ARP欺騙防范與追蹤祥解

1、.：.；摘 要 論述了ARP欺騙的特征，分析了ARP欺騙產(chǎn)生的原理，并根據(jù)長期的實際閱歷，總結了一套ARP欺騙防備與追蹤的戰(zhàn)略。 關鍵詞 ARP欺騙；局域網(wǎng)；MAC地址 1 引言 ARP協(xié)議，又稱地址解析協(xié)議，簡單說就是經(jīng)過IP地址來查詢目的主機的MAC地址。ARP協(xié)議在以太網(wǎng)主機通訊中發(fā)揚至關重要的作用。然而，事物都有兩面性，假設ARP協(xié)議被黑客利用，經(jīng)過偽造IP地址和MAC地址實施ARP欺騙，將會在網(wǎng)絡中產(chǎn)生大量ARP通訊流量從而使網(wǎng)絡發(fā)生擁塞，或者經(jīng)過實施“Man In TheMiddle進展ARP重定向和嗅探攻擊。我校網(wǎng)絡中心層為思科6500系列三層交換機，分布層和接入層采用思科和瑞捷

2、交換機，IP地址采取靜態(tài)分配。本篇所討論的ARP防治戰(zhàn)略，即是在此種網(wǎng)絡環(huán)境下歸納的。 2 ARP欺騙景象 在局域網(wǎng)內(nèi)，攻擊源主機不斷發(fā)送ARP欺騙報文，即以冒充的網(wǎng)卡物理地址向同一子網(wǎng)的其它主機發(fā)送ARP報文，甚至冒充該子網(wǎng)網(wǎng)關物理地址蒙騙其它主機，誘使其它主機經(jīng)由該病毒主機上網(wǎng)。真網(wǎng)關向假網(wǎng)關的切換，會導致網(wǎng)內(nèi)用戶斷網(wǎng)。當攻擊源主機斷電或離線，網(wǎng)內(nèi)其它主機自動重新搜索真網(wǎng)關，這個過程又會導致用戶斷一次網(wǎng)。所以某子網(wǎng)內(nèi)，只需存在一臺或多臺這樣的攻擊源主機，就會使其它主機上網(wǎng)斷斷續(xù)續(xù)，嚴重時將致使整個網(wǎng)絡陷于癱瘓。上述景象即是一種典型ARP欺騙，除了影響網(wǎng)絡運轉(zhuǎn)效率，攻擊者也會趁機竊取網(wǎng)內(nèi)用戶

3、的帳號和密碼。由于發(fā)送的是ARP報文，具有一定的隱秘性，假設侵占系統(tǒng)資源不是很大，又無防病毒軟件監(jiān)控，普通用戶不易覺察。 3 ARP欺騙分析 3.1 原理簡析 局域網(wǎng)內(nèi)某主機運轉(zhuǎn)ARP欺騙程序時，會誘騙局域網(wǎng)內(nèi)一切主機和路由器，使上網(wǎng)流量必需經(jīng)由該病毒主機。原來經(jīng)過路由器上網(wǎng)的用戶如今轉(zhuǎn)由病毒主機，這個切換會致運用戶斷線。切換到病毒主機上網(wǎng)后，假設用戶曾經(jīng)登錄了傳奇效力器，病毒主時機不斷制造斷線的假象，用戶就得重新登錄，病毒主機就可以趁機實施盜號行為。ARP欺騙木馬程序發(fā)作會發(fā)送大量數(shù)據(jù)包，從而導致局域網(wǎng)通訊擁塞，受本身處置才干的限制，用戶會覺得網(wǎng)速越來越慢。ARP欺騙木馬程序停頓運轉(zhuǎn)，用戶會

4、恢復從路由器上網(wǎng)，該切換那么會導致用戶再次斷網(wǎng)。 3.2 欺騙方式 3.2.1 普通冒充欺騙 這是一種比較常見的攻擊，經(jīng)過發(fā)送偽造的ARP包來實施欺騙。根據(jù)欺騙者實施欺騙時所處的立場，可分為三種情況：冒充網(wǎng)關欺騙主機、冒充主機欺騙網(wǎng)關、冒充主機欺騙其它主機。在冒充網(wǎng)關欺騙中，欺騙者定時且頻繁的對本網(wǎng)發(fā)送ARP廣播，通知一切網(wǎng)絡成員本人就是網(wǎng)關，或者以網(wǎng)關身份偽造虛偽的ARP回應報文，欺騙局域網(wǎng)內(nèi)的其它主機，這樣子網(wǎng)內(nèi)流向外網(wǎng)的數(shù)據(jù)就可以被攻擊者截??；冒充主機欺騙網(wǎng)關的過程跟冒充網(wǎng)關的過程相反，欺騙者總是經(jīng)過虛偽報文通知網(wǎng)關，本人就是目的主機，從而使網(wǎng)關向用戶發(fā)送的數(shù)據(jù)被攻擊者截??；冒充主機欺騙

5、其它主機那么是同一網(wǎng)內(nèi)設備間的欺騙，攻擊者以正常用戶的身份偽造虛偽ARP回應報文，欺騙其它主機，結果是其它用戶向該用戶發(fā)送的數(shù)據(jù)全部被攻擊者截獲。 3.2.2 虛擬MAC地址欺騙 這種攻擊也是攻擊者以正常用戶身份偽造虛偽的ARP回應報文，欺騙網(wǎng)關。但是，和上述普通冒充欺騙不同的是，此時攻擊者提供應網(wǎng)關的MAC地址根本不存在，不是攻擊者本人的MAC地址，這樣網(wǎng)關發(fā)給該用戶的數(shù)據(jù)全部被發(fā)往一個不存在的地方。 3.2.3 ARP泛洪 這是一種比較危險的攻擊，攻擊者偽造大量虛偽源MAC和源IP信息報文，向局域網(wǎng)內(nèi)一切主機和網(wǎng)關進展廣播，目的就是令局域網(wǎng)內(nèi)部的主機或網(wǎng)關找不到正確的通訊對象，甚至直接用虛

6、偽地址信息占滿網(wǎng)關ARP緩存空間，呵斥用戶無法正常上網(wǎng)。同時網(wǎng)絡設備CPU居高不下，緩存空間被大量占用。由于影響到了網(wǎng)絡設備，攻擊者本人上網(wǎng)的效率也很低，這是一種典型的損人不利己行為。 3.2.4 基于ARP的DoS 這是新出現(xiàn)的一種攻擊方式，DoS又稱回絕效力攻擊，當大量的銜接懇求被發(fā)送到一臺主機時，由于該主機的處置才干有限，不能為正常用戶提供效力，便出現(xiàn)回絕效力。這個過程中假設運用ARP來隱藏本人，被攻擊主機日志上就不會出現(xiàn)真實的IP記錄。攻擊的同時，也不會影響到本機。 4 ARP欺騙鑒定方法 4.1 檢查網(wǎng)內(nèi)感染“ARP欺騙木馬病毒的計算機 在“命令提示符下輸入并執(zhí)行“ipconfig命

7、令，記錄網(wǎng)關IP地址，即“DefaultGateway對應的值，例如“192.168.18.1。然后執(zhí)行“arp-a命令查看本人網(wǎng)關MAC地址，如假設變成和內(nèi)網(wǎng)一機器MAC地址一樣，可據(jù)此斷定內(nèi)網(wǎng)有機器中了ARP網(wǎng)關欺騙型病毒。本操作前提是知道網(wǎng)關的正確MAC地址，可在正常上網(wǎng)主機上，運用“arp -a命令查看網(wǎng)關MAC地址，經(jīng)過對比查看網(wǎng)關MAC地址能否被修正。 4.2 查看ARP表 用三層設備接入校園網(wǎng)的單位，網(wǎng)管可以檢查其三層設備上的ARP表。假設有多個IP對應同一個MAC，那么此MAC對應的計算機很能夠中了木馬病毒?？山?jīng)過下連二層交換機的轉(zhuǎn)發(fā)表查到此MAC對應的交換機端口，從而定位有問

8、題的計算機。 5 ARP欺騙防備戰(zhàn)略 5.1 清空ARP緩存 點擊“開場按鈕-選擇“運轉(zhuǎn)-輸入“arp -d-點擊“確定按鈕，然后重新嘗試上網(wǎng)，如能恢復正常，那么闡明此次掉線能夠是受ARP欺騙所致。 5.2 個人主機ARP綁定 經(jīng)過執(zhí)行“arp -s 210.31.197.94 00-03-6b-7f-ed-02，暫時綁定主機IP與MAC地址。 或者，經(jīng)過建立一批處置文件，綁定IP和MAC。方法如下： echo off arp -d arp -s IP MAC 每次開機，計算機都會執(zhí)行一次靜態(tài)ARP地址綁定，從而較好地防備ARP欺騙。假設能在機器和路由器中都進展綁定，效果會更好。 5.3 采用

9、適當?shù)臍⒍九c防備軟件 趨勢、諾頓、卡巴斯基、瑞星等殺毒軟件均可查殺此類病毒。ARP防火墻、風云防火墻等，都是針對性較強的防ARP欺騙攻擊軟件，可以起到防備甚至追蹤ARP攻擊源的作用。 6 ARP欺騙清查方法 6.1 三層交換的ARP綁定 運用可防御ARP攻擊的三層交換機，在端口綁定IP和MAC地址，限制ARP流量，及時發(fā)現(xiàn)并自動阻斷ARP攻擊端口，合理劃分VLAN，徹底阻止IP、MAC地址盜用，杜絕ARP攻擊。 6.2 網(wǎng)絡追蹤 對于曾經(jīng)迸發(fā)ARP欺騙的網(wǎng)絡環(huán)境，可以采取以下步驟進展追蹤定位。 6.2.1 問題發(fā)現(xiàn) 我校圖書館的網(wǎng)絡拓撲構造如下，中心交換機思科6509下連圖書館銳捷4909交換

10、機，經(jīng)過銳捷4909交換機5模塊的百兆口下連圖書館的各接入交換機，且各接入交換機為不可管理型，所以普通網(wǎng)絡缺點，在交換機上只能定位到5模塊的百兆口。圖1為圖書館網(wǎng)絡拓撲。 HYPERLINK hiphotos.baidu/galaxy_goke/pic/item/20978d104c4fffe2a6ef3f75.jpeg t _blank HYPERLINK 527/attachment.php?aid=17540&k=8014f6a53e6e23525985b529029dfc33&t=1265619593¬humb=yes t _blank 1.jpeg (30.76 KB)2021

11、-2-3 08:22 圖 1 圖書館網(wǎng)絡拓撲 根據(jù)用戶反映網(wǎng)絡不暢通，網(wǎng)絡管理人員登錄校園網(wǎng)中心設備Center_6509交換機，發(fā)現(xiàn)CPU利用率不斷很高，接近100%。 CPU utilization for five seconds：99%/5%；one minute：99%；five minutes：95% Center6509_super720#sh proc cpu history 查看歷史記錄，發(fā)現(xiàn)近一個小時，CPU利用率不斷接近100%，這顯然是不正常的。 6.2.2 ARP欺騙確定 Center_6509交換機上，采用show arp 命令，發(fā)現(xiàn)有一段211.70.215.0網(wǎng)

12、段的IP均對應0040.ca65.e888。 Center6509_super720#sh arp Internet 211.70.215.23 0 0040.ca65.e888 ARPA Vlan19 Internet 211.70.215.24 0 0040.ca65.e888 ARPA Vlan19 Internet 211.70.215.25 3 0040.ca65.e888 ARPA Vlan19 Internet 211.70.215.26 0 0040.ca65.e888 ARPA Vlan19 Internet 211.70.215.27 0 0040.ca65.e888 AR

13、PA Vlan19 由于本文援用數(shù)據(jù)均較長，普通只截取一部分予以闡明，以下援用資料同此處 0040.ca65.e888這個MAC地址，同時對應假設干個IP地址，這是一種典型的ARP攻擊景象。 6.2.3 確定攻擊來源端口 交換機2模塊是與各單位進展銜接的千兆接口，承載大部分的流量。先逐個停掉2模塊各端口測試，最終確定是連圖書館方向的6號端口存在問題。停掉6號端口，交換機CPU利用率立刻就降到正常程度，翻開6號端口，再次升高。圖書館方向是瑞捷4909交換機。登錄該交換機，采用第二步的方法，確認是5模塊的1號端口存在問題。分析如下： Libraryconfig#inte fastEthernet

14、5/1 Libraryconfig-if#sh Center_6509中心交換機CPU利用率立刻恢復正常，ARP特征不再明顯。 在圖書館的Library_4909交換機上，查看該MAC地址的詳細來源 Library#sh mac-address-table address 0040.ca65.e888 Vlan MAC Address Type Interface - - - - 67 0040.ca65.e888 DYNAMIC Fa5/1 可見，F(xiàn)a5/1下連的0040.ca65.e888就是攻擊源，與上面的排查結果吻合。 6.2.4 準確定位攻擊源 網(wǎng)絡管理人員采用以上方法，可以及時查到

15、攻擊源MAC地址。但是當子網(wǎng)內(nèi)發(fā)生ARP欺騙行為時，受影響主機在交換機上一致顯示為攻擊源MAC地址，如何在出現(xiàn)問題的子網(wǎng)內(nèi)部準確定位攻擊源主機，網(wǎng)絡管理人員需求思索的問題?！皀etscan命令即是一個行之有效的方法。nbtscan是一個掃描Windows網(wǎng)絡NetBIOS信息的小工具，可以查看局域網(wǎng)內(nèi)真實的MAC地址。 在Library_4909交換機Fa5/1口下連的某臺主機上，運轉(zhuǎn)“nbtscan命令，查找子網(wǎng)主機的真實MAC地址。詳細如下： C：nbtscan -r 211.70.215.1/24 Warning：-r option not supported under Windows

16、. Running without it. Doing NBT name scan for addresses from 211.70.215.1/24 IP address NetBIOS Name Server User MAC address - 211.70.215.24 AGESERVER 00-09-6b-7f-b7-4a 211.70.215.25 HP-EC3A9E8DC568 00-16-35-b0-bc-e6 211.70.215.26 LIB-2K3II 00-40-ca-65-e8-88 211.70.215.31 LIBSS 00-12-79-d4-28-51 211

17、.70.215.33 RD 00-13-21-1d-d1-c6 211.70.215.34 HPLH3 00-a0-c9-ea-8e-43 211.70.215.35 CNKI 00-13-21-e9-2c-c2 211.70.215.36 S-D0WGVJ7BN3LUP S-D0WGVJ7BN3LUP 00-0f-20-93-6e-3d 211.70.215.39 DL360 00-17-a4-8f-e7-7a 。 據(jù)此可隨便查到攻擊源MAC地址00-40-ca-65-e8-88所對應的真實IP-211.70.215.26，根據(jù)NetBIOSName信息“LIB-2K3II或者網(wǎng)絡管理人員的IP運用記錄，可以準確定位攻擊源主機。在網(wǎng)絡管理