战术攻防之近距搏击篇(ARP)攻击.docVIP

战术攻防之近距离搏击篇(ARP)攻击 摘要：SANS公布2001来自于内部入侵攻击虽然只占30%左右，然而产生的危害也最大，因此局域网络的入侵和渗透更具有实足的硝烟气息。利用二层链路上ARP协议漏洞而产生的各种攻击方式无疑是局部网络战争最精妙的特技。 标签：安全攻防 ARP攻击 生活在网络时代里，我们的生活里多了黑客这样一群神秘人物。传说中他们放荡不羁，崇尚自我并行事诡异，搅动着整个网络命脉，使其生机无限。然而现实中，他们超然的生活于我们周围。假想在一间忙碌的Office中，每个员工在自己狭窄的工作空间中埋头于自己手头的事物；能听到的声音是手指在键盘挥舞的呵咔声和此起彼伏的电话铃，有谁有注意到那狭窄的个人空间里，思维的放任超乎寻常。飞快的手指间，各种指令和运作的程序队列般的游行着。表面上似乎一切都正常，然而，或许那里正进行着激烈的电子对抗……。 SANS公布2001来自于内部入侵攻击虽然只占30%左右，然而产生的危害也最大，因此局域网络的入侵和渗透更具有实足的硝烟气息。利用二层链路上ARP协议漏洞而产生的各种攻击方式无疑是局部网络战争最精妙的特技。 一、 基础知识预备 精巧程序的后面藏匿着简单的原理和聪颖的智慧。为了顺利阐述ARP本身的协议漏洞以及后面将要阐述的各种ARP攻击思维(同时，我必须顾及那些初次接触网络的朋友，以致不挫伤他们对网络攻击防御的兴趣)，我们将粗浅的概览ARP协议和相关的网络链路层的一些概念。 ARP(Address Resolution Protocol)简称地址解析协议，主要用于把以太网卡硬件地址和IP地址捆绑起来。当主机之间发生通信要求，则ARP协议通过广播请求/单播回应方式建立主机间通信连接。大家熟悉的IP地址采用32位长度，在以太局域网中网卡设备地址是48位长度(也称为MAC地址)。一张称为ARP缓存的表单用于维护MAC地址和其所对应的IP地址的相关性。ARP则提供用于在网络设备间进行地址转换和创造MAC-IP相关性的协议规则。 网络链路层的建立通信关系的准则：网络主机A欲与网络主机C建立通信连接，主机A在网络中广播ARP的请求数据包(REQUEST)，如图一： 主机A欲与IP地址为的目标主机通信，则发送的广播的数据包中包含本身的IP地址、网卡的MAC地址、目标主机的IP地址以及广播MAC地址(FF-FF-FF-FF-FF-FF)。 (注：Mac地址是媒体接入层上使用的地址，直观的概念就是网卡的物理地址，Mac地址一般都采用6字节48bit。) 主机C接收到ARP的REQUEST广播包，发现目标地址中IP地址与自身IP地址一致，接收该数据请求，并作出响应。 从图二中，可以看到主机C发现主A的ARP请求符合要求，在自身ARP缓存表中添加主机A的IP-MAC绑定映像记录，并发送单播ARP回应数据包(RELAY)给主机A。主机A接收到回应数据包，更新其ARP缓存表记录，绑定主机C的IP-MAC映像记录。至此，二层通信关系建立完毕。而网络中其他主机则忽略此请求包。 这种关系可以类似于情景会话↓ 主机A：嗨，谁主机的IP地址是? 主机B：嗨，我主机地址是,我的门牌号是00-50-56-C0-08，记得来找我啊。 其他主机：NO，这不是我的IP地址。 从原理分析发觉ARP本身是无类协议，本身不能携带任何状态信息。因此ARP协议不能进行任何认证，这样就导致协议本身具有安全威胁性。造成这种安全威胁的历史原因在于：早先的网络创造者们是在一个平和自由的环境中设计ARP协议，因而安全问题在当时几乎是琐碎的事情。然而网络集聚膨胀，破坏性攻击和入侵事件的增加，使得ARP协议脆弱不堪。 了解ARP工作原理之后，可以得出：大部分网络系统中的ARP缓存列表根据所接收的ARP REPLAY数据包动态增加或更新缓存表中IP-MAC映射记录。根据这样一条简单规则，我们将看到各种绚丽的入侵和攻击手法。 二、 攻击分类 ◆ARP缓存中毒 这是个非常有意思的标题—“中毒”，这能让我联想到霉绿色的空气和腐锈的红色河水，毕竟地球区域生态环境令人担心?。 ARP缓存中毒其实质并没有字面含义那么可怕。还记得前面所提高过ARP缓存表的概念吧，事实上每个网络设备都有一个APR表，其中临时记录着匹配的设备MAC和IP地址映射对。它保证这些记录具有唯一性，即一个IP只单独映射一个MAC。又由于ARP本身不具备认证信任机制，因此欺骗行为变的泛滥。当网络设备发送ARP REQUEST时，它完全相信ARP REPLY回应是来自于正确设备，因为它不能验证回应数据包是否确切从正确的设备发送的。更糟糕的是，许多操作系统并不需要发送ARP请求数据包就直接承认其他设备发送的ARP回应数据包。 这样垃圾方式的设计让入侵变的肆意，而防御却无奈了许多。假设我是一个黑