网路安全期末报告Arp Spoofing.pptVIP

網路安全期末報告 Arp Spoofing 摘要 Arp 簡介 Arp Spoofing 攻擊目的、特色 攻擊手法 ISP業者為何難以察覺 如何防禦 結語 ARP簡介 僅能在區域網路內使用 專門用來詢問 MAC 位址 有目的地IP，便可用ARP問MAC位址 傳送封包前，都會使用此協定 Arp 運作方式 使用兩種封包 ARP request 與 ARP reply ARP request 廣播封包 區域網路上的每一部電腦都會處理此一封包。 ARP reply 區域網路內所有電腦都會處理 ARP request 與本身的 IP 位址比對, 判斷是否為此 request 對象。 以上例而言, B 電腦為 ARP request 的解析對象, 因此只有 B 電腦會產生回應的 ARP reply 封包。 ARP reply B 電腦可從 ARP request 中得知 A 電腦的 IP 位址與 MAC 位址, ARP reply 不再使用廣播, 而直接在封包表頭中, 指定目的位址為 A 電腦的 MAC 位址。 ARP reply 封包中最重要的內容 B 電腦的 MAC 位址。 A 電腦收到此 reply 後, 完成問 MAC 位址工作 Arp Cache ARP request 為廣播, 如果經常出現, 會造成區網負荷。 避免此項問題, 在實作 ARP 時, 會加入 Cache ARP Cache 將 IP /MAC 記錄在記憶體。 系統每次要問 MAC 前, 先在 Cache 中查看是否有符合的紀錄。 有便直接使用，沒有則發出 ARP request 。 Arp Spoofing 利用ARP Cache Memory ARP Cache Memory隨著電腦不斷的發出ARP request 和收到ARP reply而不斷更新 Hacker藉由發出標準的ARP request或ARP reply 擾亂或竄改某電腦或路由器內正常的ARP表 導致該電腦(或路由器)發出的封包誤傳目的地 Arp Spoofing - Example B是駭客企圖監視A與C之間通訊 向A發出一個 ARP Reply，目的IP位址為IP1，MAC 為MAC1，而來源IP地址為IP3，MAC為 MAC2 。 A更新ARP Cache，紀錄IP3地址的機器的MAC是 MAC2 。 Arp Spoofing - Example 當A發出一條FTP命令時---ftp IP3，封包被送到Switch Switch查看封包中的目的地址，MAC為 MAC2 於是把封包送到B 成功攻擊機器A 現在如果不想影響A和C之間的通信 僅是監視兩者的通訊，可以同時 欺騙他們雙方， 採 man-in-middle攻擊 Arp Spoofing - Example 電腦在傳送封包前，會查詢目的IP位址的MAC 正常情況下，只有對應目的IP的主機會回應（48位元MAC位址） 並且將該IP與MAC位址對應更新本機內ARP快取記憶體，以減少不必要的廣播封包 但Hacker會發佈虛假的ARP請求或回應通訊 欺騙其他電腦或路由器將所有通信都轉向自己 它就可扮演某些機器，對資料流程進行修改，影響正常的主機通信。  Arp Spoofing 特色 特色 隱密難以偵測 以欺騙為目的，為了維持續欺騙效果，持續發送ARP欺騙包 造成的網路危害 可能的資料側錄、竊取 對網路特定目標的攻擊 大量ARP廣播造成整個/部份網路的癱瘓 Arp攻擊手法 中間人攻擊(Man-in-the-Middle attack) 利用ARP同時欺騙使用者(Client)與服務器(Server)兩邊使所有兩邊的交談都要透過入侵人的轉述，達到欺騙、側錄、竄改資料的目的 連線劫奪(Session Hijacking) 利用ARP欺騙將使用者正常的連線搶過來 NetCut 假造ARP封包，提供目標主機假的MAC，Gateway收到後，將錯誤的MAC記到ARP 表，Client的返回封包就無法送達 ISP業者為何難以察覺？ 如果區域網內是屬於中大型、具有多個子網路 防火牆/IPS入侵偵測設備通常被設置在核心路由交換器之後根本沒有機會接觸ARP封包 即使區網內只有一個網段，防火牆/IPS入侵偵測設備兼具路由器功能也僅能偵測部分ARP廣播包 如何防禦 需要依賴安全交換器 由交換器來偵測及阻擋防禦最為恰當 不需要支付昂貴的IPS入侵偵測器的成本 可從網路最底層偵測及阻擋防禦 根本解決ARP衍伸的負面攻擊 NBAD switch NBAD sensor NBAD switch 主要應用在區域網路底層的佈署 提供正常網路封包的基本交換功能 偵測功能 xarp scan detection︰主要目的是偵