分析ARP攻擊與欺騙

如上圖所示，路由器的IP地址為：192.168.1.1，也是兩臺主機(jī)A、B的網(wǎng)關(guān)；交換機(jī)只需開啟端口，不做任何設(shè)置；主機(jī)A作為攻擊者，橋接到虛擬機(jī)windowsXP，IP地址為：192.168.1.2，安裝網(wǎng)絡(luò)執(zhí)法官軟件；主機(jī)B作為被攻擊者，橋接到虛擬機(jī)Windows Server 2003，IP地址為：192.168.1.3，安裝arp防火墻，然后再安裝sniffer抓包工具，查看在開啟arp防火墻之前，遭到攻擊時(shí)抓到的包和開啟防火墻之后的包有什么不同。

具體步驟：

在路由器的F0/0接口配置IP地址。如圖所示：

開啟交換機(jī)所使用的接口。如圖所示：

主機(jī)A已經(jīng)橋接到一臺虛擬機(jī)XP，配置一個(gè)同網(wǎng)段的IP地址：192.168.1.2，網(wǎng)關(guān)指向路由器。如圖所示：

主機(jī)B已經(jīng)橋接到一臺虛擬機(jī)Server 2003，配置一個(gè)同網(wǎng)段的IP地址：192.168.1.3，網(wǎng)關(guān)指向路由器。如圖所示：

在XP上安裝網(wǎng)絡(luò)執(zhí)法官軟件。安裝成功后，雙擊打開，會彈出如下所示的窗口，選擇監(jiān)控的IP地址段。在選擇之前，此軟件會自動(dòng)掃描到與本機(jī)同網(wǎng)段的IP地址段，只需點(diǎn)擊“添加/修改”。如果不想監(jiān)控和自己同網(wǎng)段的IP地址段，可以自行修改，在點(diǎn)擊“添加”。如圖所示：

上圖操作完成之后，軟件將自動(dòng)掃描指定IP網(wǎng)段范圍內(nèi)的主機(jī)，并以列表的形式顯示這些主機(jī)的MAC地址、IP地址、主機(jī)名稱、主機(jī)狀態(tài)等，如圖所示：

右擊需要管理的主機(jī)，在彈出的快捷菜單中選擇“手工管理”，彈出如下圖所示的“手工管理”對話框。

對主機(jī)的管理方式有三種，分別如下：

IP沖突

如果選擇此項(xiàng)，被控主機(jī)屏幕的右下角將會提示IP沖突。

禁止與關(guān)鍵主機(jī)組進(jìn)行TCP/IP連接

如果選擇此項(xiàng)，被控主機(jī)將無法訪問關(guān)鍵主機(jī)組中的成員

禁止與所有主機(jī)進(jìn)行TCP/IP連接

如果選擇此項(xiàng)，被控主機(jī)將和所有主機(jī)失去連接。

點(diǎn)擊上圖中的“設(shè)置”按鈕，在彈出的對話框中填寫192.168.1.1（網(wǎng)關(guān)的IP地址），如下圖所示，然后點(diǎn)擊“全部保存”按鈕。

如圖所示，選擇“第1組”之后任意給定一個(gè)管理頻率，點(diǎn)擊“開始”摁扭。

此時(shí)在被控主機(jī)的桌面右下鍵會一直顯示IP地址沖突的警告信息。如圖所示：

然后再使用“ping”命令去訪問網(wǎng)關(guān)時(shí)，就會出現(xiàn)如下圖所示的結(jié)果。而且，使用“arp -a”命令時(shí)，會看到網(wǎng)關(guān)的MAC地址是虛假的。

但是和其他主機(jī)還能通信。如圖所示：

處理ARP故障

解決ARP故障的方法有三種，分別如下：

第一種解決辦法

處理ARP欺騙攻擊最一般的方法就是IP-MAC綁定，如下圖所示，可以在客戶端主機(jī)和網(wǎng)關(guān)路由器上雙向綁定IP-MAC來避免ARP欺騙導(dǎo)致無法上網(wǎng)的問題。

1）在主機(jī)上綁定網(wǎng)關(guān)路由器的IP和MAC，可以通過之前學(xué)習(xí)的“arp -s”命令實(shí)現(xiàn)。

2)在網(wǎng)關(guān)路由器上綁定主機(jī)的IP和MAC，可以通過如下命令實(shí)現(xiàn)。

如果要查看配置結(jié)果，可以通過命令“show ip arp”。

3）這時(shí)網(wǎng)絡(luò)中如果有ARP病毒發(fā)作，或者用戶非法使用類似網(wǎng)絡(luò)執(zhí)法官等軟件便無法欺騙局域網(wǎng)中的主機(jī)了。另外，大部分ARP病毒或類似的欺騙軟件都使用虛假的IP和MAC地址發(fā)送欺騙報(bào)文，所以，可在交換機(jī)上配置IP-MAC-Port的綁定，使交換機(jī)丟棄這些欺騙報(bào)文，從而防止其在全網(wǎng)泛濫。如下所示：

Switch（config）# arp ?192.168.1.1 ?cc01.1370.0000 ?arpa ?f0/0

Switch（config）# arp ?192.168.1.2 ?000c.29f9.323a ?arpa ?f0/1

Switch（config）# arp ?192.168.1.3 ?000c.294c.3ca0 ?arpa ?f0/2

第二種解決辦法

使用arp防火墻，自動(dòng)抵御arp欺騙和arp攻擊

在被控主機(jī)（Server 2003）上安裝arp防火墻并啟用，在被控主機(jī)桌面的右下角會立刻彈出arp攻擊并攔截的警告信息。如圖所示：

再使用“ping”命令訪問網(wǎng)關(guān)時(shí)，結(jié)果如下所示：

使用命令“arp -a”再次查看網(wǎng)關(guān)的MAC地址，能發(fā)現(xiàn)現(xiàn)在的網(wǎng)關(guān)MAC地址已經(jīng)是真實(shí)的。

ARP防火墻原理分析

可以看出主動(dòng)防御有三種模式：

停用：關(guān)閉主動(dòng)防御功能

警戒：當(dāng)受到攻擊時(shí)啟用主動(dòng)防御，平時(shí)處于關(guān)閉狀態(tài)

始終啟用：一直處于主動(dòng)防御開啟狀態(tài)

名詞解釋

主動(dòng)防御：ARP防火墻特有的功能，即定期向所有主機(jī)（同一網(wǎng)段內(nèi)）發(fā)送ARP請求。默認(rèn)情況下，該項(xiàng)處于警戒狀態(tài)，速度為8個(gè)/秒。

第三種解決辦法

在寬帶路由器上綁定ARP

注意：使用DHCP服務(wù)器分配地址時(shí)，可能造成同一臺主機(jī)不同時(shí)間使用不同的IP地址。如果配置了靜態(tài)ARP綁定，將造成該主機(jī)無法訪問網(wǎng)絡(luò)。

使用Sniffer Pro捕獲數(shù)據(jù)包

注意：安裝sniffer抓包工具的時(shí)候有如圖所示幾個(gè)地方需要注意，其他地方可以隨便填寫：

安裝并啟動(dòng)sniffer后，點(diǎn)擊下圖中標(biāo)有紅框的按鈕，開始捕捉數(shù)據(jù)包。

上一步操作完成之后，會出現(xiàn)如下圖所示的界面。當(dāng)標(biāo)有紅框的按鈕可用時(shí)，表示已捕獲到數(shù)據(jù)，單擊標(biāo)有紅框的按鈕。

上一操作完成后，會出現(xiàn)如下圖所示的界面，然后再點(diǎn)擊標(biāo)有紅框的按鈕，即可查看到捕獲到的數(shù)據(jù)包。

通過觀察發(fā)現(xiàn)，大部分ARP數(shù)據(jù)包來自MAC地址為000C29F9323A的主機(jī)。選中一個(gè)發(fā)送給本機(jī)的報(bào)文，查看數(shù)據(jù)報(bào)文的具體內(nèi)容，則該數(shù)據(jù)報(bào)文屬于ARP的回應(yīng)包（ARP Reply），其內(nèi)容是為了告訴本機(jī)192.168.1.1（網(wǎng)關(guān)）的IP地址對應(yīng)的MAC地址為0CDE0E676B65，這個(gè)地址顯然和真實(shí)的網(wǎng)關(guān)MAC（CC00104C0000）不同。因此，如果本機(jī)將這個(gè)地址存入ARP緩存，自然無法和網(wǎng)關(guān)通信。

攻擊主機(jī)除了發(fā)送上述攻擊報(bào)文外，還給該網(wǎng)段的所有主機(jī)發(fā)送ARP請求報(bào)文（ARP Request），這些數(shù)據(jù)報(bào)文的目標(biāo)MAC地址全為“0”，請求對方回應(yīng)。如圖所示：

本機(jī)（192.168.1.3）回應(yīng)了攻擊主機(jī)（192.168.1.2）的請求，將自己的MAC地址發(fā)送給攻擊主機(jī)（192.168.1.2）。如圖所示：

仔細(xì)觀察還可以發(fā)現(xiàn)，運(yùn)行網(wǎng)絡(luò)執(zhí)法官軟件的主機(jī)會定期給所有在線主機(jī)發(fā)送ARP請求，以確定這些主機(jī)是否在線，如果捕獲數(shù)據(jù)報(bào)文的時(shí)間再長一些，還會發(fā)現(xiàn)軟件大概沒三分鐘就會進(jìn)行一次全網(wǎng)的掃描，即給192.168.1.1-192.168.1.254的所有主機(jī)發(fā)送ARP請求。

ARP攻擊的原理

攻擊主機(jī)制造假的ARP應(yīng)答，并發(fā)送給局域網(wǎng)中除被攻擊主機(jī)之外的所有主機(jī)，ARP應(yīng)答中包含被攻擊主機(jī)的IP地址和虛假的MAC地址。

攻擊主機(jī)制造假的ARP應(yīng)道，并發(fā)送給被攻擊主機(jī)，ARP應(yīng)答中包含除被攻擊主機(jī)之外的所有主機(jī)的IP地址和虛假的MAC地址。

只要執(zhí)行上述ARP攻擊行為中的任一種，就可以實(shí)現(xiàn)被攻擊主機(jī)和其他主機(jī)無法通信。

某些ARP病毒會向局域網(wǎng)中的所有主機(jī)發(fā)送ARP應(yīng)答，其中包含網(wǎng)關(guān)的IP地址和虛假的MAC地址。局域網(wǎng)中的主機(jī)收到ARP應(yīng)答更新ARP表后，就無法和網(wǎng)關(guān)正常通信，從而導(dǎo)致無法訪問互聯(lián)網(wǎng)。

ARP欺騙的原理

一般情況下，ARP欺騙并不是使網(wǎng)絡(luò)無法正常通信，而是通過冒充網(wǎng)關(guān)或其他主機(jī)使到達(dá)網(wǎng)關(guān)或主機(jī)的流量通過攻擊主機(jī)進(jìn)行轉(zhuǎn)發(fā)。通過轉(zhuǎn)發(fā)流量可以對流量進(jìn)行控制和查看，從而控制流量或得到機(jī)密信息。

ARP欺騙發(fā)送ARP應(yīng)答給局域網(wǎng)中其他主機(jī)，其中包含網(wǎng)關(guān)的IP地址和進(jìn)行ARP欺騙的主機(jī)MAC地址；并且也發(fā)送ARP應(yīng)答給網(wǎng)關(guān)，其中包含局域網(wǎng)中所有主機(jī)的IP地址和進(jìn)行ARP欺騙的主機(jī)MAC地址（有的軟件只發(fā)送ARP應(yīng)答給局域網(wǎng)中的其他主機(jī)，并不發(fā)送ARP應(yīng)答欺騙網(wǎng)關(guān)）。當(dāng)局域網(wǎng)中主機(jī)和網(wǎng)關(guān)收到ARP應(yīng)答更新ARP表后，主機(jī)和網(wǎng)關(guān)之間的流量就需要通過攻擊主機(jī)進(jìn)行轉(zhuǎn)發(fā)。

本文出自 “李世龍” 博客，謝絕轉(zhuǎn)載！