.

[5]陶松.试探网络攻击常用手段[J].电脑编程技巧与维护.2010.

[6]曹振丽,张海峰,井闽,马涛,赵军伟.计算机网络安全及其防范技术[J].中国教育信息化.2008.

[7]赵磊.浅谈网络安全中“蜜罐”技术的应用[J].科技咨询导报.2006.