基于ARP 漏洞的网络监听的研究与防范

1、基于arp漏洞的网络监听的研究与防范詹可强（福建信息职业技术学院，福建 福州 350003）摘 要：从arp协议所存在的漏洞及安全隐患出发，在对利用arp欺骗实现对网络中数据包的嗅探与监听进行研究的基础上，提出了被动式防范与主动式防范的相应措施。关键词：网络安全；网络监听；arp；防范中图分类号：tp393.08 文章标识码：a 文章编号：k124（2008）010020050 引言随着计算机网络技术的高速发展，网络正日益成为政治、经济、文化、生活中不可缺少的一部分。它在给人们的生活、学习、工作带来前所未有的方便和机遇的同时，由网络自身固有的不安全性，网络安全问题也越来越引起人们的关注。网络监

2、听，又称为网络嗅探技术，它是网络安全攻防体系中的一项重要技术。它是一种在他方未察觉的情况下将网络上传输的数据捕获并进行分析的行为1。网络监听在协助网络管理员监测网络传输数据、排除网络故障等方面具有十分重要的作用。然而，网络监听也给网络的安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内网络监听行为，从而造成口令失窃、敏感数据被截获等连锁性安全事故。 收稿日期：20071208作者简介：詹可强（1981），男，硕士，福建福州人，助教，硕士，主要研究方向：网络技术及应用、网络安全。网络监听原理当前网络监听主要用于局域网中，根据监听环境的不同，网络监听可分为两类：共享式网络监听和交换式网络监听

3、。在共享式网络中，由于是基于广播的方式来发送数据，所以数据包会被发送到连在一起的所有主机。 因此，只要使主机的网卡工作在混杂模式下，并辅以相应的捕获机制就可以实施网络监听，其实现方式较为容易。而随着交换机的快速发展，交换式网络越来越普及。交换机与共享式网络环境下的集线器相比，最重要的特点是它的每个端口都单独占有一个信道，数据包的发送并不是通过广播的方式发送。每台交换机的端口都有一张arp地址转换表，交换机是通过该地址表的内容对数据包的走向进行判断，从而实现数据包的转发。因此，在交换式网络中实施网络监听的关键，就是要使发送给其它主机的数据帧能够到达运行的网络监听程序的主机。1.1 mac地址ma

4、c地址又叫硬件地址或物理地址，它存放于网卡的rom中，唯一标识每一块网卡。其结构如图1所示。图1 mac地址的结构mac地址长度为6byte (48bits)，在这48bits中前24bits由ieee统一分配，被称为oui（organizationally unique identifier）。后24bits是一组序列号，由生产厂家自行分配，其作用是保证mac地址的唯一性。1.2 arp协议arp协议是tcp/ ip协议簇中的一个协议，arp（address resolution protocol）协议全称为地址解析协议2。在数据包传送时，无论源主机和目标主机是否在同一个局域网内，都需要对目

5、标主机进行寻址，即将数据包的ip地址转化为mac地址，而这个工作正是通过arp协议来实现的3。arp解析地址的过程就是主机在传输数据包时将目标主机的ip地址转换成目标主机的mac地址的过程。arp协议规定每一台主机都设有一个arp高速缓存表，当主机a欲向本网络的主机b发送数据包时，就先在其arp高速缓存表中查看有无主机b的ip地址。如果存在，就可查出其对应的硬件地址，再将此硬件地址写入mac帧，然后通过局域网将该mac帧发往此硬件地址对应的主机；如果不存在，主机a就要在网络上利用广播方式发送arp请求，在此网络上的所有主机上运行的arp进程都收到此arp请求，主机b在arp请求中见到自己的ip

6、地址，就向主机a发送arp响应，并写入自己的硬件地址，而其它的所有主机都不响应这个arp请求分组。这样在获知了主机b的硬件地址后，主机a就可以向主机b发送数据包了。基于以上对arp协议关于地址解析过程的分析，可以看出arp协议的工作基础是局域网中各主机间的相互信任，这就为网络监听提供了机会。1.3 利用arp欺骗实现网络监听由于其工作的基础是各主机间的相互信任，在设计arp协议时，为了减少网络上过多的arp数据通信，对某一台主机来说，即使收到的arp响应并非因自己的请求而得到，出于对对方主机的信任，也不会对其进行“身份验证”，而是直接将其加入到自己的arp地址缓存表中，监听正是利用了这一漏洞来

7、实现的。当监听者监听到同一网段中两台主机之间的通信时，会分别给这两台主机发送arp应答数据包，让两台主机都把第三方监听的主机“误”认为是对方，这样，双方看似“直接”进行了通信连接，而实际上其传输的数据都要经过第三方的主机。此时，监听者不仅可以完成监听，还可以随意更改传输的数据包中的信息，并成功完成数据包的转发。下面就在理论的基础上说明利用arp欺骗实现网络监听的过程。如图2所示，a、b为网络中正常通信的主机，c为进行网络监听的主机。1）主机c首先向主机a发送假的arp应答报文，主机a在接收到arp应答报文后，修改自己的arp地址缓存表，使得原本主机b的ip地址与主机c的mac地址相对应。2）同

8、理，主机c也向主机b发送假的arp应答报文，主机b在接收到arp应答报文后，修改自己的arp地址缓存表，使得原本主机a的ip地址与主机c的mac地址相对应。3）这时，如果主机a向主机b发送信息，根据主机a中的arp地址缓存表中的ipmac的映射关系，信息实际上是先被发送到了主机c。4）于是，主机a和主机b的通信过程，就被主机c实现了监听，主机c甚至可以将主机a发送的数据进行修改后再转发给主机b，而主机a和b对此却浑然不觉。 arp欺骗防范措施对于arp欺骗的防范，主要有两种不同的手段：第一种是预防式的防止arp欺骗的方法，本文称之为被动式防范；第二种是在arp欺骗发生时，对其进行检测并防范的方

9、法，本文称之为主动式防范。2.1 被动式防范被动式防范主要是采用预防性措施来对可能发生的arp欺骗进行防范，其实现手段主要有以下几种4，5。1） 为了确保内网的数据链路层的安全，可以采用捆绑内网主机的ip地址和mac地址的方法，即使用静态arp缓存表的方法。一般情况下，我们所用到的arp地址缓存表都是动态存储的，arp将保存在高速缓存中的每一个映射地址项目都设置生存时间，凡超过生存时间的项目就从高速缓存中删除掉, 或者被接收到的新映射所更新。为了防止arp欺骗，用户自己可以将arp地址缓存表设为静态存储，这样列表中的内容除了人为手动修改外不会被更新。在windows中相关的操作方法为：（1）运

10、行中敲入cmd，进入dos窗口；（2）先删除现有的ipmac对应表：arp -d；（3）在高速缓存列表中增加1个静态存储的ip地址：arp -s ip_address mac_address；（4）看修改后的arp缓存列表内容：arp a。使用静态arp设置可以防止arp请求包所引发的欺骗。但是，如果发送的不是arp请求包，而是arp应答包，虽然设置了静态的arp缓存表，如果arp缓存表中有相关映射的记录，那么静态缓存表中的相关映射依然可以被更新。因此，设置静态arp缓存表只能防范arp请求欺骗，无法有效地防范arp应答欺骗。同时，由于对ip地址和mac地址进行了绑定，如果主机修改了ip地址，

11、或有新的主机加入内网，需要及时地对arp缓存表进行维护，否则就会使局域网内部出现混乱。2）建立dhcp服务器（建议建在网关上，arp欺骗攻击一般总是先攻击网关，而网关有监控程序），另外所有客户机的ip地址及其相关主机信息，只能由网关这里取得，网关这里开通dhcp服务，但是要给每个网卡绑定固定唯一ip地址。一定要保持网内的机器ip-mac的一一对应关系。这样客户机虽然是dhcp获取地址，但每次开机的ip地址都是一样的。同样，采用这种方式，需要每个网卡绑定固定唯一ip地址，因为如果主机更改了ip地址，就会使局域网内部出现混乱。3）可以通过防火墙和修改系统的ip策略，拒收icmp重定向报文。在win

12、dows系统下可以通过防火墙和ip策略拒绝接收icmp报文；在linux下通过在防火墙上设置拒绝icmp重定向报文，或者重新编译内核来拒绝接收icmp重定向报文。设置好路由，确保ip地址能到达合法的路径。但在这种策略下，对于合法的icmp重定向请求，防火墙同样予以拒绝，使得主机系统的一些合法服务无法正常进行。4）建立mac数据库，把本网内所有网卡的mac地址记录下来，每个mac和ip的对应关系及网络位置统统装入数据库，以便及时查询。采用数据库方式，类似于ip地址和mac地址的静态绑定，如果需要更改ip地址时，就需要及时地更新数据库，否则也会使局域网内部出现混乱。因此需要网管员及时对数据库进行维

13、护和更新。5）在交换机上设置虚拟局域网（vlan），通过不同端口的设置进行有效的隔离。虚拟局域网在各自的端口通过广播隔离来防止arp的欺骗。隔离端口与其他端口完全无法通信（包括广播），端口只能收到同一网络中的数据。将受信任主机设置在同一虚拟局域网中，再将绝密性主机设置在隔离虚拟局域网中。这样一来，隔离端口与其他端口完全无法通信，端口只能收到同一网络中信任主机的数据, 就可以有效防御arp欺骗。但同时，由于端口的访问受到限制，将使主机和其它一些合法的非信任主机间的通信出现困难。6）采用加密的方法对网络中传输的重要数据进行加密处理。加密后的数据安全性大大提高，即使加密后数据在传输过程中被截获，攻击

14、方也不易获得重要数据的明文内容。当然，这也加大了防御方的成本。2.2 主动式防范通过以上的分析，我们可以知道，采用被动式的防范措施，实现较为简单，但由于其是以预防性目的为主，对于arp欺骗的防范不可能面面俱到，在实际应用中受到诸多方面因素的制约。主动式防范，是在arp欺骗发生时，采用一定的手段检测到欺骗的发生，从而采取相应的措施对其进行有效的防范。对于arp欺骗的检测，采用主动验证ip-mac对应关系的方法，将收集到的ip-mac映射对与arp缓存表中的信息进行比较，具体情况可分成以下4种。1）收集到的ip-mac映射对中的ip地址和mac地址均不存在于arp缓存表中；2）收集到的ip-mac

15、映射对中的ip地址存在于arp缓存表中，但mac地址并不对应；3）收集到的ip-mac映射对中的mac地址存在于arp缓存表中，但ip地址并不对应；4）收集到的ip-mac映射对中的ip地址和mac地址均存在于arp缓存表中，而且是对应关系。在以上分类中，情况）、）、）可存在于正常或异常的arp数据包中，而情况）只可能存在于正常的arp数据包中。这是因为如果采用合法的ip-mac映射对，就不存在arp欺骗，也就无法发起监听或攻击。结合以上分析，我们可以利用winpcap（windows packet capture）驱动程序来实现对arp欺骗的检测。winpcap是一种windows平台下捕包

16、和网络分析的体系架构，它具有访问网络底层的能力，提供了捕获原始数据包，按照一定规则过滤数据包，以及发送原始数据包的功能。我们利用winpcap捕获arp数据包，对于数据包中的ip-mac的映射对，主动发出arp request进行验证，如果在一定时间内没有收到相应的回复（reply），则认为网络上存在arp欺骗。图3给出具体的arp欺骗检测流程。其中，类14分别对应前面4种情况；结果1表示新、旧映射对均不给予reply应答；结果2表示仅新映射对未给予reply应答；结果3表示仅新映射对给予reply应答；结果4表示新、旧映射对均给予reply应答。采用主动式的arp欺骗检测，其关键是正确捕获网

17、络上所有的arp数据包。下面是使用winpcap的wpcap.dll模块实现捕获arp数据包的关键代码6。pcap-if-t * alldevs;pcap-if-t * d;pcap-t * adhandle;struct bpf-program fcode;pcap-findalldevs(&alldevs,errbuf);adhandle = pcap-open-live(d-name,65536,1,1000,errbuf);pcap-datalink(adhandle);pcap-compile(adhandle,&fcode,”arp”,1,netmask);pcap-setfilt

18、er(adhandle,&fcode);pcap-freealldevs(alldevs);pcap-loop(adhandle,(),packet-handler,null)。 结语网络安全的问题无处不在，通过利用arp漏洞进行欺骗的方法我们看到网络协议也可能存在着缺陷，网络协议的缺陷随着网络技术的发展出现更大的不安全性, 这给网络通信、数据的传输和存储带来了危害。我们要善于从中找到问题的“症结”所在，只有这样，才能找到行之有效的安全方案。本文针对利用arp欺骗发动的网络监听的原理，介绍了一些可以有效地发现网络上基于arp欺骗的网络监听技术的侦测和防范方法，为网络安全提供了保障。当然利用winpcap驱动程序实现的arp数据包的检测仅处于初步阶段，如何添加其他功能模块构成一个完善的入侵检测系统（ids），是下一步有待研究的问题。参考文献1 andrew s.tanenb