ARP欺骗攻击的实现与防范

ARP欺骗攻击的实现与防范ARP协议简介•ARP，全称AddressResolutionProtocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。•IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。ARP报头结构•硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为1；•协议类型字段指明了发送方提供的高层协议类型，IP为0800（16进制）；•硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用；•操作字段用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；•发送方的硬件地址（0-3字节）：源主机硬件地址的前3个字节；•发送方的硬件地址（4-5字节）：源主机硬件地址的后3个字节；•发送方IP（0-1字节）：源主机硬件地址的前2个字节；•发送方IP（2-3字节）：源主机硬件地址的后2个字节；•目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节；•目的硬件地址（2-5字节）：目的主机硬件地址的后4个字节；•目的IP（0-3字节）：目的主机的IP地址。ARP的工作原理•首先，每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。•当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。•网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；•源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。ARP欺骗•为什么ARP容易被欺骗？•局域网内主机数据包的传送完成不是依靠IP地址，而是依靠ARP找到与IP地址对应的MAC地址实现的。•ARP欺骗的根本原因就是计算机维持一个ARP告诉缓存表。ARP协议是不连接不可靠的协议，ARP表随计算机不断发出请求和收到相应而更新的，因此，ARP表中数据是不会经过确认的，从而引起ARP欺骗攻击。ARP欺骗攻击分类•ARP攻击类型：–ARP扫描–ARP中间人攻击–ARP断网攻击。ARP欺骗攻击原理--ARP扫描攻击•ARP扫描（ARP请求风暴）用于查找网络中存活的主机，为后续攻击做准备。•其原理是：攻击主机向网段中所有机器挨个发起ARP请求，网络中的主机收到此ARP请求后，会对攻击主机进行响应。•通过ARP扫描，网络中的主机在攻击者面前将会暴露无疑，同时网络带宽被也会被严重耗费。•ARP欺骗攻击原理--ARP中间人攻击•ARP中间人攻击用于窃取信息。•其原理是：攻击主机向被攻击主机和网关同时主动发起ARP回应，告诉对方自己是它的目标MAC，从而使被欺骗主机和网关发送给对方的数据都在攻击主机处进行一个跳转，进而完成信息窃取的目的。•ARP中间人攻击，能够导致被攻击主机的信息泄密，同时也会耗费网络带宽。ARP欺骗攻击原理--ARP断网攻击•ARP断网攻击能使网络通讯中断，危害性最为严重。•其原理是：攻击主机向被攻击发起主动发起ARP回应，告诉对方一个错误的网关MAC，从而让对方的数据发往错误甚至是不存在的MAC地址处，从而断网。如果同时对网络中的所有主机进行攻击，则会导致整个局域网全部断网。ARP攻击实施工具•网络嗅探器sniffer–捕获目的主机信息–构造欺骗数据包–发起主动攻击•嗅探器的原理ARP攻击实施工具•使用sniffer构造数据包ARP中间人攻击的实现•问题：假设一个网络环境中，网内有三台主机，分别为主机A、B、C。A的地址为：IP：192.168.10.1MAC:AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2MAC:BB-BB-BB-BB-BB-BBC的地址为：IP：192.168.10.3MAC:CC-CC-CC-CC-CC-CC正常情况下A和C之间进行通讯，现在B要监听A和C之间的会话。•实施过程如下：–B向A发送一个自己伪造的ARP应答，这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。–同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。–这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。•注意：一般情况下，ARP欺骗的某一方应该是网关。ARP攻击防范1静态绑定•最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。•命令，arp-s可以实现“arp–sIPMAC地址”。•例如：“arp–s192.168.10.1AA-AA-AA-AA-AA-AA”。•在PC上面通过执行arp-a可以看到相关的提示：•InternetAddressPhysicalAddressType•192.168.10.1AA-AA-AA-AA-AA-AAstatic(静态)ARP攻击防范2使用ARP防护软件•它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。–欣向ARP工具–Antiarp3具有ARP防护功能的路由器实验•目的：•理解ARP协议的工作原理以及特点；•理解ARP攻击的原理；•了解网络协议的非安全性特点；•了解网络攻击的概念以及攻击的危害；•了解网络嗅探器的使用；•掌握ARP攻击的实现过程以及有效的防御措施；•内容：•建立基于交换机的网络环境；•用sniffer捕获网络上站点的信息；•用sniffer构造ARP响应包实施中间人欺骗•观察各主机的ARP变化情况；•用sniffer观察并分析欺骗的过程中各站的信息流量；•注意事项：•攻击主机发送ARP响应的频率不能小于主机中ARP表的更新频率。•攻击主机扮演成网关时，注意观察攻击主机所捕获到的信息，看能不能获得有价值的信息；•观察如何是网络中断？