1 引言

ARP攻擊在各大數(shù)據(jù)中心(IDC中心)泛濫,使得國內(nèi)眾多機房或網(wǎng)絡運營商深惡痛絕。由于其攻擊的特性,它可以導致被攻擊網(wǎng)站或服務器的無法訪問,或者使訪問者訪問其他錯誤網(wǎng)址或接收到錯誤信息,直接危害著企業(yè)的利益。因此,ARP欺騙攻擊嚴重影響了IDC中心的正常運行和信息安全,如何進行防范及清楚ARP病毒已成為網(wǎng)絡管理者迫切需要解決的問題。

2 ARP工作原理

ARP(Address Resolution Protocol)是地址解析協(xié)議,提供了從IP地址到物理地址的映射。即通過已知的網(wǎng)絡層(IP層,也就是相當于OSI的第三層)地址獲得數(shù)據(jù)鏈路層(MAC層,也就是相當于OSI的第二層)的MAC地址。

ARP工作原理:主機A向主機B發(fā)送報文,會首先查詢本地的ARP緩存表,通過B的IP地址找到對應的MAC地址后,就會進行數(shù)據(jù)傳輸。如果未找到,則A會廣播一個 ARP請求報文(此報文中包含主機A的IP地址到物理地址的映射及主機B的IP地址),請求主機B回答其物理地址。網(wǎng)上所有主機包括B都收到該ARP請求,但只有主機B識別自己的IP地址,于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答后,就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)。因此,本地高速緩存的這個ARP表是本地網(wǎng)絡流通的基礎(chǔ),而且這個緩存是動態(tài)的。

3 IDC中常見ARP欺騙攻擊方式

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP地址到MAC地址映射。如果IDC的托管主機受到 ARP 病毒感染或是被黑客控制了,就可能出現(xiàn)了 ARP 欺騙攻擊 。通常,被感染或被控制的主機會向本網(wǎng)段廣播偽造的 ARP 信息,這會導致同網(wǎng)段的其它托管主機或是網(wǎng)關(guān)的 ARP 表出現(xiàn)混亂,會造成這些主機無法進行正常通信,更有甚者則會導致這些主機上的通信被監(jiān)聽或竊取事件的發(fā)生等等問題。

3.1 欺騙攻擊

這是比較常見的攻擊,通過發(fā)送偽造的ARP包來欺騙路由和目標主機,讓目標主機認為這是一個合法的主機。便完成了欺騙.這種欺騙多發(fā)生在同一網(wǎng)段內(nèi),因為路由不會把本網(wǎng)段的包向外轉(zhuǎn)發(fā),當然實現(xiàn)不同網(wǎng)段的攻擊也有方法,便要通過ICMP協(xié)議來告訴路由器重新選擇路由。

(1)相同網(wǎng)段ARP欺騙

此種欺騙攻擊通常會偽造一個ARP_REPLY的響應包發(fā)送給欲欺騙主機,人為指定該數(shù)據(jù)包中的源IP,目標IP,源MAC地址,目標MAC地址。通過此虛假的ARP響應包修改欲欺騙主機的ARP緩存,達到欺騙目的。以圖1為例說明相同網(wǎng)段間ARP欺騙過程。

主機C欲非法入侵主機B,下面是具體的步驟:

①主機C首先研究與主機B正常通信的主機A,發(fā)現(xiàn)主機A漏洞。

②根據(jù)主機A的漏洞,使其暫時停止工作。

③主機C將自己IP地址改為192.168.0.1。

④主機C向主機B發(fā)送一個ARP響應包,其中源IP地址為192.168.0.1,源MAC地址為CC:CC:CC:CC:CC:CC,要求主機B更新ARP緩存中IP地址到MAC地址的映射表.

⑤主機B更新了自己的ARP緩存。

⑥主機C成功入侵主機B。

以上為一個在同網(wǎng)段內(nèi)的ARP欺騙過程。

(2)不同網(wǎng)段ARP欺騙

如主機A與主機C在不同網(wǎng)段,上面的方法則不起作用。以圖2為例說明不同網(wǎng)段間ARP欺騙過程。

在現(xiàn)在的情況下,位于192.168.1網(wǎng)段的主機C如何冒充主機B欺騙主機A呢?顯然用上面的辦法的話,即使欺騙成功,那么由主機C和主機A之間也無法建立telnet會話,因為路由器不會把主機A發(fā)給主機B的包向外轉(zhuǎn)發(fā),路由器會發(fā)現(xiàn)地址在192.168.0.這個網(wǎng)段之內(nèi)。

現(xiàn)在就涉及到另外一種欺騙方式——ICMP重定向。把ARP欺騙和ICMP重定向結(jié)合在一起就可以基本實現(xiàn)跨網(wǎng)段欺騙的目的。

ICMP重定向報文是ICMP控制報文中的一種。在特定的情況下,當路由器檢測到一臺機器使用非優(yōu)化路由的時候,它會向該主機發(fā)送一個ICMP重定向報文,請求主機改變路由。路由器也會把初始數(shù)據(jù)報向它的目的地轉(zhuǎn)發(fā)。我們可以利用ICMP重定向報文達到欺騙的目的。下面是結(jié)合ARP欺騙和ICMP重定向進行攻擊的步驟:

①主機C需將自己發(fā)出的非法IP包的存活時間改成最大。

②尋找主機B的漏洞使其暫時停止工作。

③當主機A找不到原來的192.0.0.2后,將更新自己的ARP對應表。此時,主機C發(fā)送一個原IP地址為192.0.0.2,MAC地址為CC:CC:CC:CC:CC:CC的ARP響應包。

④現(xiàn)在每臺主機都知道了,一個新的MAC地址對應192.0.0.2,一個ARP欺騙完成了,但是,每臺主機都只會在局域網(wǎng)中找這個地址而根本就不會把發(fā)送給192.0.0.2的IP包丟給路由。于是還需要構(gòu)造一個ICMP的重定向廣播。

⑤定制一個ICMP重定向包告訴網(wǎng)絡中的主機, 到192.0.0.2的路由最短路徑不是局域網(wǎng),而是路由,請主機重定向你們的路由路徑,把所有到192.0.0.2的IP包丟給路由。

⑥主機A接受這個合理的ICMP重定向,于是修改自己的路由路徑,把對192.0.0.3的通訊都丟給路由器。

⑦主機C成功入侵主機A。

其實上面的想法只是一種理想話的情況,主機許可接收的ICMP重定向包其實有很多的限制條件,這些條件使ICMP重定向變的非常困難。

(3)ARP欺騙新表現(xiàn)形式

此種欺騙攻擊方式同上一樣,向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包,區(qū)別在于它對HTTP報文的修改。

用戶在瀏覽某些網(wǎng)頁時,網(wǎng)頁中可能會包含一些惡意的代碼,這就是俗稱的“網(wǎng)頁木馬”,此種行為被稱為“掛馬”。主要有以下三種方法插入惡意代碼:

①局域網(wǎng)被ARP欺騙。當網(wǎng)內(nèi)的一臺主機欲訪問網(wǎng)外的WEB服務器時,該主機會將請求發(fā)給負責本網(wǎng)的網(wǎng)關(guān),由網(wǎng)關(guān)到服務器獲得請求頁面再發(fā)給該主機。此時攻擊主機偽裝成網(wǎng)關(guān)將插入惡意代碼的網(wǎng)頁發(fā)給請求主機,對于該局域網(wǎng)內(nèi)的其他主機均可采取此種攻擊方法。

②服務器被ARP欺騙。服務器所處局域網(wǎng)內(nèi),有主機被感染病毒,服務器發(fā)給用戶的網(wǎng)頁在傳輸過程中被插入惡意代碼。

③服務器被攻擊。服務器被入侵或感染病毒,硬盤上網(wǎng)頁文件被修改插入惡意代碼。

3.2 MAC Flooding

MAC Flooding 可以稱之為 MAC 洪泛現(xiàn)象,這是一個比較危險的攻擊,可以溢出交換機的ARP表,使整個網(wǎng)絡不能正常通信。其中 Flooding 是一種快速散布網(wǎng)絡連接設備 (如交換機)更新信息到整個大型網(wǎng)絡打每一個節(jié)點的一種方法。交換機中也存放著一個 ARP 緩存表。同主機中的 ARP 緩存表相同,它也起到記錄網(wǎng)絡設備 MAC 地址與 IP 地址的 對應關(guān)系的功能。但是交換機中的 ARP 緩存表的大小是固定的,這就導致了 ARP 欺騙的另 一種隱患:由于交換機可以主動學習客戶端的 MAC 地址,并建立和維護這個 ARP 緩存表, 當某人利用欺騙攻擊連續(xù)大量的制造欺騙 MAC 地址,ARP 緩存表就會被迅速填滿,同時更新信息以洪泛方式發(fā)送到所有的接口,也會發(fā)給所有的接口和鄰近的交換機,會導致其他交換機的 ARP 表 溢出,造成交換機負載過大,網(wǎng)絡緩慢和丟包甚至癱瘓。所以說 MAC Flooding 是一種比較 危險的攻擊,嚴重會使整個網(wǎng)絡不能正常通信。