基于icmp重定向的中间人攻击研究.docxVIP

基于icmp重定向的中间人攻击研究 “中间人”攻击是指攻击者在网络上攻击特定两个主机的方法，使两个主机之间的通信数据通过攻击者的主机传输。在数据传输过程中，攻击者可以记录数据，操纵数据，挂载网络中的马匹，并执行dns反向攻击。通常情况下攻击者会将网络内的特定主机和网关作为攻击目标, 这样一来特定主机与外网的通信数据都要经过攻击者主机中转, 攻击者可以截获更多有价值的数据, 可以实现更多的攻击目的。“中间人”攻击对网络用户构成了严重威胁, 研究这种攻击行为对网络安全管理工作具有实际意义。 目前, “中间人”攻击普遍通过ARP欺骗来实现。ARP欺骗是由于ARP协议过分信任网络内的信息, 只要收到发送给自己的ARP请求或应答报文, ARP协议不加以任何验证就根据报文中的发送方IP地址和MAC地址刷新自己的ARP缓存表。这种信任直接导致了ARP欺骗行为的产生。为了预防ARP欺骗, 目前网络管理员普遍采用以下策略:1) 在主机端和网关端进行静态地址绑定;2) 在交换机上进行安全设置;3) 在主机端安装ARP防火墙, 如360ARP防火墙。这些措施有效地预防了ARP欺骗的发生, 在网络内通过ARP欺骗实施“中间人”攻击变得越来越困难。为了突破ARP欺骗的局限性, 近年来出现了基于ICMP重定向的“中间人”攻击。攻击者利用伪造的ICMP重定向报文来修改网络内的特定主机的默认网关, 从而达到“中间人”攻击的目的。之前针对ARP欺骗采取的预防措施对ICMP重定向攻击无效。目前针对ICMP重定向攻击尚没有有效的预防措施, 因此研究基于ICMP重定向的“中间人”攻击对网络安全管理工作有重要意义。 1 对设备转发任务的分析 ICMP重定向是指在特定情况下, 当路由器检测到一台主机使用非优化路由时, 会向该主机发送一个ICMP重定向报文, 要求主机改变路由, 同时路由器会把初始数据报向目的地转发。下面以图1为例说明ICMP重定向过程。 图1的网络地址是192.168.8.0, 子网掩码是255.255.255.0, R1和R2路由器均可与因特网连通, 正常情况下网络内所有主机的默认网关均指向R1路由器的内网接口, 即192.168.8.254。网络内部主机发往因特网的数据包都要经过R1路由器中转。假设R1路由器的因特网链路突然异常中断, 这时R1接收到主机1发往因特网的IP数据报, R1发现自己的链路出现异常不能转发这个IP数据报并且它知道R2路由器可以转发这个IP数据报, 于是它向主机1发出一个ICMP重定向报文, 要求主机1将默认网关更改为R2路由器, 同时将这个IP数据报转发给R2路由器, 由R2路由器完成这个IP数据报的转发。主机1接收到ICMP重定向报文, 发现这是默认网关R1路由器发给自己的, 于是它信任这个ICMP重定向报文携带的数据, 将自己的默认网关修改为R2路由器, 主机1发往因特网的后续IP数据报就直接提交给R2路由器, 由它来完成转发任务。 如果R1路由器的因特网链路得到了恢复, 这个信息会通过动态路由协议 (如RIP、OSPF) 通知给R2路由器, R2更新自己的路由表之后发现到达因特网最优的路径是通过R1路由器, 但网络内部主机并不了解这一信息, 它们的默认网关仍然指向了R2路由器。于是R2在接收到主机1发往因特网的IP数据报时, 会将这个IP数据报转发给R1路由器, 由R1完成这个IP数据报的转发, 之后R2向主机1发送一个ICMP重定向报文, 通知主机1将默认网关更改为R1路由器。主机1收到这个ICMP重定向报文, 发现这是当前的默认网关R2路由器发给自己的, 于是它信任这个ICMP重定向报文携带的数据, 将自己的默认网关修改为R1路由器, 主机1发往因特网的后续IP数据报就直接提交给R1路由器, 由它来完成转发任务。通过上面的分析, 我们可以发现路由器是通过动态路由协议 (如RIP、OSPF) 来识别网络拓扑结构变化的, 而主机是通过ICMP重定向报文来识别这种变化的, 因此ICMP重定向报文在网络通信中发挥了重要的作用。 2 通过icmp重定向攻击 ICMP重定向攻击是指攻击者伪造网关向特定主机发送ICMP重定向报文从而达到数据监听、数据篡改的目的。ICMP重定向攻击的过程如图2所示。图2的网络地址是192.168.8.0, 子网掩码是255.255.255.0, 网关是R1路由器, 网络内所有主机的默认网关均指向R1的内网接口, 即192.168.8.254。网络内部主机发往因特网的数据包都要经过R1路由器中转。 为了实施“中间人”攻击, 攻击者首先伪造网关向主机1发送一个ICMP重定向报文, 通知主机1新的网关地址是192.168.8.220。主机1收到这个ICMP重定向报文之后, 发现报文的发送方IP地址是1