基于ARP欺騙內(nèi)網(wǎng)滲透和防范

1、基于ARP欺騙內(nèi)網(wǎng)浸透和防范摘要本文從協(xié)議欺騙的角度，討論了在內(nèi)網(wǎng)中進(jìn)展網(wǎng)絡(luò)浸透的方法，研究了基于ARP欺騙的數(shù)據(jù)包交換技術(shù)，以交換EB回復(fù)報(bào)文中的鏈接信息為例，分析了無破綻浸透技術(shù)的原理。在此根底上，討論了基于ARP欺騙的內(nèi)網(wǎng)浸透的防范措施。關(guān)鍵詞ARP欺騙；內(nèi)網(wǎng)浸透；無破綻浸透防范協(xié)議欺騙是指通過對(duì)通信雙方使用協(xié)議弱點(diǎn)的利用，冒充其中一方與另一方進(jìn)展通信的行為。對(duì)于播送式網(wǎng)絡(luò)，只要更改自己網(wǎng)卡的接收形式為混雜形式，理論上就可以截獲所有內(nèi)網(wǎng)上的通信。對(duì)于交換式網(wǎng)絡(luò)環(huán)境，假如要截獲網(wǎng)絡(luò)上不屬于自己的通信，可以通過協(xié)議欺騙來實(shí)現(xiàn)。內(nèi)網(wǎng)浸透指的是在網(wǎng)絡(luò)內(nèi)部的浸透，在本地局域網(wǎng)內(nèi)部對(duì)網(wǎng)內(nèi)的其他系統(tǒng)進(jìn)

2、展浸透的過程?；贏RP欺騙的內(nèi)網(wǎng)浸透指網(wǎng)絡(luò)攻擊者利用ARP欺騙截獲不屬于自身的通信，并從這一條件中獲取更多利益的行為。1.1ARP協(xié)議欺騙ARPAddressReslutinPrtl，地址解析協(xié)議是一個(gè)位于TP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將局域網(wǎng)中某個(gè)IP地址解析成對(duì)應(yīng)的A地址。IP地址到A地址的映射關(guān)系主要是靠ARP協(xié)議來實(shí)現(xiàn)的。對(duì)于網(wǎng)絡(luò)主機(jī)，這個(gè)映射關(guān)系存放在ARP高速緩存中。ARP協(xié)議是這樣工作的：首先，網(wǎng)絡(luò)通信源機(jī)器向網(wǎng)絡(luò)播送ARP懇求包，懇求網(wǎng)絡(luò)通信目的機(jī)器IP所對(duì)應(yīng)的A地址；然后使用該IP的機(jī)器會(huì)向懇求方發(fā)送一個(gè)含有其A地址的ARP回應(yīng)包，這樣懇求方就知道向哪個(gè)A地址目的主機(jī)發(fā)

3、送數(shù)據(jù)。ARP協(xié)議存在以下平安問題1：無連接、無認(rèn)證、動(dòng)態(tài)性、播送。利用ARP協(xié)議的這些平安問題，可以設(shè)計(jì)ARP協(xié)議欺騙的步驟和方法。主機(jī)在不知道目的IP對(duì)應(yīng)的A地址時(shí)，進(jìn)展ARP播送懇求，入侵者可以在接收到該ARP懇求后以自己的A地址應(yīng)答，進(jìn)展假冒；由于被假冒機(jī)器所發(fā)送的ARP應(yīng)答有可能比入侵者發(fā)送的應(yīng)答晚到達(dá)懇求主機(jī)，為了確保懇求主機(jī)的緩存中絕大部分時(shí)間存放的是入侵者的A地址，可以在收到ARP懇求后略微延遲一段時(shí)間再發(fā)送一遍ARP應(yīng)答；有些系統(tǒng)會(huì)向自己緩存中的地址發(fā)送非播送的ARP懇求來更新自己的緩存。在交換網(wǎng)絡(luò)環(huán)境下，假如懇求主機(jī)緩存中已存有正確的主機(jī)A地址，入侵者就不能用以上接收懇求然

4、后應(yīng)答的方法來更換被攻擊主機(jī)緩存內(nèi)容。由ARP弱點(diǎn)分析可知，應(yīng)答可以隨意發(fā)送，不一定要在懇求之后。1.2基于協(xié)議欺騙的內(nèi)網(wǎng)浸透基于協(xié)議欺騙的內(nèi)網(wǎng)浸透技術(shù)也稱無破綻浸透技術(shù)。無破綻浸透技術(shù)是相對(duì)于利用軟件破綻進(jìn)展網(wǎng)絡(luò)浸透的技術(shù)來說的。在以太網(wǎng)中，只要被浸透機(jī)器在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包經(jīng)過本地網(wǎng)卡，在本地就可以截獲其數(shù)據(jù)包中的敏感信息，并可以更改數(shù)據(jù)包內(nèi)容、交換數(shù)據(jù)包中的傳輸實(shí)體，使得被浸透機(jī)器上的敏感信息泄露，并可以使其在接收到被更改正的數(shù)據(jù)包之后，產(chǎn)生更多的損失。對(duì)內(nèi)網(wǎng)中的機(jī)器進(jìn)展浸透，不一定需要軟件破綻的存在。將這種不需要軟件破綻進(jìn)展浸透的技術(shù)稱為無破綻浸透技術(shù)。在交換型以太網(wǎng)中，所有的主機(jī)連接

5、到交換機(jī)，交換機(jī)知道每臺(tái)計(jì)算機(jī)的A地址信息和與之相連的特定端口，發(fā)給某個(gè)主機(jī)的數(shù)據(jù)包會(huì)被交換機(jī)從特定的端口送出，交換機(jī)通過數(shù)據(jù)包中的目的A地址來判斷最終通過自己的哪個(gè)端口來傳遞該報(bào)文，通過ARP欺騙之后，交換機(jī)將無條件地對(duì)這些報(bào)文進(jìn)展轉(zhuǎn)發(fā)，從而確保了ARP欺騙報(bào)文的正確發(fā)送。2.1無破綻浸透技術(shù)無破綻浸透技術(shù)的研究重點(diǎn)是在欺騙成功之后，對(duì)數(shù)據(jù)包的處理。對(duì)數(shù)據(jù)包處理的方式主要有兩種，敏感信息的截取和傳輸實(shí)體的獲取與交換。報(bào)文中敏感信息的獲取對(duì)于明文傳輸?shù)拿嫦蜻B接和非面向連接的協(xié)議，在截獲報(bào)文之后，對(duì)報(bào)文中傳輸?shù)男畔⑦M(jìn)展復(fù)原，并提取其中的敏感信息，如非加密EB頁面的用戶名、密碼，TELNET的用戶

6、名、密碼，F(xiàn)TP的用戶名、密碼和與郵件效勞器進(jìn)展交互時(shí)所需要的用戶名、密碼等都可以直接進(jìn)展嗅探。傳輸實(shí)體的獲取與交換明文傳輸?shù)拿嫦蜴溄拥膮f(xié)議中有很多協(xié)議支持文件實(shí)體的傳輸。如HTTP協(xié)議、FTP協(xié)議、STP協(xié)議。對(duì)文件的實(shí)體獲取是相對(duì)簡單的，對(duì)到達(dá)本地網(wǎng)卡的報(bào)文進(jìn)展緩存，當(dāng)收到連續(xù)報(bào)文中小于1500Byte2的報(bào)文時(shí)對(duì)報(bào)文進(jìn)展復(fù)原，文件實(shí)體便可以得到。本文以網(wǎng)頁傳輸為例，來討論傳輸報(bào)文中網(wǎng)頁里包含鏈接的交換，分析EB欺騙攻擊3的原理。2.2數(shù)據(jù)包獲取與分析數(shù)據(jù)包常規(guī)的傳輸途徑依次為網(wǎng)卡、設(shè)備驅(qū)動(dòng)層、數(shù)據(jù)鏈路層、IP層、傳輸層、最后到達(dá)應(yīng)用程序。而包捕獲機(jī)制是在數(shù)據(jù)鏈路層增加一個(gè)旁路處理，對(duì)發(fā)送

7、和接收到的數(shù)據(jù)包做過濾/緩沖等相關(guān)處理，最后直接傳遞到應(yīng)用程序。值得注意的是，包捕獲機(jī)制并不影響操作系統(tǒng)對(duì)數(shù)據(jù)包的網(wǎng)絡(luò)棧處理。對(duì)用戶程序而言，包捕獲機(jī)制提供了一個(gè)統(tǒng)一的接口，使用戶程序只需要簡單的調(diào)用假設(shè)干函數(shù)就能獲得所期望的數(shù)據(jù)包。目前，在Unix下有Libpap開發(fā)包、inds下有inpap開發(fā)包，都可以輕松地實(shí)現(xiàn)數(shù)據(jù)包的捕獲和分析。2.3數(shù)據(jù)包內(nèi)容交換EB懇求截獲通過閱讀器發(fā)送EB頁的懇求，經(jīng)過封裝后形成的以太網(wǎng)數(shù)據(jù)包不會(huì)超過1514Byte，所以，不用擔(dān)憂EB懇求報(bào)文會(huì)出現(xiàn)分片的情況。當(dāng)實(shí)現(xiàn)欺騙之后，就不斷地截獲、轉(zhuǎn)發(fā)兩個(gè)被欺騙目的之間的通信報(bào)文，并分析每一個(gè)小于1514Byte以太包

8、的通信報(bào)文。一個(gè)HTTP懇求包包含14字節(jié)的以太網(wǎng)頭部、20字節(jié)的IP頭部和20字節(jié)的TP頭部以及HTTP懇求包。其中HTTP協(xié)議以HTTP1.1為例包格式4如圖1所示。圖1HTTP懇求包格式一個(gè)懇求包括：方法+懇求URI+HTTP版本號(hào)。方法有：GET|HEAD|PST|擴(kuò)展方法；URI=目錄與文件名；HTTP版本為HTTP/1.1。一個(gè)完好的URL為協(xié)議類型+EB域名+URI。截獲到HTTP懇求包之后，發(fā)送以自身為源IP的偽造懇求包到EB效勞器，和EB效勞器交互，以獲取所有懇求的文件內(nèi)容。注意，在截獲懇求后，需要緩存TP頭部的序號(hào)和確認(rèn)號(hào)，以備發(fā)送修改后的懇求文件所用。獲取正常EB頁、交換

9、連接復(fù)制懇求的內(nèi)容，根據(jù)序號(hào)和確認(rèn)號(hào)構(gòu)造包頭，發(fā)送到EB效勞器。緩存頭部信息和獲取的文件內(nèi)容。并在每收到一次來自EB效勞器的TP包時(shí)，即構(gòu)造并發(fā)送一個(gè)確認(rèn)給EB效勞器，直到緩存了所有的頁面文件內(nèi)容。將獲取的頁面內(nèi)容進(jìn)展更改，交換其中的鏈接以交換頁面的所有鏈接為例。這需要對(duì)HTTP回應(yīng)包進(jìn)展分析。圖2HTTP協(xié)議回應(yīng)包格式如圖2所示，從以太幀中剝離的HTTP回應(yīng)包格式包含協(xié)議版本、狀態(tài)碼、效勞器版本、懇求文件相關(guān)屬性和懇求的文件內(nèi)容。緊跟著回應(yīng)包的下一個(gè)傳輸?shù)奈募?nèi)容直接跟在TP頭部之后。在緩存之前，先對(duì)文件內(nèi)容中的鏈接信息進(jìn)展更改，將鏈接信息交換成自己想要換成的URL。并將信息存入一個(gè)文件，當(dāng)

10、所有的內(nèi)容承受完畢形成一個(gè)文件之后，需要利用在截獲HTTP懇求時(shí)緩存的序號(hào)和確認(rèn)號(hào)構(gòu)造報(bào)文發(fā)往被欺騙者。發(fā)送假裝數(shù)據(jù)包在構(gòu)造HTTP回應(yīng)包時(shí)，需要填充整個(gè)以太鄭不需要從頭開場去構(gòu)造整個(gè)包，在前面獲取到來自EB效勞器的回應(yīng)包時(shí)，已經(jīng)將包頭部分進(jìn)展了緩存，需要修改和構(gòu)造的部分有：IP頭部校驗(yàn)和、TP頭部中的序號(hào)和確認(rèn)號(hào)、TP頭部校驗(yàn)和5、HTTP協(xié)議回應(yīng)包中的“狀態(tài)碼、“最后修改時(shí)間、“文件長度字段、文件信息的填充。2.4實(shí)現(xiàn)一次完好的ARP欺騙及浸透過程如圖3所示。圖3EB頁面鏈接交換過程Hst、ine、Gate同在一個(gè)交換式局域網(wǎng)內(nèi)，Gate為局域網(wǎng)網(wǎng)關(guān)。通過ARP欺騙，ine截?cái)郒st與Ga

11、te之間的報(bào)文傳輸，當(dāng)Hst懇求eb頁面時(shí)：Hst發(fā)送懇求報(bào)文；ine截獲并提取出URL，模擬HTTP懇求發(fā)送報(bào)文到Gate；Gate轉(zhuǎn)交報(bào)文到Internet上的EB效勞器；EB效勞器發(fā)送HTTP響應(yīng)及數(shù)據(jù)包到ine；緩存了所有文件后，對(duì)文件中的鏈接進(jìn)展交換；將交換后的文件發(fā)送到Hst。在被欺騙者接收到一個(gè)被篡改的網(wǎng)頁之后，它的網(wǎng)絡(luò)行為將完全與預(yù)先設(shè)計(jì)好的虛假站點(diǎn)進(jìn)展交互，從而可以進(jìn)展更進(jìn)一步的浸透。3.1ARP欺騙的防范在交換式網(wǎng)絡(luò)中防范ARP欺騙主要有以下幾種方法：使用靜態(tài)ARP表在關(guān)鍵設(shè)備如網(wǎng)關(guān)、防火墻和邊界路由器等設(shè)置靜態(tài)的ARP，不要讓系統(tǒng)刷新設(shè)定好的ARP轉(zhuǎn)換表。在圖3中，在網(wǎng)關(guān)

12、Gate中使用靜態(tài)ARP表，那么可以防止通過網(wǎng)關(guān)進(jìn)展ARP欺騙。使用ARP效勞器在內(nèi)部網(wǎng)絡(luò)中設(shè)置ARP效勞器，通過該效勞器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP播送，而制止其他系統(tǒng)響應(yīng)ARP懇求。定期輪詢管理員定期輪詢可通過軟件實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部的IP地址與A地址的對(duì)應(yīng)關(guān)系，通過與已有記錄的比擬來發(fā)現(xiàn)ARP欺騙。主動(dòng)出擊主動(dòng)出擊，用一些平安工具如AntiArpSniffer在網(wǎng)絡(luò)中進(jìn)展檢測，可以檢測到本地網(wǎng)絡(luò)上的ARP欺騙報(bào)文。3.2無破綻浸透的防范使用加密通信無破綻浸透的報(bào)文中敏感信息的獲取和傳輸實(shí)體的交換主要針對(duì)非加密通信，將內(nèi)網(wǎng)的通信進(jìn)展加密可以有效地防止這類攻擊。例如在內(nèi)部網(wǎng)絡(luò)利用共享

13、來傳遞文件時(shí)，首先用加密工具如inRAR對(duì)文件進(jìn)展壓縮加密；內(nèi)部網(wǎng)的系統(tǒng)登錄用SSH交換Telnet；用SFTP交換FTP；內(nèi)部網(wǎng)站訪問用HTTPS交換HTTP等等。劃分虛擬局域網(wǎng)欺騙攻擊無法跨網(wǎng)段工作，將網(wǎng)絡(luò)進(jìn)展越細(xì)致地分段，無破綻浸透成功的可能性就越校將受信任主機(jī)設(shè)置在同一社區(qū)VLAN中，將絕密性主機(jī)設(shè)置在隔離VLAN中，可以有效地防止無破綻浸透的滲入。進(jìn)步防范意識(shí)目前，很多容易被攻擊者注意的網(wǎng)站如，網(wǎng)絡(luò)銀行等，都采用了HTTPS代替了HTTP協(xié)議來傳輸網(wǎng)頁和交易數(shù)據(jù)，已經(jīng)防止了這類攻擊發(fā)生的可能。但對(duì)于那些沒有采用加密通信的EB站點(diǎn)來說，EB鏈接交換攻擊仍然有成功的可能。對(duì)這種攻擊可以從閱讀器終端用戶的角度來防范，使用一些較為平安的閱讀器來訪問網(wǎng)站，如GreenBrser，可以設(shè)置從網(wǎng)頁鏈接跳轉(zhuǎn)到非本網(wǎng)站網(wǎng)頁