126ARP欺骗攻击实验.docx
《126ARP欺骗攻击实验.docx》由会员分享,可在线阅读,更多相关《126ARP欺骗攻击实验.docx(22页珍藏版)》请在冰点文库上搜索。
126ARP欺骗攻击实验
2010~2011
(1)学年《局域网组建、管理与维护》考查卷
姓名:
学号:
任课教师:
梁根
________专业:
教育技术学班级:
08-1成绩:
___________
浅谈局域网内ARP欺骗攻击与防御
摘要:
ARP欺骗是个很老的话题了,自从有了TCP/IP协议的那一刻起它就存在了。
曾起何时,ARP不过是大学校园的“赖皮”学生用来争抢IP的一种技术手段而已!
而现在利用ARP攻击方式盗取密码的事情数见不鲜!
由于ARP攻击导致频繁掉线的事情频频出现,让人很恼火。
本文将着力解释什么是ARP攻击及其原理等,让读者朋友们对其有个深入的了解,并通过是实战演练来向读者展示“ARP欺骗攻击与防御”。
关键词:
局域网;ARP;ARP欺骗攻击;防御
LANARPspoofingattackoftheprincipleof
ZengXian-MaoYeQi-ming
(1.SchoolofScience,,MaomingUniversity,MaomingGuangdong525000,China)
Abstract:
ARP spoofingis avery old topic, withtheintroductionof TCP/IP protocol fromthemoment it exists. Since when has,ARP,but theuniversity campus,"shameless"competitionfor students for a technologyto IP-only!
ARP attack now use it tostealpasswords moreoftenthannot!
ARP attackcauses frequent droppedcalls because ofthe frequent things,people veryangry. Thisarticlewill explainwhatisthe ARP attacksfocuson itsprinciples,sothat readers oftheir friends havea deepunderstanding,andthrough a practicalexercise to demonstrate tothereader "ARP spoofingattack anddefense."
Keywords:
LAN;ARP;ARPspoofingattacks;Defense
随着局域网内电脑数量的不断增加,在出口带宽没有改变的情况下,用户间的平均网速不断地变慢,常常会低于50kb,这样的网速让很多用户都受不了,于是很多用户都选择用ARP欺骗工具进行局域网攻击,从而达到限制别人网速而提升自己网速的目的。
这就造成局域网内频繁掉线的事情出现,这只是其一。
更有的是现在利用ARP攻击方式盗取密码的事情数见不鲜,因此警惕局域网内ARP欺骗攻击是件急切的事,局域网内ARP欺骗攻击的防御就更是重中之重。
1.什么是ARP
我们知道,当我们在浏览器里面输入网址时,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。
那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?
在局域网中,这是通过ARP协议来完成的。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
所以网管们应深入理解ARP协议。
(1)什么是ARP协议?
ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?
它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
(2)如何查看ARP缓存表?
ARP缓存表是可以查看的,也可以添加和修改。
在命令提示符下,输入“arp-a”就可以查看ARP缓存表中的内容了,如附图所示。
上图中,"InternetAddress"指的就是IP地址,"PhysicalAddress"指的就是MAC地址。
用“arp-d”命令可以删除ARP表中某一行的内容;用“arp-s”可以手动在ARP表中指定IP地址与MAC地址的对应。
2.ARP欺骗原理
其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。
ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。
它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
在PC看来,就是上不了网了,“网络掉线了”。
不过要说到ARP的欺骗原理,就不得不先说下ARP协议的工作原理。
ARP数据包根据接收对象不同,可分为两种:
1.广播包(Broadcast)。
广播包目的MAC地址为FF-FF-FF-FF-FF-FF,交换机设备接收到广播包后,会把它转发给局域网内的所有主机。
2.非广播包(Non-Broadcast)。
非广播包后只有指定的主机才能接收到。
ARP数据包根据功能不同,也可以分为两种:
(1)ARP请求包(ARPRequest)。
ARP请求包的作用是用于获取局域网内某IP对应的MAC地址。
(2)ARP回复包(ARPReply)。
ARP回复包的作用是告知别的主机,本机的IP地址和MAC是什么。
广播的一般都是ARP请求包,非广播的一般都是ARP回复包。
假设局域网内有以下两台主机,主机名、IP地址、MAC地址分别如下:
主机名IP地址MAC地址
A192.168.0.1AA-AA-AA-AA-AA-AA
B192.168.0.2BB-BB-BB-BB-BB-BB
当主机A需要与主机B进行通讯时,它会先查一下本机的ARP缓存中,有没有主机B的MAC地址。
如果有就可以直接通讯。
如果没有,主机A就需要通过ARP协议来获取主机B的MAC地址,具体做法相当于主机A向局域网内所有主机喊一嗓子:
“喂~谁是192.168.0.2?
我是192.168.0.1,我的MAC地址是AA-AA-AA-AA-AA-AA。
你的MAC地址是什么,快告诉我”,这时候主机A发的数据包类型为:
广播-请求。
当主机B接收到来自主机A的“ARP广播-请求”数据包后,它会先把主机A的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,然后它会给主机A发送一个“ARP非广播-回复”数据包,其作用相当于告诉主机A:
“嘿,我是192.168.0.2,我的MAC地址是BB-BB-BB-BB-BB-BB”。
当主机A接收到主机B的回复后,它会把主机B的IP地址和MAC地址对应关系保存/更新到本机的ARP缓存表中,之后主机A和B就可以进行通讯了。
从上述局域网主机通讯过程可以看出,主机在两种情况下会保存、更新本机的ARP缓存表。
(1)接收到“ARP广播-请求”包时
(2)接收到“ARP非广播-回复”包时。
从《ARP协议工作原理》一文我们已经了解到,主机在两种情况下会保存、更新本机的ARP缓存表,接收到“ARP广播-请求”包时;接收到“ARP非广播-回复”包时。
从中我们可以看出,ARP协议是没有身份验证机制的,局域网内任何主机都可以随意伪造ARP数据包,ARP协议设计天生就存在严重缺陷。
假设局域网内有以下三台主机(其中GW指网关),主机名、IP地址、MAC地址分别如下:
主机名IP地址MAC地址
GW192.168.0.101-01-01-01-01-01
PC02192.168.0.202-02-02-02-02-02
PC03192.168.0.303-03-03-03-03-03
在正常情况下,主机PC02与GW之间的数据流向,以及它们各自的ARP缓存表如图2所示:
(图:
2)主机PC02与GW之间的数据流向、ARP缓存表
当网络爱好者,主机PC03出现之后,他为了达到某种目的,于是决定实施一次ARP欺骗攻击。
PC03首先向PC02发送了一个ARP数据包,作用相当于告诉PC02:
“嘿,我是192.168.0.1,我的MAC地址是03-03-03-03-03-03”,接着他也向GW发送了一个ARP数据包,作用相当于告诉GW:
“嘿,我是192.168.0.2,我的MAC地址是03-03-03-03-03-03”。
于是,主机PC02与GW之间的数据流向,以及它们各自的ARP缓存表就变成如图3所示:
(图:
3)攻击后的数据流向、ARP缓存表
从上图我们可以看出,ARP欺骗之后,主机PC02与GW之间的所有网络数据都将流经PC03,即PC03已经掌控了它们之间的数据通讯。
以上就是一次ARP欺骗的实施过程,以及欺骗之后的效果。
3.ARP欺骗的种类
ARP欺骗根据欺骗对象可以分为三种:
(1)只欺骗受害主机。
实施欺骗后效果如下:
图4
(图:
4)只欺骗受害主机
(2)只欺骗路由器、网关。
实施欺骗后效果如下:
图5
(图:
5)只欺骗路由器、网关
(3)双向欺骗,即前面两种欺骗方法的组合使用。
实施欺骗后的效果如下:
图6
(图:
6)双向欺骗
4.ARP欺骗带来的危害可以分为几大类
(1)网络异常。
具体表现为:
掉线、IP冲突等。
(2)数据窃取。
具体表现为:
个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等)。
(3)数据篡改。
具体表现为:
访问的网页被添加了恶意内容,俗称“挂马”。
(4)非法控制。
具体表现为:
网络速度、网络访问行为(例如某些网页打不开、某些网络应用程序用不了)受第三者非法控制。
5.ARP欺骗根据发起个体的不同可以分为两类:
(1)人为攻击。
人为攻击的目的主要是:
造成网络异常、窃取数据、非法控制。
(2)ARP病毒。
ARP病毒不是特指某一种病毒,而是指所有包含有ARP欺骗功能的病毒的总称。
ARP病毒的目的主要是:
窃取数据(盗号等)、篡改数据(挂马等)。
6.目前主流的ARP欺骗攻击端软件
“SKiller”、“P2P终结者”、“聚生网管”、“网络执法官”、“AnyView”等。
它们都可以单独控制某台电脑的行为,如阻止登录QQ、阻止访问指定网站,限制BT、HTTP下载、流量控制等。
7.目前主流的ARP防火墙软件
“奇虎360安全卫士”、“AntiARP-DNS个人版”、“ARPGuard”、“ARP防护大师”、“彩影ARP防火墙”等。
8.以“P2P终结者(p2pover)v4.14”,“彩影ARP防火墙V6.0.2单机版”软件进行实战演练
(1)、介绍“P2P终结者(p2pover)v4.14”
“P2P终结者”是由Net.Soft工作室开发的一套专门用来控制企业网络P2P下载流量的网络管理软件。
软件针对目前P2P软件过多占用带宽的问题,提供了一个非常简单的解决方案。
软件基于底层协议分析处理实现,具有很好的透明性。
软件可以适应绝大多数网络环境,包括代理服务器、ADSL路由器共享上网,Lan专线等网络接入环境。
“P2P终结者”的主要功能:
带宽管理
您可以为局域网内主机分别指定最大上下行带宽,可以有效杜绝因个别主机滥用下载而导致网络中所有主机无法正常上网情况。
P2P下载管理
您可以选择需要封锁哪些P2P下载软件,并把规则指派给对应的主机,那么这些主机就无法再使用这些P2P软件进行下载。
聊天工具管理
您可以根据管理需要来灵活选择需要封锁哪种聊天工具,目前软件支持对QQ、MSN、泡泡、UC和飞信的管理。
Web网页管理
您可以设置主机访问WWW网站时的规则,软件支持黑名单、白名单,也可以封锁未经允许私自开设代理的主机。
自定义规则
软件针对主机的管理是以规则方式配置,您可以建立、编辑多个控制规则,然后将规则指派给一个主机,也可以将同一规则指派给多个主机。
自定义时间段
您可以自己定义规则生效的时间范围,以便在正常工作时间和下班业余时间指派不同的控制规则,达到更加人性化管理。
日流量统计
软件可以对每个被控主机统计日流量,并显示在主机列表中显示;你还可以对历史日流量进行查询。
主机扫描及备注
软件可以扫描出本地网络中所有开机并且联网的主机,您可以为每个主机添加备注,方便日后网络管理。
(2)、介绍“彩影ARP防火墙V6.0.1单机版”
【基本介绍】
“ARP防火墙”是彩影软件从2005年开始研发,具有完全自主知识产权的软件产品,也是国内第一款提供全方位ARP问题解决方案的软件产品。
通过前面对ARP知识的介绍我们可以了解到,要保障主机与网关之间数据通讯的安全,必须要保证两点,
1.主机获取的网关MAC是正确的
2.网关获取的主机MAC是正确的
ARP防火墙完全可以满足上述两点要求。
首先,ARP防火墙在操作系统内核层拦截虚假的ARP数据包,保证本主机获取的网关MAC是正确的,不受虚假ARP数据包影响。
同时,ARP防火墙的主动防御功能,可向网关通告本主机的正确MAC地址,保证网关获取到的本主机MAC是正确的。
【软件功能】
ARP防火墙主要功能有,
1.拦截外部ARP攻击。
在系统内核层拦截接收到的虚假ARP数据包,保障本机ARP缓存表的正确性。
2.拦截对外ARP攻击。
在系统内核层拦截本机对外的ARP攻击数据包,避免本机感染ARP病毒后成为攻击源。
3.拦截IP冲突。
在系统内核层拦截接收到的IP冲突数据包,避免本机因IP冲突造成掉线等。
4.主动防御。
主动向网关通告本机正确的MAC地址,保障网关不受ARP欺骗影响。
ARP防火墙辅助功能是围绕主要功能来设计的,目的是为了让主要功能模块更好的发挥作用。
辅助功能主要有,
1.智能防御。
在只有网关受到ARP欺骗的情况下,智能防御功能可以检测到并做出反应。
2.可信路由监测。
在只有网关受到ARP欺骗的情况下,可信路由监测功能可以检测到并做出反应。
3.ARP病毒专杀。
发现本机有对外攻击行为时,自动定位本机所感染的恶意程序。
4.Dos攻击抑制。
在系统内核层拦截本机对外的TCPSYN/UDP/ICMP/ARPDoS攻击数据包,并可定位恶意程序。
5.安全模式。
除了网关外,不响应其它机器发送的ARP请求(ARPRequest),达到隐身效果,减少受到ARP攻击的几率。
6.ARP流量分析。
分析本机接收到的所有ARP数据包,掌握网络动态,找出潜在的攻击者或中毒的机器。
7.监测ARP缓存。
自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复。
8.定位攻击源。
发现本机受到ARP欺骗后,自动快速定位攻击者IP地址。
9.系统时间保护。
防止恶意程序修改系统时间,导致一些安全防护软件失效。
10.IE首页保护。
防止IE首页被恶意程序篡改。
11.ARP缓存保护。
防止恶意程序篡改本机ARP缓存。
12.自身进程保护。
防止ARP防火墙被恶意软件终止。
13.检测局域网内的网管软件。
可检测到局域网内正在运行的网管软件,如网络执法官、聚生网管、P2P终结者等。
(3)进行实战
1.实验环境:
WindowsXP,局域网(共有主机7台)
2.在控制机上安装好“P2P终结者(p2pover)v4.14”并设置好,然后选择一台足迹进行实验,具体步骤如下图:
本次实验的控制主机的ip是192.168.0.7,被攻击的主机ip是192.168.0.9。
(图7)打开“P2P终结者(p2pover)v4.14”的主界面并启动控制同时查看当前局域网中的主机情况以及网络状态
①
(图8)设置一个控制规则
(集图9)建立一系列控制策略
(图10)通过监控发现主机192.168.0.9占用过大的宽带
(图11)控制该主机(即对该主机进行ARP欺骗攻击)以达到限制该主机网速的目的
经过以上的步骤,即完成了对192.168.0.9主机的ARP欺骗攻击。
3.在被控制端的情况如下图:
(使用360流量监控进行流量查看)
(图12)使用pps进行下载网速可达到150kb/s(这就是“图10”中发现网速异常的原因)
(图13)攻击前网速一直可达100kb/s以上
(图13)被攻击时网速急降
(图14)进而网速被中断
(图15)过三分钟,依然没网速
(图15)立即运行彩影ARP防火墙V6.0.1单机版(马上发现外部攻击)并及时提上网速
(图16)一分钟后的网速依然很好
(图17)尽管攻击还在,但网速一直很好
(图18)查看防火墙的情况
(图19)停止攻击时的情况
(图20)攻击继续
(图21)网络流量分析情况
(图21)网络主机情况,并指出攻击主机
以上图片展示的就是ARP欺骗攻击以及防御的过程和情况。
9.总结
通过实验更清楚的展示了ARP欺骗攻击防御的基本原理与情况。
网络技术在飞速发展,目前网络上还流存其他很多的ARP欺骗攻击防御的方法,本文仅以其中的一种进行试验。
ARP欺骗攻击的情况与危害远远不止本文所做的实验那一种情况。
本文仅对ARP欺骗攻击与防御做了很浅的分析,还望各位读者多多指教。
参考文献
[1]黄玉春;王自南;《浅谈局域网中的嗅探原理和ARP欺骗》大众科技;2006年08期
[2]朱志勇;《局域网ARP网络欺骗型病毒的分析与防治》湖北电力;2007年04期
[3]张海燕;《ARP漏洞及其防范技术》网络安全技术与应用;2005年04期
[4]李海鹰,程灏,吕志强,庄镇泉;《针对ARP攻击的网络防御模式设计与实现》计算机工程;2005年05期
[5]马军;王岩;《ARP协议攻击及其解决方案》微计算机信息;2006年15期
[6]IANA《IANAARPparameterassignments》.2009-04-24