浅析局域网ARP攻击原理.docVIP

浅析局域网ARP攻击原理 　　[摘 要] 最近校局域网中ARP病毒频繁发作,为使更多用户全面了解并防范ARP欺骗,本文对ARP攻击进行了详细阐述。 　　[关键词] ARP协议 ARP攻击 ARP病毒 　　 　　一.ARP的工作原理 　　 　　以太网中,两网络设备要直接通信,需知道目标设备的IP和MAC地址。ARP协议的基本功能即通过目标设备IP地址,查询其MAC地址,保证通信的进行。 　　当源主机S需要和目标主机D通信时,先要用D的IP与自己子网掩码进行“与”运算得到子网号,若在同一子网,则S首先检查自己ARP列表中是否存在该IP对应的MAC地址,如存在,就将数据包发送到这个MAC 地址;反之,则向本网段发送ARP请求广播包,询问D的IP所对应的MAC 地址。网络中所有主机收到这个ARP请求后,会检查包中目的IP是否和自己IP一致。若不一致则不回应;若一致,该主机首先将发送端MAC地址和IP地址添加到自己ARP列表中,如ARP表中已经存在该IP信息,则将其覆盖,再给S发送ARP响应包,告诉对方自己MAC地址;S收到ARP响应包后,将得到的目的主机IP和MAC对添加到自己ARP列表中,并用此信息开始数据传输。若数据源主机一直没有收到ARP响应包,表示ARP查询失败。若S与D不在同一子网,S就用缺省网关MAC地址作为目标MAC地址。 　　 　　二.ARP的漏洞分析 　　 　　ARP协议虽是一个高效的数据链路层协议,但作为一个局域网协议,它是建立在各主机之间相互信任的基础之上的,因此存在一些安全问题: 　　⑴ARP高速缓存管理程序每隔一固定时间检查IP/MAC地址映射表中所有表项,并删除已达到生存期限的表项。同时若一个IP进程需要发送数据报,但其目的地址不在ARP高速缓存的任何表项中,则IP必须在一个空闲表项中创建一个新表项,若不存在空闲表项,则用替换策略删除旧表项。因此正常主机MAC地址刷新都是有时限的,这样假冒者在下次更新之前修改被攻击机器的地址缓存,就可进行假冒或者拒绝服务攻击了。 　　⑵ARP请求以广播方式进行。这样攻击者就可以伪装ARP应答,与广播者真正要通信的机器进行竞争,还可以确定子网内机器什么时候会刷新MAC地址缓存,以确保最大时间限度地进行假冒。 　　⑶出于传输效率的考虑,在数据链路层就没做安全考虑,在使用ARP 协议交换MAC时,是无状态也无???认证的。只要是收到来自局域网的ARP 请求或应答包,就将其中MAC/IP地址对刷新到本机高速缓存中。因此欺骗方可以随意发送大量虚假请求包和应答包,进行ARP欺骗等。 　　 　　三.ARP欺骗原理 　　 　　假设有A、S、D(各代表攻击方、源主机和目的主机)三台电脑组成的局域网(由交换机连接)。其IP地址分别为:192.168.0.2、192.168.0.3、192.168.0.4,MAC地址分别为:MAC-A、MAC-S、MAC-D。在上述数据发送中,当S的ARP缓存中没有D的ARP信息,向全网询问后,D也回应了自己正确MAC地址。但同时,A却返回了D的IP地址和自己MAC地址。由于A不停地发送这样的应答包,则会导致S重新动态更新自身ARP缓存表,记录成:192.168.0.4与MAC-A对应。这样以后凡是S要发送给D,都将会发送给A。即A劫持了由S发送给D的数据。这是ARP欺骗过程。ARP欺骗手段通常有: 　　⑴欺骗主机通过单播、广播形式发布假冒ARP请求包或ARP应答包,散播虚假IP/MAC映射关系,从而欺骗网络中主机的正常通信。 　　⑵由于被假冒机器所发送ARP应答包有可能比攻击者应答包晚到,为确保被攻击者缓存中绝大部分时间存放攻击者MAC地址,可在收到ARP请求广播后稍延一段时间再发一遍ARP应答。 　　⑶由于各操作系统对ARP缓存处理实现不同,一些操作系统会向缓存地址发送非广播ARP请求来要求更新缓存。交换网络环境下,别的机器捕获不到这种缓存更新,为阻止主机更新缓存,攻击者就可定时发送ARP应答包,不断更新被攻击者MAC缓存,阻止它主动缓存更新。 　　⑷ARP表每一表项生存期限一过就被删除。如攻击者暂使用不工作主机的IP,就可以伪造IP/MAC地址对,把自己伪装成暂时不使用的主机。 　　⑸因高速缓存是动态更新的,攻击者以远小于表项生存期的时间间隔定时地发送ARP应答包。这样被攻击机器缓存中绝大部分时间存放的是攻击者MAC地址。 　　⑹通过以上ARP欺骗,可使子网内其他机器的网络流量都回流到攻击机器上,为隐蔽自己,它必须使它们能够“正常”使用网络,于是它将这些数据包转发到它们应该到达的主机。首先根据捕获的IP包或者ARP包的源IP域进行更新,保持一个局域网内各个IP/MAC包的对应列表;在收到一个IP包之后,分析