基于ARP协议MITM攻击与防范.docVIP

基于ARP协议MITM攻击与防范 　　摘要： 目前网络中存在大量基于ARP协议的病毒或攻击。它们的主要危害表现为通过地址伪装欺骗局域网内的其他主机，监听数据传输、截获数据报文、盗取帐号信息，甚至对来访数据包进行欺骗和伪造，对网络安全造成极大的威胁。本文通过ARP工作机制及ARP病毒常用欺骗攻击方法的分析，来探讨对此类病毒的防范及解决方案。 　　关键词： ARP MITM 地址映射 攻击探测 　　 　　ARP即Address Resolution Protocol，是将网络IP地址转换为以太网MAC地址的协议。ARP工作时，源主机送出一个含有目标IP地址的以太网广播数据包。目的地主机以一个含有自身IP和MAC地址的数据包作为应答。发送者将这个地址对存储在缓存里的ARP转换表中，以减少不必要的ARP通信。如果有一个不被信任的节点对本地网络具有写访问权限，就会存在某种风险。该节点的主机可以发布虚假的ARP报文，并将所有通信都转向它自己??然后它就可以扮演某些机器，或者对数据流进行简单的修改，ARP欺骗故而产生。 　　TCP/IP协议的网络中，路由表决定一个IP包的传输路径，但当IP包到达该网络后，响应这个IP包的主机却是由该IP包中所包含的硬件MAC地址来识别。只有与该IP包中的硬件MAC地址相同的机器才会应答这个IP包。在网络中的每一台主机都会发送IP包，因此在每台主机的内存中都有一个IP―MAC 的转换表，称为ARP映射表。ARP协议正式通过这个表来完成将IP地址到硬件MAC的转换解析。此表通常是一个动态的转换表（可手工添加静态条目），也就是说，该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。主机在发送一个IP包之前，先到该转换表中寻找和IP包对应的硬件MAC地址，如果没有找到，该主机就发送一个ARP广播包，于 　　是，主机刷新自己的ARP缓存。然后发出该IP包。 　　 　　一、ARP欺骗攻击的方式 　　 　　从机制上讲，ARP欺骗攻击的实质属于一种中间人欺骗攻击（Man-in-the-Middle Attack，简称“MITM攻击”）。MITM攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或篡改传递的信息，然而两个原始计算机用户却认为他们是在互相通信，因而这种攻击方式并不很容易被发现。 　　 　　1.信息篡改。当A和B通信时，由主机C来为其“转发”，如图，而A、B之间并没有实际上的直接通信，它们间的信息传递用C作为中介来完成，但A、B却仍然认为它们之间是在直接通信。这样攻击主机在中间成为了一个转发器，C可以不仅窃听A、B的通信，还可以对信息进行篡改再传给对方，C便可以将恶意信息传递给A、B以达到自己的目的。 　　2.信息窃取。当A和B通信时，C不主动去为其“转发”，只是把他们传输的数据备份，以获取用户网络的活动，包括账户、密码等敏感信息，这种攻击属于被动攻击，很难被发现。 　　实施中间人攻击时，攻击者常考虑的方式正是ARP欺骗或DNS欺骗等，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是完全透明的。以常见的DNS欺骗为例，目标将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将假冒的IP替换掉真实的IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了一个伪造的网站如某银行网站，从而骗取用户输入他们想得到的信息，如银行账号及密码等，这可以看作网络钓鱼攻击的一种方式。 　　 　　二、ARP欺骗的种类 　　 　　目前ARP欺骗主要有网关欺骗和ARP表的欺骗两种。 　　1.网关欺骗的主要方法是伪造网关。通过建立虚假的网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。其表现就是网络掉线，发送数据包的数量远远大于收到的数据包的数量，甚至无法收到数据包（俗称“掉线”）。 　　2.ARP表欺骗主要方法是截获网关数据。通过通知路由器或三层交换机一系列虚假的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，而真正的目标PC无法收到信息。 　　如果攻击的源主机和目标主机属于不同网段，只需要把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由时，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发。因此