ARP攻击与防御指导.docx

1、ARP攻击与防御指导ARP攻击与防御创建时间：2010-01-02文章属性：原创文章来源：Longhai文章提交：Longhai 我们还是用这个拓扑图。我们来做第一个攻击试验，是攻击积最大，也是最好防止的一种。让我们来想一下，如何才能影响最大呢，（在这说的最大就是指 不能正常访问INTERNET的机器数量）。网关坏了，对吧网关坏了。那怎么才能坏呢？咳咳过去拔电源。这叫攻击，不叫攻击，其实我们实现起来不是让网关真正的坏了，而是让所有的机器去往网关的是错误呢，那就好了，好了说干就干。这些工具可以在工具下载区找的到。如何实现呢，广播，不错我们用广播，广播错误的网关地址。看我现在的网络状态是正常的。看

2、看 PC3 上的ARP缓存表。(我在这说明下，我用的和拓扑上的有点变化，上面的192.168.0.0/24 这个段换成了172.16.0.0/24。还有HACK的MAC地址我也没有修改成AAAA.4444.4444这么也很清楚那个很乱的MAC就是攻击者的MAC)在看看R1 也就是网关的ARP缓存（我这是CISCO的设备）R1分别PING通下面的主机。说明网络还是正常的。好开始攻击了，我们构建出第一种攻击的攻击包。看图：这是抓到的包，意外出现了，在我们发出的包后面紧接着网关也发了一个ARP广播包， 这时候一直PING 着网关的PC2 出现丢了一个包的情况。 可为什么之后又通了呢，这个和上面的那个

3、神秘的广播有关，看MAC地址可以发现那是网关发出来的，也就是说，你发广播的时候，路由器也收到了这个欺骗包，但是网关认为自己才是真正的网关啊，收到的这个分明是欺骗么，所以它就自己广播正确的网关加以更正。那我们的攻击失败了。这是CISCO ROUTE的一个特性不知道其他的设备是否这样。 那这样，就没有办法了，答案是有，我们可以加大发包的速度，只要快过网关，看攻击设置：下面是抓包的情况很明显ARP欺骗包超过了网关的正确广播。所以PING出现了下面的问题。这个网络基本就不能用了。再来个狠的。看这样子的发包速度 是什么情况？我可以完全肯定这个网络不能用了。 那怎么防护呢，由于它的攻击对象是PC所以我们在

4、PC上绑定静态的就可以。再来发攻击包看看PING的情况：完全没有问题，攻击被解决了。这种攻击你要有防火墙，一般看到的是网关发送的欺骗。攻击者很是苦恼，终于攻击者又构建一包: 看图给网关发送虚假的主机信息看抓包情况：看PC3PING的情况虽然是绑定了静态的，可网络还是坏了。WHY？我们都知道PING是发送出一个请求包，目标收到请求后再发送应答包给你，那这个包R1 受到了么？我们在R1 上开DEBUG看看上面说明R1 也就是网关收到了这个PING包，并且发送了回应，那为什么PC3收不到回应呢，我们来看下R1 的ARP缓存。R1 到PC3 的MAC地址是错误的。所以PC3 是收不到的。那这个错误的P

5、ing 回应报文去哪了呢？首先这个包到了交换机，交换机是靠什么转发的阿？MAC-PORT表阿那目标MAC是1010.1010.1010 是谁的呢？ 我们之前说过交换机的一个口可以学习多个MAC地址，那我们的情况是每个口都接了一台PC哪来的2个MAC地址呢。很明显。这个MAC就是HACK发包被交换机记录的原MAC地址这个MAC地址是下面图片圈红线的MAC而不是HACKER本身的MAC。也就是说HACK机器现在正常上网就是它自己的MAC 。而发送攻击的MAC是自己乱写的。该说下防御了，当然我们先讲解一种最简单的，我想大家早已经想到了。对在R1 上绑定静态的，也就是实现双向绑定。看看这个172.16

6、.0.3 后面已经是小短线了，说明是静态的了。我们再来攻击我多攻击几个包，大家看看攻击包看看攻击后的PC3 还能正常访问么很好。不收影响了。那攻击者就。束手无策了么？看下面这个包这个包的目标不重要，什么类型也不重要，重要的是源MAC地址和速度。看看效果这是为什么呢。？两边也都绑定了静态的MAC和ip对应关系。那问题只能出在中间的环节上，对就是交换机。还记得交换机的MAC学习功能吧，一个口可以学习很多没MAC地址，但是同一个MAC地址只能同时被一个交换机端口学习到。我们来看看攻击前后交换机的MAC表 大家也就明白了。本来R1 是插在交换机F0/1 口上的，现在R1 的MAC去了哪？对0/14 H

7、ACER的端口。那所有通往网关的数据都到了HACKER那 所以他可以尽情地抓包看你的通讯内容。但是现在黑客也不能正常访问网络的，原因很简单，他的包到了交换机后，也会被交换机错误的处理。回到了HACKER自己的口。（上面的图可能有点疑惑，我PC3 和HACKER是同时接在交换机的F0/14 口上的这样就明白了吧）那HACER如何上网呢。同时还能欺骗主机（上面的方法。全网都掉线）可以这样，不过这样只能同时欺骗一台PC。把源MAC改为受害主机的MAC就OK了。然后往外发包。我们这次攻击PC2（PC2 和R1 上也作了相应的静态绑定我就不上图了）我们看看PC2 在交换机MAC表项这个时候PC2 就掉线

8、了而黑客也一样上网，并且之前我也在PC2 和R1 的静态绑定，图太多我也没有上图。看看PC2 PING这样看你和HACKER和PC2 的发包速度，谁快。那个MAC便跑向哪个端口。那解决办法也简单。在交换机上起 交换机安全就可以，每个口只允许最多一个MAC 。然后再静态绑定。MAC和PORT的邦定。我就不上图了。违规后就SHUDDOWN这个口。Arp数据包 那个OP选项，常用的是ARP请求和ARP回应。那你把攻击包改称ARP请求可以么，答案是Okok的，因为你发送一个请求包，主机就会记学习的ARP包里的ip MAC对应关系。不关这个条目是否主机需要，是否ARP缓存表里有，而回应包只能更新主机的ARP缓存表，如果主机ARP缓存表里没有，则无法更新。虚假的MAC-IP也不会出现在主机的ARP缓存里。好了做好这三个地方的安全。你的网络就OK了。缺一不可！我可以给你举个例子，如果你只作了交换机安全，只允许一个MAC，那么我完全可以，把我的源MAC地址改为交换机绑定的合法MAC，因为欺骗主机靠的是ARP包不是前面的以太网帧，而交换机的学习是靠的以太网头的源MAC地址。前面我们对ARP整个数据帧做了分解。OK这是解决方案一，就是静态绑定，这个方法可以让你很透彻的学习ARP的攻击原理。防止ARP攻击的解决方案还有其他的 我以后将慢慢上传。