ARP攻擊試驗性解析及防御
2009-04-29 00:00:00易煦輝
電腦知識與技術 2009年14期
摘要:ARP攻擊是近年來對互聯網具有較大影響的惡意攻擊方式,而且已經對各行業網造成了巨大威脅,卻一直沒有得到有效的解決,連我們熟知的殺毒軟件、防火墻都擋不住ARP攻擊。從分析ARP協議和欺騙原理入手,從試驗中分析常見的有效ARP攻擊手段及一個簡單的發現算法,及時處理正在遭受ARP攻擊,總結各種常用防御辦法,最后設計出一個企業級的攻擊防御解決方案。
關鍵詞:地址解析協議;試驗分析;防范;網絡安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)14-3680-04
Experimental Analysis of ARP Attack and Defense
YI Xu-hui
(Loudi Municipal Public Security Bureau, Loudi 417000, China)
Abstract: In recent years, ARP attack, as a way of malicious attack which has tremendous influence on the internet, moreover, it had already posed a huge threat to various professional networks. However, the matter has never been effectively resolved, even our well-known anti-virus software and firewalls can not stop the ARP attacks. Starting with analysis of ARP protocol and the principle of deception, analyzes the common and effective means of ARP attack and the simple discovery algorithm from experiment to deal with something being subjected to ARP attacks in time. Meanwhile, this paper summarizes a variety of commonly used defense methods and designs a program of protecting and resolving attacks on an enterprise-class ultimately.
Key word: Address Resolution Protocol;experimental analysis;guard, network security
1 引言
近些年網絡安全問題愈演愈烈,因為ARP攻擊而導致行業網絡癱瘓的例子舉不勝舉,它不僅會造成聯網不穩定,而且其在局域網內大規模爆發時,進而使政府、企業斷網導致重大生產事故;利用ARP欺騙攻擊可進一步實施中間人攻擊,一次非法獲得到游戲、網銀等系統的賬號和口令,對被攻擊者造成利益上的重大損失。
2 ARP協議及欺騙原理
2.1 以太網的工作原理
以太網中,數據包被發送出去之前,首先要進行拆分(把大的包進行分組)、封裝(在Network層添加源IP地址和目標的IP地址,在Data Link層添加源MAC地址和下一跳的MAC地址),變成二進制的比特流,整個過程如圖1所示。數據包到達目標后再執行與發送方相反的過程,把二進制的比特流轉變成幀,解封裝(Data Link層首先比較目標的MAC是否與本機網卡的MAC相同或者是廣播MAC,如相同則去除幀頭,再把數據包傳給Network層,否則丟棄;Network層比較目的地IP地址是否與本機相同,相同則繼續處理,否則丟棄)。如果發送方和接收方位于同一個網絡內,則下一跳的MAC就是目標的MAC,如發送方和接收方不在同一個網絡內,則下一跳的MAC就是網關的MAC。從這個過程不難發現,以太網中數據的傳速僅知道目標的IP地址是不夠的,還需要知道下一跳的MAC地址,這需要借助于另外一下協議,ARP(地址解析協議)。
2.2 ARP的工作原理
計算機發送封裝數據之前,對比目標IP地址,判斷源和目標在不在同一個網段,如在同一網段,則封裝目標的MAC;如不在同一網段,則封裝網關的MAC。封裝之前,查看本機的ARP緩存,看有沒有下一跳對應的IP和MAC映射條目,如有則直接封裝;如沒有則發送ARP查詢包。ARP查詢和應答包的格式如圖2所示,查詢包中 “以太網目的地址”為0xffffffffffff廣播地址,“以太網源地址”為本機網卡的MAC地址,“幀類型”為0x0806表示ARP應答或請求,“硬件類型”為0x0001表示以太網地址,“協議類型”為0x0800表示IP地址,“OP”為ARP的請求或應答,ARP請求包的OP值為1,ARP應答包的OP值為2,“發送端以太網地址”為發送者的MAC地址,“發送端IP”為發送者的IP地址,“目的以太網地址”這里為0x000000000000,“目的IP”為查詢MAC地址的IP。此包以廣播形式發送到網絡上,局域網中所有的計算機均收到此包,只有本機IP地址為“目的IP”的計算機對此數據包進行響應,并回復此數據包。當始發送端方收到此ARP應答包后,即獲取到目標IP對應的MAC地址,然后就可進行數據包的封裝了。
圖2 ARP的查詢和應答包格式
2.3 ARP的欺騙
于TCP通過序列號和確認號字段不同,實施三次握手來保證數據傳輸的可靠性,ARP是一個無狀態的協議,也就是說不管有沒有發送ARP請求,只要有發往本機的ARP應答包,計算機都不加驗證的接收,并更新自己的ARP緩存。了解ARP的工作原理后,只要有意圖的填充圖2中的某些字段,即可達到ARP攻擊的效果:IP地址沖突、ARP欺騙、ARP攻擊等。
2.3.1 IP地址沖突
計算機檢測本機IP地址是否在網上被使用的方法是用本機IP地址作為目的IP地址,發送ARP查詢包,如果收到應答,則說明本IP地址已經在網上被使用,彈出IP地址被使用對話框,釋放出本機的IP地址。ARP攻擊者利用這一原理,用任意的MAC地址(非被攻擊者真實的MAC地址)填充“發送端以太網地址”字段,用被攻擊者的IP地址填充“發送端IP”字段,用被攻擊者的真實MAC地址填充“目的以太網地址”字段,用被攻擊者的IP地址填充“目的IP”字段,OP的值為“2”,如圖3所示。當被攻擊者收到這樣的ARP應答后,就認為本機的IP地址在網絡上已經被使用,彈出IP地址沖突對話框。
2.3.2 ARP欺騙
如圖4所示,PC1是攻擊者,攻擊的目的是“中斷PC2與網關的通信”。PC1生成一個ARP應答信息包,“發送端的IP”填寫成網關的IP地址,“發送端以太網地址”填寫一個非網關的MAC地址(這個地址可以隨機生成),“目的IP”填寫PC2的IP地址,“目的以太網地址”填入PC2的MAC地址。主機PC2收到這個最新的ARP應答信息包后,就會用這個不正確的網關的MAC地址更新自己的ARP緩存表,以后PC2后就這個錯誤的MAC地址進行封裝,造成封裝后的數據包無法正確到達網關;PC1類似的再發送一個不正確ARP應答包給網關,“發送端的IP”填寫成PC2的IP地址,“發送端以太網地址”填寫一個非PC2的MAC地址(這個地址可以隨機生成),“目的IP”填寫網關的IP地址。網關收到這樣的ARP應答信息后,也在緩存中保存了錯誤的PC2映射條目。PC1周期性向網關和PC2發送這樣的包,以免它們的ARP表老化,這樣就達到了阻止它們通信的目的。
3 ARP攻擊試驗解析
試驗通過在一個模擬完整交換網絡中實施簡單ARP攻擊、ARP 的“中間人攻擊”、基于ARP欺騙的信息嗅探、ARP洪泛攻擊,結合交換網絡中主機、交換設備、路由網關上的ARP 緩存表,分析各種攻擊手段的不同危害。進而總結出一套防范ARP攻擊的妥善辦法。試驗環境及網絡拓撲見圖5。
3.1 對主機的簡單欺騙
試驗目的:通過A對目標主機C實施ARP攻擊導致C至主機B的網絡不可用。
實驗步驟:
C:\\ >ping 192.168.1.4
Reply from 192.168.1.4: bytes=32 time<1ms TTL=128
C:\\ >arp -a
Interface: 192.168.1.5--- 0x10005
Internet AddressPhysical Address Type
192.168.1.1 00-15-58-a8-b5-5ddynamic
192.168.1.3 00-0f-e1-2d-42-ccdynamic
192.168.1.4 00-c2-cc-2d-a2-c5dynamic
在A采用“網絡執法官”中對C“禁止與關鍵主機連接…”,然后單擊“關鍵主機”,加入B的地址,實施ARP攻擊。
C:\\ >ping 192.168.1.4
Request timed out.
C:\\ >ping 192.168.1.1
Reply from 192.168.1.1: bytes=32 time<1ms TTL=255
C:\\ >arp –a
Interface: 10.145.201.206 --- 0x10005
Internet AddressPhysical AddressType
192.168.1.1 00-15-58-a8-b5-5ddynamic
192.168.1.3 00-0f-e1-2d-42-ccdynamic
192.168.1.4 00-ff-e2-3d-62-7cdynamic
C:\\Documents and Settings\\Administrator>arp-s 192.168.1.400-0f-e1-2d-42-cc
C:\\Documents and Settings\\Administrator>ping 192.168.1.4
Reply from 192.168.1.4: bytes=32 time<1ms TTL=128
實驗分析:
1) 正常狀態下主機C上正常的ARP緩存表。B主機MAC地址是00-c2-cc-2d-a2-c5,ping 主機B正常。這里已經成功被欺騙為動態的00-15-58-a8-b5-5d,該實驗主機提示為IP地址沖突。
2) 通過工具軟件對C實施ARP攻擊,測試B,C至B網絡是不可用的。
3) 網關可達,未被欺騙。
4) 查看C上ARP緩存表,B的mac地址已經成功被欺騙為動態的00-ff-e2-3d-62-7c,該主機提示為IP地址沖突。
5) 對實驗主機靜態捆綁IP-MAC。
6) 捆綁后,網絡可用。
以上顯示的是ARP攻擊對內網主機的欺騙,必須靜態綁定IP-MAC才可以通信。
3.2 ARP“中間人攻擊”及信息嗅探
試驗目的:“中間人”主機B通過對主機A及網關的ARP欺騙可以使子網內的主機B的網絡流量都會流到攻擊者機器來,從而實現對主機A的信息嗅探。由于篇幅原因具體實驗數據和簡單欺騙類似所以不再累述。
試驗步驟:
1) 主機B向主機A發送一個非法ARP響應,將主機A的ARP緩存中網關的MAC地址篡改為B的MAC地址。
2) 主機B向網管router發送一個非法ARP響應,將網關router的ARP緩存中A的MAC地址篡改為B的MAC地址
3) 在主機B上啟動IP Forward(IP轉發)功能并開啟信息嗅探。
實驗分析:試驗通過實驗軟件Cain Abel完成ARP欺騙及信息嗅探。主機B作為“中介”冒充路由器角色,轉發主機A與網關通信產生的所有數據包。這樣,在光天化日之下,主機B竟然劫持了所有主機A和網管之間通信的數據,如此造成的危害就不言而喻了。
3.3 ARP泛洪攻擊
實驗目的:通過子網內部分主機對交換機或網關發布大量虛假的ARP應答,占用大部分網絡帶寬或導致交換機或網關的mac地址表溢出,從而實現干擾網絡通信造成子網內主機網絡時斷時續或干脆無法出網。
實驗步驟:
1) 在主機A、B上利用ARP洪水攻擊軟件對交換機實施持續的ARP洪水攻擊。
2) 在h3c的S7506E交換機上可偵測到ARP攻擊,同時ARP緩存表數量激增
<7506E>dis log
%Apr7 10:11:52 2009 7506E ARP/5/DUPIP:IP address 192.168.1.3 collision detected, sourced by 000f-e12d-42cc on Ethernet4/0/15 of VLAN101 and 0015-f288-ae20 on Ethernet4/0/15 of VLAN101
%Apr7 10:11:52 2009 7506E ARP/5/DUPIP:IP address 192.168.1.4 collision detected, sourced by 00c2-cc2d-a2c5 on Ethernet4/0/16 of VLAN101 and 00ef-e356-78f1 on Ethernet4/0/16 of VLAN101
<7506E>dis arp count
Total entry(ies):68
實驗分析:從上述ARP泛洪攻擊僅僅看到網絡延時稍稍增大,并未出現網絡斷續和斷網現象,但從交換機上可以看到ARP攻擊日志,也伴有ARP緩存表激增且mac條目超過交換網絡中主機數量的現象,這可能與攻擊者數量不足和7506E處理能力強大有關。
4 ARP攻擊的發現及防范
4.1 發現ARP攻擊
由于ARP攻擊主要作用于交換網絡,所以在局域網內的主機和交換設備上我們都能采用較為簡單的方法發現攻擊的痕跡。在主機出現網絡異常情況時,用“arp –a”對比常用設備(一般是網關)的物理地址,就能發現攻擊;交換設備僅僅是hub,也能通過監控主機借助專業的網絡分析軟件捕獲異常網絡流量,分析出攻擊的始作俑者;在帶網管功能的交換設備或者二、三層的網絡交換設備上,我們可以更容易的判斷出攻擊者,采用封堵端口或設置mac黑洞就能很快剔除攻擊者。
自動發現、攔截ARP攻擊的vc6下簡單程序實現:
1) 第一次運行或檢測到網關發生變化時,程序自動獲得本機網卡信息、網關ip及網關mac保存至配置文件中,其他時候只信任并直接使用配置文件。
void mainframe()
{…
GetPrivateProfileStringA(…);//讀取配置文件
If(初次運行或網關變化){SendDlgItemMessage(…);}//發布更新配置文件消息
Else{讀取配置}
…}
2) 默認網關IP 和網關的MAC綁定
MIB_IPNETROW *arp_row=1;
…
if (arp_row == NULL) {
arp_row = (PMIB_IPNETROW) malloc(sizeof(MIB_IPNETROW));
}
DeleteIpNetEntry(arp_row);
…
CreateIpNetEntry(arp_row);
// 使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項)
3) 周期性檢測ARP Cache中原默認網關的MAC在ARP Cache的值是否被改寫,若被改寫就報警。
void CALLBACK alrmclock(HWND hWnd, UINT uMsg,UINT idEvent,DWORD dwTime)
{…
for (i=0; i
{
//逐項比對,發現變化馬上報警并重寫本機ARP Cache
}
}
4) 主動防護,即默認每秒發10個ARP reply包來維持網關設備的ARP Cache
u_int8_t ArpPacket[]={
0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,
0x00,0x00,0x00,0x00,0x08,0x06,0x00,0x01,
0x08,0x00,0x06,0x04,0x00,0x02,0x00,0x00,
0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,
0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,
0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,
0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,
0x00,0x00,0x00,0x00
};
pcap_sendpacket(p, ArpPacket, 0x3c);
5) 如能利用SNMP協議結合中心交換機的MIB庫中的ARP表,并配合交換網絡中的網絡流量分析統計則能準確定位到攻擊主機的ip和所在中心交換機上的端口號。
4.2 ARP攻擊的常用防范手段:
4.2.1 mac綁定,或采用靜態的ARP地址表
終端上用arp –s進行ip與mac之間的綁定,關鍵設備如中心交換機及路由網關采用靜態ARP,不要讓系統刷新設定好的ARP轉換表。
4.2.2 細分網段劃分vlan
欺騙攻擊無法跨網段工作,同一網段中計算機數量越少,ARP攻擊的影響范圍就越小,同時將關鍵主機放在一個vlan中有針對性的授權訪問可保證關機主機的安全。
4.2.3 使用ARP服務器
在內部網絡中設置ARP服務器,通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播,而禁止其他系統響應ARP請求,但需要保證該主機的絕對安全。
4.2.4 主動防御
利用嗅探軟件偵測保存內部網絡主機ip及mac,定期輪詢,同時采用用一些安全工具在網絡中進行檢測,可以檢測到本地網絡上的ARP欺騙報文。
4.2.5 使用加密通信
ARP欺騙主要針對敏感信息的獲取和傳輸實體的替換主要針對非加密通信,將內網的通信進行加密可以有效地防止這類攻擊。如https替代http、SSH替代Telnet;SFTP替換FTP。
4.3 較為全面的企業級攻擊防御解決方案
政府和企業往往是ARP攻擊的重災區,ARP病毒的大規模泛濫使得被動性防御顯得軟弱無力。所以針對客戶端、接入交換機和網關三個控制點實施自上而下的全面、主動防御才是徹底解決ARP攻擊的較好方式。
實現方法:客戶端通過ppp、pppoe、802.1x等認證協議向CAMS (綜合訪問管理服務器)發起認證后并登陸網絡,CAMS識別客戶端,并將事先配置好的網關和重要服務器ip/mac綁定信息下發給客戶端;接入交換機則統過監控認證報文實現用戶的ip和mac的綁定,并配置事先網關的ip和mac綁定,配合ARP限速維護相對的靜態ARP地址表;客戶端則通過認證客戶端實現網關的ip和mac綁定,使得虛假的ARP報文因為缺少認證無法生存,從根本上防止了ARP攻擊和病毒的泛濫。
5 結束語
上文分析了基于ARP協議的內部交換網絡的攻擊和滲透,攻擊者只是利用協議的缺陷在內網破壞正常的網絡通訊和竊取敏感信息,攘外必先安內,所以內網安全永遠是一個不可忽視的課題。
參考文獻:
[1] Comer D E.TCP、IP網絡互連第1卷原理協議和體系結構[M].4版.北京:人民郵電出版社,2002.
[2] 秦相林.二層交換網絡上的嗅探技術研究[J].自然科學報,2005(2).
[3] 郭麗.基于ARP欺騙的交換網絡監聽技術分析與研究[D].曲阜師范大學,2006.
[4] 吳小平.基于SNMP的ARP欺騙主動防御機制[J].華中師范大學學報,2007(4).
[5] 楊延朋.校園網絡ARP協議欺騙的檢測與防御[J].鞍山科技大學學報,2007,30(2).
[6] H3c.CAMS[EB/OL].http://forum.h3c.com/forum-205-1.html.
