ARP欺騙原理與模擬

ARP欺騙原理與模擬蔡燦民一、什么是ARP協(xié)議ARP協(xié)議是“AddressResolutionProtocol”〔地址解析協(xié)議〕的縮寫(xiě)。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的根本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。所以說(shuō)從某種意義上講ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺(jué)的情況下出現(xiàn)網(wǎng)絡(luò)故障，他的危害更加隱蔽。ARP協(xié)議的工作流程：在每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的。找“主機(jī)A〔〕”的MAC步驟：1、查自己的ARP緩存表，如果有，那么成功，否那么轉(zhuǎn)向第二步；2、發(fā)送目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)：“的MAC地址是什么？3、只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出的回應(yīng)，“的MAC地址是00-aa-00-62-c6-09”。4、放在ARP緩存表中，以便下次查詢。二、ARP欺騙的原理此起彼伏的瞬間掉線或大面積的斷網(wǎng)大都是ARP欺騙在作怪。ARP欺騙攻擊已經(jīng)成了破壞網(wǎng)網(wǎng)的罪魁禍?zhǔn)祝蔷W(wǎng)管員的心腹大患。從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。遭受ARP攻擊后現(xiàn)象ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時(shí)會(huì)突然掉線，過(guò)一段時(shí)間后又會(huì)恢復(fù)正常。比方客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過(guò)身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象〔無(wú)法ping通網(wǎng)關(guān)〕，重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp-d后，又可恢復(fù)上網(wǎng)。ARP欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無(wú)法上網(wǎng)，嚴(yán)重的甚至可能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢交易，盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活動(dòng)等，這是木馬的慣用手段，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。常用的維護(hù)方法目前對(duì)于ARP攻擊防護(hù)問(wèn)題出現(xiàn)最多是綁定IP和MAC和使用ARP防護(hù)軟件，也出現(xiàn)了具有ARP防護(hù)功能的路由器。.1靜態(tài)綁定最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。欺騙是通過(guò)ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)那么欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)PC的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險(xiǎn)。2使用ARP防護(hù)軟件目前關(guān)于ARP類的防護(hù)軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來(lái)檢測(cè)出ARP攻擊外，防護(hù)的工作原理是一定頻率向網(wǎng)絡(luò)播送正確的ARP信息。我們還是來(lái)簡(jiǎn)單說(shuō)下這兩個(gè)小工具。3具有ARP防護(hù)功能的路由器這類路由器以前聽(tīng)說(shuō)的很少，對(duì)于這類路由器中提到的ARP防護(hù)功能，其實(shí)它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對(duì)于真正意義上的攻擊，是不能解決的?？赡苣銜?huì)有疑問(wèn)：我們也可以發(fā)送比欺騙者更多更快正確的ARP信息?。咳绻粽呙棵氚l(fā)送1000個(gè)ARP欺騙包，那我們就每秒發(fā)送1500個(gè)正確的ARP信息！首先我們可以肯定一點(diǎn)的就是發(fā)送ARP欺騙包是通過(guò)一個(gè)惡毒的程序自動(dòng)發(fā)送的，正常的TCP/IP網(wǎng)絡(luò)是不會(huì)有這樣的錯(cuò)誤包發(fā)送的，而人工發(fā)送又比較麻煩。也就是說(shuō)當(dāng)黑客沒(méi)有運(yùn)行這個(gè)惡毒程序的話，網(wǎng)絡(luò)上通信應(yīng)該是一切正常的，保存在各個(gè)連接網(wǎng)絡(luò)計(jì)算機(jī)上的ARP緩存表也應(yīng)該是正確的，只有程序啟動(dòng)開(kāi)始發(fā)送錯(cuò)誤ARP信息以及ARP欺騙包時(shí)才會(huì)讓某些計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)出現(xiàn)問(wèn)題。接下來(lái)我們來(lái)闡述下ARP欺騙的原理。第一步：假設(shè)這樣一個(gè)網(wǎng)絡(luò)，一個(gè)Hub或交換機(jī)連接了3臺(tái)機(jī)器，依次是計(jì)算機(jī)A，B，C。A的地址為：IP：192.168.1.1MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：192.168.1.2MAC:BB-BB-BB-BB-BB-BBC的地址為：IP：192.168.1.3MAC:CC-CC-CC-CC-CC-CC

第二步：正常情況下在A計(jì)算機(jī)上運(yùn)行ARP-A查詢ARP緩存表應(yīng)該出現(xiàn)如下信息。Interface:192.168.1.1onInterface0x1000003

InternetAddressPhysicalAddressType

192.168.1.3CC-CC-CC-CC-CC-CCdynamic第三步：在計(jì)算機(jī)B上運(yùn)行ARP欺騙程序，來(lái)發(fā)送ARP欺騙包。B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是〔C的IP地址〕，MAC地址是DD-DD-DD-DD-DD-DD〔C的MAC地址本來(lái)應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了〕。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存〔A可不知道被偽造了〕。而且A不知道其實(shí)是從B發(fā)送過(guò)來(lái)的，A這里只有〔C的IP地址〕和無(wú)效的DD-DD-DD-DD-DD-DDmac地址。第四步：欺騙完畢我們?cè)贏計(jì)算機(jī)上運(yùn)行ARP-A來(lái)查詢ARP緩存信息。你會(huì)發(fā)現(xiàn)原來(lái)正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯(cuò)誤。Interface:192.168.1.1onInterface0x1000003

InternetAddressPhysicalAddressType

192.168.1.3DD-DD-DD-DD-DD-DDdynamic

主機(jī)B主機(jī)A總結(jié)從上面的介紹我們可以清楚的明白原來(lái)網(wǎng)絡(luò)中傳輸數(shù)據(jù)包最后都是要根據(jù)MAC地址信息的，也就是說(shuō)雖然我們?nèi)粘Ｍㄓ嵍际峭ㄟ^(guò)IP地址，但是最后還是需要通過(guò)ARP協(xié)議進(jìn)行地址轉(zhuǎn)換，將IP地址變?yōu)镸AC地址。而上面例子中在計(jì)算機(jī)A上的關(guān)于計(jì)算機(jī)C的MAC地址已經(jīng)錯(cuò)誤了，所以即使以后從A計(jì)算機(jī)訪問(wèn)C計(jì)算機(jī)這個(gè)這個(gè)地址也會(huì)被ARP協(xié)議錯(cuò)誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。問(wèn)題也會(huì)隨著ARP欺騙包針對(duì)網(wǎng)關(guān)而變本加厲，當(dāng)局域網(wǎng)中一臺(tái)機(jī)器，反復(fù)向其他機(jī)器，特別是向網(wǎng)關(guān)，發(fā)送這樣無(wú)效假冒的ARP應(yīng)答信息包時(shí)，嚴(yán)重的網(wǎng)絡(luò)堵塞就會(huì)開(kāi)始。由于網(wǎng)關(guān)MAC地址錯(cuò)誤，所以從網(wǎng)絡(luò)中計(jì)算機(jī)發(fā)來(lái)的數(shù)據(jù)無(wú)法正常發(fā)到網(wǎng)關(guān)，自然無(wú)法正常上網(wǎng)。這就造成了無(wú)法訪問(wèn)外網(wǎng)的問(wèn)題，另外由于很多時(shí)候網(wǎng)關(guān)還控制著我們的局域網(wǎng)LAN上網(wǎng)，所以這時(shí)我們的LAN訪問(wèn)也就出現(xiàn)問(wèn)題了。實(shí)驗(yàn)原那么1、每?jī)蓚€(gè)同學(xué)為一小組進(jìn)行合作，每一小組同學(xué)交一份報(bào)告；2、主機(jī)A、B分別為小組兩同學(xué)的電腦，主機(jī)C為網(wǎng)關(guān)172.*.*.254；3、模擬：主機(jī)B攻擊主機(jī)A，向主機(jī)A發(fā)送ARP回應(yīng)〔Reply〕包，包中為C的IP及錯(cuò)誤的MAC，以到達(dá)修改主機(jī)A的ARP表。實(shí)驗(yàn)步驟1、主機(jī)A和主機(jī)B進(jìn)行Ping操作，保證網(wǎng)絡(luò)正常運(yùn)行，檢查主機(jī)A的ARP表，記下網(wǎng)關(guān)C的MAC；2、運(yùn)行IRIS，過(guò)濾配置為：A、協(xié)議：ARP；B、IP地址：主機(jī)A與主機(jī)B；3、由主機(jī)B發(fā)出Ping主機(jī)A的命令，捕獲到ARP數(shù)據(jù)包，在回應(yīng)包中做相應(yīng)修改，修改內(nèi)容為：A、MAC頭的發(fā)送與接收MAC；B、網(wǎng)關(guān)C