浅谈网络协议之ARP协议原理及应用.doc

浅谈网络协议之ARP协议原理及应用 - 关于ARP欺骗攻击技术简析和防范 您是否遇到局域网内频繁性区域或整体掉线重启计算机或网络设备后恢复正常您的网速是否时快时慢极其不稳定但单机进行光纤数据测试时一切正常您是否时常听到的网上银行游戏及QQ账号频繁丢失的消息 这些问题的出现有很大一部分要归功于ARP攻击 一ARP协议及其基本原理 ARP Address Resolution Protocol中文名为地址解析协议它工作在数据链路层在本层和硬件接口联系同时对上层提供服务IP数据包常通过以太网发送以太网设备并不识别32位IP地址它们是以48位以太网地址传输以太网数据包因此必须把IP目的地址转换成以太网目的地址在以太网中一个主机要和另一个主机进行直接通信必须要知道目标主机的MAC地址但这个目标MAC地址是如何获得的呢它就是通过地址解析协议获得的ARP协议用于将网络中的IP地址解析为的硬件地址MAC地址以保证通信的顺利进行ARP报头结构 下面介绍一下ARP协议的工作原理我们知道每台主机都会在自己的ARP缓冲区 ARP Cache中建立一个三台主机A IP地址 maxbook118com1 硬件地址 AAAAAAAAAAAAB 地址 maxbook118com2 硬件地址 BBBBBBBBBBBBC地址 maxbook118com3 硬件地址 CCCCCCCCCCCC当主机需要将一个数据包要发送到目的主机时会首先检查自己 ARP列表中是否存在该IP地址如果有，就ARP高速缓存中查出其对应的硬件地址再把这个硬件地址写入MAC帧然后通过局域网把该MAC帧发往此硬件地址如果就向本地网段发起一个ARP请求的广播包查询此目的主机对应的MAC地址此ARP请求数据包里包括主机的IP地址硬件地址以及目的主机的IP地址maxbook118com1我的硬件地址是 AAAAAAAAAAAA 请问IP地址maxbook118com地址是什么网络中所有的主机收到这个ARP请求后会检查数据包中的目的IP是否和自己的IP地址一致如果不相同就忽略此数据包如果相同该主机主机发送一个 ARP响应数据包告诉对方自己是它需要查找的MAC地maxbook118com2硬件地址是BBBBBBBBBBBB发送端的MAC地址和IP地址添加到自己的ARP列表中如果ARP表中已经存在该IP的信息则将其覆盖主机收到这个ARP响应数据包后将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中并利用此信息开始数据的传输如果主机一直没有收到ARP响应数据包表示ARP查询失败ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗能够在网络中产生大量的ARP通信量使网络阻塞攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目造成网络中断或中间人攻击 主要是存在于局域网网络中局域网中若有一个人感染ARP木马则感染该ARP木马的系统将会试图通过ARP欺骗手段截获所在网络内其它计算机的通信信息并因此造成网内其它计算机的通信故障恶意窃听病毒是ARP欺骗系列病毒中影响和危害最为恶劣的它不会造成局域网的中断仅仅会使网络产生较大的延时但是中毒主机会截取局域网内所有的通讯数据并向特定的外网用户发送所截获的数据对局域网用户的网络使用造成非常非常严重的影响直接威胁着局域网用户自身的信息安全 ARP协议并不只在发送ARP请求才接收ARP应答当计算机接收到ARP应答数据包的时候就会对本地的ARP缓存进行更新将应答中的IP和MAC地址存储在ARP缓存中因此B向A发送一个自己伪造的ARP应答这个应答中的数据为发送方IP地址是C的IP地址MAC地址是-DD-DD-DD-DD-DD C的MAC地址本来应该是-33-33-33-33-33这里被伪造了当A接收到B伪造的ARP应答就会更新本地的ARP缓存将本地的IP-MAC对应表更换为接收到的数据格式由于这一切都是A的系统内核自动完成的A不知道被伪造了而且A不知道其实是从B发送过来的A这里只有C的IP地址和无效的DD-DD-DD-DD-DD-DD MAC地址机A上的关于机C的MAC地址已经错误了所以即使以后从A计算机访问C计算机这个这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的同一网段的ARP欺骗 如图所示三台主机 A 地址 maxbook118com1 硬件地址 AAAAAAAAAAAAB 地址 maxbook118com2 硬件地址 BBBBBBBBBBBBC地址 maxbook118com3 硬件地址 CCCCCCCCCCCC 一个位于主机B的入侵者想非法进入主机A可是这台主机上安装有防火墙通过收集资料知道这台主机A的防火墙只对主机C有信任关系开放23端口telnet而他必须要使用telnet来进入主机A这个时候他应该如何处理呢 我们这样考虑入侵者必须让主机A相信主机B就是主机C如果主机A和主机C之间的信任关系是建立在地址之上的如果单单把主机B的地址改的和主机C的一样那是不能工作的至少不能可靠地工作如果你告诉以太网卡设备驱动程序 自己IPmaxbook118com3那并不能达到目标我们可以先研究C这台机器如果我们能让这台机器暂时当掉在机器C当掉的同时将机器B的地址改maxbook118com3这样就可以成功的通过23端口telnet到机器A上面而成功的绕过防火墙的限制 上面的这种想法在下面的情况下是没有作用的如果主机A和主机C之间的信任关系是建立在硬件地址的基础上这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关maxbook118com3映射的硬件地址改为主机B的硬件地址我们可以人为的制造一个的发送给想要欺骗的主机可以指定ARP包中的源IP目标IP源MAC地址目标MAC地址 这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的 下面是具体的步骤 先研究19203这台主机发现这台主机的漏洞 根据发现的漏洞使主机C当掉暂时停止工作 这段时间里入侵者把自己的改成19203 他用工具发一个源地址maxbook118com3源MAC地址为BBBBBBBBBBBB的包给主机A要求主机A更新自己的转换表 主机更新了表中关于主机C的- MAC对应关系 防火墙失效了入侵的变成合法的地址 上面就是一个ARP的欺骗过程这是在同网段发生的情况但是B和C处于不同网段的时候上面的方法是不起作用的 不同网段的ARP欺骗 如图所示AC位于同一网段而主机B位于另一网段三台机器的地址和硬件地址如下 A地址 maxbook118com1 硬件地址 AAAAAAAAAAAAB 地址 maxbook118com2 硬件地址 BBBBBBBBBBBBC 地址 maxbook118com3 硬件地址 CCCCCCCCCCCC 在现在的情况下位maxbook118com主机B如何冒充主机C欺骗主机A呢显然用上面的办法的话即使欺骗成功主机B和主机A之间也无法建立telnet会话因为路由器不会把主机A发给主机B的包向外转发路由器会发地址maxbook118com这个网段之内 现在就涉及到另外一种欺骗方式 ICMP重定向把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的 什么是ICMP重定向呢ICMP重定向ICMP重定向报文是ICMP控制报文中的一种在特定的情况下当路由器检测到一台机器使用非优化路由的时候它会向该主机发送一个ICMP重定向报文请求主机改变路由路由器也会把初始数据报向它的目的地转发 我们可以利用ICMP重定向报文达到欺骗的目的 下面是结合ARP欺骗和ICMP重定向进行攻击的步骤 为了使自己发出的非法包能在网络上能够存活长久一点开始修改包的生存时间为下面的过程中可能带来的问题做准备把改成255下载一个可以自由制作各种包的工具 然后和上面一样寻找主机C的漏洞按照这个漏洞当掉主机C 在该网络的主机找不到原来maxbook118com将更新自己的ARP对应表于是他发送一个原地址maxbook118com3硬件地址为BBBBBBBBBBBB的ARP响应包 现在每台主机都知道了一个新的MAC地址对应19203一个ARP欺骗完成了但是每台主机都只会在局域网中找这个地址而根本就不会把发送给19203的包丢给路由于是他还得构造一个ICMP的重定向广播 自己定制一个ICMP重定向包告诉网络中的主机到19203的路由最短路径不是局域网而是路由请主机重定