静态ARP与arp协议图解

 更新时间:2007年10月12日 20:46:04   作者:  

WIN2000的时候ARP -S命令设置的STATIC ARP ENTRY还是经常被人ARP SPOOFING,最近实验WIN2003的ARP -S终于可以锁定ARP项再也不怕网络执法官这些软件了。
该病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网吧均会造成影响,用户表现为上网经常瞬断。 

一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp –a命令查看: 
C:\WINNT\system32>arp -a 

Interface: 192.168.0.193 on Interface 0x1000003 
Internet Address Physical Address Type 
192.168.0.1 00-50-da-8a-62-2c dynamic 
192.168.0.23 00-11-2f-43-81-8b dynamic 
192.168.0.24 00-50-da-8a-62-2c dynamic 
192.168.0.25 00-05-5d-ff-a8-87 dynamic 
192.168.0.200 00-50-ba-fa-59-fe dynamic 

可以看到有两个机器的MAC地址相同,那么实际检查结果为 
00-50-da-8a-62-2c为192.168.0.24的MAC地址,192.168.0.1的实际MAC地址为00-02-ba-0b-04-32,我们可以判定192.168.0.24实际上为有病毒的机器,它伪造了192.168.0.1的MAC地址。 

二、在192.168.0.24上进入命令提示符(或MS-DOS方式),用arp –a命令查看: 
C:\WINNT\system32>arp -a 
Interface: 192.168.0.24 on Interface 0x1000003 
Internet Address Physical Address Type 
192.168.0.1 00-02-ba-0b-04-32 dynamic 
192.168.0.23 00-11-2f-43-81-8b dynamic 
192.168.0.25 00-05-5d-ff-a8-87 dynamic 
192.168.0.193 00-11-2f-b2-9d-17 dynamic 
192.168.0.200 00-50-ba-fa-59-fe dynamic 


可以看到带病毒的机器上显示的MAC地址是正确的,而且该机运行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后网吧内所有电脑都不能上网,只有等arp刷新MAC地址后才正常,一般在2、3分钟左右。 

三、如果主机可以进入dos窗口,用arp –a命令可以看到类似下面的现象: 
C:\WINNT\system32>arp -a 
Interface: 192.168.0.1 on Interface 0x1000004 
Internet Address Physical Address Type 
192.168.0.23 00-50-da-8a-62-2c dynamic 
192.168.0.24 00-50-da-8a-62-2c dynamic 
192.168.0.25 00-50-da-8a-62-2c dynamic 
192.168.0.193 00-50-da-8a-62-2c dynamic 
192.168.0.200 00-50-da-8a-62-2c dynamic 

该病毒不发作的时候,在代理服务器上看到的地址情况如下: 
C:\WINNT\system32>arp -a 
Interface: 192.168.0.1 on Interface 0x1000004 
Internet Address Physical Address Type 
192.168.0.23 00-11-2f-43-81-8b dynamic 
192.168.0.24 00-50-da-8a-62-2c dynamic 
192.168.0.25 00-05-5d-ff-a8-87 dynamic 
192.168.0.193 00-11-2f-b2-9d-17 dynamic 
192.168.0.200 00-50-ba-fa-59-fe dynamic 


病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c,正常的时候可以看到MAC地址均不会相同。 
解决办法:
一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。
1. 在所有的客户端机器上做网关服务器的ARP静态绑定。
首先在网关服务器(代理主机)的电脑上查看本机MAC地址
C:\WINNT\system32>ipconfig /all
Ethernet adapter 本地连接 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel? PRO/100B PCI
Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然后在客户机器的DOS命令下做ARP的静态绑定
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注:如有条件,建议在客户机上做所有其他客户机的IP和MAC地址绑定。

2. 在网关服务器(代理主机)的电脑上做客户机器的ARP静态绑定
首先在所有的客户端机器上查看IP和MAC地址,命令如上。
然后在代理主机上做所有客户端服务器的ARP静态绑定。如:
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
。。。。。。。。。

3. 以上ARP的静态绑定最后做成一个windows自启动文件,让电脑一启动就执行以上操作,保证配置不丢失。

二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定


三、IP和MAC进行绑定后,更换网卡需要重新绑定,因此建议在客户机安装杀毒软件来解决此类问题:该网吧发现的病毒是变速齿轮2.04B中带的,病毒程序在
http://www.wgwang.com/list/3007.html 可下载到:

1、 KAV(卡巴斯基),可杀除该病毒,病毒命名为:TrojanDropper.Win32.Juntador.c
杀毒信息:07.02.2005 10:48:00 C:\Documents and
Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\B005Z0K9\Gear_Setup[1].exe infected
TrojanDropper.Win32.Juntador.c

2、 瑞星可杀除该病毒,病毒命名为:TrojanDropper.Win32.Juntador.f

3、
另:别的地市报金山毒霸和瑞星命名:“密码助手”木马病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有类似情况。

附:“密码助手”病毒及TrojanDropper.Win32.Juntador.c 病毒介绍地址:
http://db.kingsoft.com/c/2004/11/22/152800.shtml

http://www.pestpatrol.com/pest_info/zh/t/t..._juntador_c.asp

最近!全国网吧疯狂出现局部机器集体掉线问题! 
本人维护的网吧!以前出现过2次arp欺骗的病毒.不过自从换了PF-2.8 oem服务器系统之后! 
把网关和MAC绑定!基本不会出现arp欺骗问题! 
这次掉线也怀疑是病毒问题!但是竟过排查不是病毒! 
总结下经验: 

1:关闭局域网内所有交换机5分钟后。重新接通电源,观察网络是否恢复正常!(原因:可能是交换机长时间没有重启其内存已用光,导致交换数据速度缓慢,或受网络风暴影响导致阻塞)(另一种可能是交换机的某一个或几个接口模块损坏,或交换机故障引发的网络内暴,解决方法是更换交换机) 
解决方案2:找个机器装个CommView,IP地址设置为你的路由器IP(拔掉路由器,使其脱离网络)然后你看看内网机器都向外面发送了什么包,看看哪个机器发包最多,朝什么IP发的?如果发现某机器向外发送大量目的IP是连续的包,且速度很快的话,请修理该机器! 
(可能是原因是:局域网中的某一台或者多台机器感染了蠕虫病毒,在疯狂发包,导致路由器NAT连接很快占满) 
解决方案3:如果上述二种原因被排除或不能解决其问题,可能是你的路由器性能低劣,处理能力有限造成的。你可以制作ROUTE 
OS之类的软件路由器,或者购买3000~5000元左右的硬路由,并更换以观察情况。 
解决方案4:局域网内某台/某几台计算机网卡接口损坏,而不停的向网络中发送大量的*数据包造成网络阻塞。(集成网卡容易出现此问题,尤其是网络中机器较多时此问题也是比较难于排查的,可以试着断开某台交换机,进行逐一排查)在确认了是哪台交换机内的机器有问题后。逐台打开这些机器,进入桌面,退出所有管理软件,打开网络连接,在不做任何事的情况下,看谁在大量发包或收包 
解决方案5:(此情况比较特殊:局域网中有人使用非法软件恶意攻击网吧 或 
ARP病毒攻击网络)在技术员制作母盘时应各面屏蔽非法攻击网吧的一些软件并在可能的情况下对网关MAC进行静态ARP绑定现在也有很多硬路由器有专门的防掉线的功能了,我们网吧的飞鱼星路由器就可以,可定时广播正常的ARP包,如果你是软件路由的话可以用软件进行防护. 
这里也借鉴了别人的一些经验! 



关于近期全国网吧客户机发生莫明掉线断流的一些解决建议 
发生断流时的状况及现象: 

1:能PING通网内其它客户机,但PING不通路由,上不了网(连接到INTERNET)。 
2:能PING通网内其它客户机,同样PING不通路由,但能上网(能连接到INTERNET)。 


当出现此状况时,用下列操作可恢复连接:1:禁用网卡后启用,2:重启客户机,3:重启路由器,4:在路由上删除其掉线机器对应的ARP列表。 

原因可能性分析:ARP病毒或其它最新的变种病毒及漏洞攻击。 

分析上述状况,可得出以下几点结论: 
此病毒感染机器时,可能修改了客户机的MAC地址,或ARP缓存中的本机对应MAC。 
此病毒感染机器时,可能修改了客户机ARP缓存中网关IP相对应的MAC。 


A:当中毒的机器向网关路由发出请求时,网关路由的ARP缓存还未到刷新时间,网关路由内的ARP缓存表中保存的是客户机还未中毒前的MAC地址。而这个MAC地址,与客户机当前请求的MAC(被病毒修改过)不一致,客户机的连接请求被网关拒绝。即发生与网关断流。 


B:当中毒的源头机器向局域网发出假MAC广播时,网关路由也接收到了此消息,并将这些假MAC地址与其IP相对应,并建立新的ARP缓存。导致客户机与服务器断开连接。 


解决方法: 
1:在网关路由上对客户机使用静态MAC绑定。PF-2.8 
OEM软路由的用户可以参照相关教程,或是在IP--->ARP列表中一一选中对应项目单击右键选择“MAKE 
STATIC”命令,创建静态对应项。 

用防火墙封堵常见病毒端口:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 
以及P2P下载 

2:在客户机上进行网关IP及其MAC静态绑定,并修改导入如下注册表: 
(A)禁止ICMP重定向报文 

ICMP的重定向报文控制着Windows是否会改变路由表从而响应网络设备发送给它的ICMP重定向消息,这样虽然方便了用户,但是有时也会被他人利用来进行网络攻击,这对于一个计算机网络管理员来说是一件非常麻烦的事情。通过修改注册表可禁止响应ICMP的重定向报文,从而使网络更为安全。 

修改的方法是:打开注册表编辑器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右侧窗口中将子键“EnableICMPRedirects”(REG_DWORD型)的值修改为0(0为禁止ICMP的重定向报文)即可。 

(B)禁止响应ICMP路由通告报文 

“ICMP路由公告”功能可以使他人的计算机的网络连接异常、数据被窃听、计算机被用于流量攻击等,因此建议关闭响应ICMP路由通告报文。 

修改的方法是:打开注册表编辑器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右侧窗口中将子键“PerformRouterDiscovery” REG_DWORD型的值修改为0(0为禁止响应ICMP路由通告报文,2为允许响应ICMP路由通告报文)。修改完成后退出注册表编辑器,重新启动计算机即可。
(C)设置arp缓存老化时间设置 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters 

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒) 
ArpCacheMinReferencedLife REG_DWORD 
0-0xFFFFFFFF(秒数,默认值为600) 

说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP 

缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife, 

未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期. 
每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。 


曾经看见有人说过,只要保持IP-MAC缓存不被更新,就可以保持正确的ARP协议运行。关于此点,我想可不可以通过,修改注册表相关键值达到: 

默认情况下ARP缓存的超时时限是两分钟,你可以在注册表中进行修改。可以修改的键值有两个,都位于 


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 


修改的键值: 

键值1:ArpCacheLife,类型为Dword,单位为秒,默认值为120 

键值2:ArpCacheMinReferencedLife,类型为Dword,单位为秒,默认值为600 

注意:这些键值默认是不存在的,如果你想修改,必须自行创建;修改后重启计算机后生效。 


如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大,那么ARP缓存的超时时间设置为ArpCacheLife的值;如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小,那么对于未使用的ARP缓存,超时时间设置为120秒;对于正在使用的ARP缓存,超时时间则设置为ArpCacheMinReferencedLife的值。 


我们也许可以将上述键值设置为非常大,不被强制更新ARP缓存。为了防止病毒自己修改注册表,可以对注册表加以限制。 


对于小网吧,只要事先在没遇到ARP攻击前,通过任意一个IP-MAC地址查看工具,纪录所有机器的正确IP-MAC地址。等到受到攻击可以查看哪台机器出现问题,然后通常是暴力解决,问题也许不是很严重。但是对于内网电脑数量过大,每台机器都帮定所有IP-MAC地址,工作量非常巨大,必须通过专门软件执行。 

1 ARP协议概述

IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,AR P)就是用来确定这些映象的协议。

ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。

如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上, ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。

图1 以太网上的ARP报文格式
图1 以太网上的ARP报文格式

图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。

硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。

当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。

2 ARP使用举例

我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项):

d2server:/home/kerberos# arp
Address     HWtype HWaddress     Flags Mask      Iface
211.161.17.254  ether  00:04:9A:AD:1C:0A   C         eth0
Address:主机的IP地址
Hwtype:主机的硬件类型
Hwaddress:主机的硬件地址
Flags Mask:记录标志,"C"表示arp高速缓存中的条目,"M"表示静态的arp条目。

用"arp --a"命令可以显示主机地址与IP地址的对应表,也就是机器中所保存的arp缓存信息。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟,起始时间从被创建时开始算起。

d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。
d2server:/home/kerberos# telnet 211.161.17.21
Trying 211.161.17.21...
Connected to 211.161.17.21.
Escape character is '^]'.
^].
telnet>quit
connetion closed.

在执行上面一条telnet命令的同时,用tcpdump进行监听:

d2server:/home/kerberos# tcpdump -e dst host 211.161.17.21
tcpdump: listening on eth0

我们将会听到很多包,我们取与我们arp协议相关的2个包:

1 0.0 		00:D0:F8:0A:FB:83 	FF:FF:FF:FF:FF:FF arp 60
			who has 211.161.17.21 tell d2server
2 0.002344(0.0021)	00:E0:3C:43:0D:24 	00:D0:F8:0A:FB:83 arp 60
			arp reply 211.161.17.21 is at 00:E0:3C:43:0D:24
			

在第1行中,源端主机(d2server)的硬件地址是00:D0:F8:0A:FB:83。目的端主机的硬件地址是FF:FF:FF:FF:FF:FF,这是一个以太网广播地址。电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。

第1行中紧接着的一个输出字段是arp,表明帧类型字段的值是0x0806,说明此数据帧是一个ARP请求或回答。

在每行中,单词后面的值60指的是以太网数据帧的长度。由于ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,每一帧都必须加入填充字符以达到以太网的最小长度要求:60字节。

第1行中的下一个输出字段arp who-has表示作为ARP请求的这个数据帧中,目的I P地址是211.161.17.21的地址,发送端的I P地址是d2server的地址。tcpdump打印出主机名对应的默认I P地址。

从第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是211.161.17.21(00:E0:3C:43:0D:24)。ARP应答是直接送到请求端主机的,而是广播的。tcpdump打印出arp reply的字样,同时打印出响应者的主机ip和硬件地址。

在每一行中,行号后面的数字表示tcpdump收到分组的时间(以秒为单位)。除第1行外,每行在括号中还包含了与上一行的时间差异(以秒为单位)。

这个时候我们再看看机器中的arp缓存:

d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at 00:E0:3C:43:0D:24 [ether] on eth0

arp高速缓存中已经增加了一条有关211.161.17.21的映射。

再看看其他的arp相关的命令:

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00
d2server:/home/kerberos# arp
Address     HWtype HWaddress    Flags Mask    Iface
211.161.17.254   ether  00:04:9A:AD:1C:0A   C      eth0
211.161.17.21   ether  00:00:00:00:00:00   CM      eth0
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at 00:00:00:00:00:00 [ether] PERM on eth0

可以看到我们用arp -s选项设置了211.161.17.21对应的硬件地址为00:00:00:00:00:00,而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项,它保持不变没有超时,不像高速缓存中的条目要在一定的时间间隔后更新。

如果想让手工设置的arp选项有超时时间的话,可以加上temp选项

d2server:/home/kerberos# arp -s 211.161.17.21 00:00:00:00:00:00 temp
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at 00:00:00:00:00:00 [ether] on eth0
d2server:/home/kerberos# arp
Address    HWtype HWaddress     Flags Mask   Iface
211.161.17.254  ether  00:04:9A:AD:1C:0A   C      eth0
211.161.17.21  ether  00:00:00:00:00:00    C      eth0

可以看到标志字段的静态arp标志"M"已经去掉了,我们手工加上的是一条动态条目。

请大家注意arp静态条目与动态条目的区别。

在不同的系统中,手工设置的arp静态条目是有区别的。在linux和win2000中,静态条目不会因为伪造的arp响应包而改变,而动态条目会改变。而在win98中,手工设置的静态条目会因为收到伪造的arp响应包而改变。

如果您想删除某个arp条目(包括静态条目),可以用下面的命令:

d2server:/home/kerberos# arp -d 211.161.17.21 
d2server:/home/kerberos# arp -a
(211.161.17.254) at 00:04:9A:AD:1C:0A [ether] on eth0
(211.161.17.21) at  on eth0

可以看到211.161.17.21的arp条目已经是不完整的了。

还有一些其他的命令,可以参考linux下的man文档:

d2server:/home/kerberos# man arp

3 ARP欺骗

我们先复习一下上面所讲的ARP协议的原理。在实现TCP/IP协议的网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义,但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。也就是说,只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包,因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个 arp--> 硬件mac 的转换表。通常是动态的转换表(该arp表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。

通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,如果没有找到,该主机就发送一个ARP广播包,于是,主机刷新自己的ARP缓存。然后发出该ip包。

了解这些常识后,现在就可以谈在以太网络中如何实现ARP欺骗了,可以看看这样一个例子。

3.1 同一网段的ARP欺骗

图2 同一网段的arp欺骗

图2 同一网段的arp欺骗

如图2所示,三台主机

A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA
B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB
C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC

一个位于主机B的入侵者想非法进入主机A,可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系(开放23端口(telnet))。而他必须要使用telnet来进入主机A,这个时候他应该如何处理呢?

我们这样考虑,入侵者必须让主机A相信主机B就是主机C,如果主机A和主机C之间的信任关系是建立在ip地址之上的。如果单单把主机B的ip地址改的和主机C的一样,那是不能工作的,至少不能可靠地工作。如果你告诉以太网卡设备驱动程序, 自己IP是192.168.0.3,那么这只是一种纯粹的竞争关系,并不能达到目标。我们可以先研究C这台机器如果我们能让这台机器暂时当掉,竞争关系就可以解除,这个还是有可能实现的。在机器C当掉的同时,将机器B的ip地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器A上面,而成功的绕过防火墙的限制。

上面的这种想法在下面的情况下是没有作用的,如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。

我们可以人为的制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包.这样的工具很多,我们也可以直接用snifferpro抓一个arp响应包,然后进行修改。

你可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。

这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。

下面是具体的步骤:

  1. 他先研究192.0.0.3这台主机,发现这台主机的漏洞。
  2. 根据发现的漏洞使主机C当掉,暂时停止工作。
  3. 这段时间里,入侵者把自己的ip改成192.0.0.3
  4. 他用工具发一个源ip地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A,要求主机A更新自己的arp转换表。
  5. 主机更新了arp表中关于主机C的ip-->mac对应关系。
  6. 防火墙失效了,入侵的ip变成合法的mac地址,可以telnet 了。

上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,在B和C处于不同网段的时候,上面的方法是不起作用的。

3.2 不同网段的ARP欺骗

图3 不同网段之间的ARP欺骗
图3 不同网段之间的ARP欺骗

如图3所示A、C位于同一网段而主机B位于另一网段,三台机器的ip地址和硬件地址如下:

A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA
B: ip地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB
C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC

在现在的情况下,位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢?显然用上面的办法的话,即使欺骗成功,那么由主机B和主机A之间也无法建立telnet会话,因为路由器不会把主机A发给主机B的包向外转发,路由器会发现地址在192.168.0.这个网段之内。

现在就涉及到另外一种欺骗方式―ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

什么是ICMP重定向呢?

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。

我们可以利用ICMP重定向报文达到欺骗的目的。

下面是结合ARP欺骗和ICMP重定向进行攻击的步骤:

  1. 为了使自己发出的非法ip包能在网络上能够存活长久一点,开始修改ip包的生存时间ttl为下面的过程中可能带来的问题做准备。把ttl改成255. (ttl定义一个ip包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)
  2. 下载一个可以自由制作各种包的工具(例如hping2)
  3. 然后和上面一样,寻找主机C的漏洞按照这个漏洞当掉主机C。
  4. 在该网络的主机找不到原来的192.0.0.3后,将更新自己的ARP对应表。于是他发送一个原ip地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。
  5. 好了,现在每台主机都知道了,一个新的MAC地址对应192.0.0.3,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。
  6. 自己定制一个ICMP重定向包告诉网络中的主机:"到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由。"
  7. 主机A接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的通讯都丢给路由器。
  8. 入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始telnet到主机的23口。

其实上面的想法只是一种理想话的情况,主机许可接收的ICMP重定向包其实有很多的限制条件,这些条件使ICMP重定向变的非常困难。

TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制:

  1. 新路由必须是直达的
  2. 重定向包必须来自去往目标的当前路由
  3. 重定向包不能通知主机用自己做路由
  4. 被改变的路由必须是一条间接路由

由于有这些限制,所以ICMP欺骗实际上很难实现。但是我们也可以主动的根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性,我们就可以采取相应的防御办法。

3.3 ARP欺骗的防御

知道了ARP欺骗的方法和危害,我们给出一些初步的防御方法:

  1. 不要把你的网络安全信任关系建立在ip地址的基础上或硬件mac地址基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。
  2. 设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
  3. 除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。在linux下可以用ifconfig -arp可以使网卡驱动程序停止使用ARP。
  4. 使用代理网关发送外出的通讯。
  5. 修改系统拒收ICMP重定向报文

在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。

在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。

4 代理ARP的应用

代理ARP有两大应用,一个是有利的就是我们在防火墙实现中常说的透明模式的实现,另一个是有害的就是通过它可以达到在交换环境中进行嗅探的目的.由此可见同样一种技术被应用于不同的目的,效果是不一样的.

我们先来看交换环境中局域网的嗅探.

通常在局域网环境中,我们都是通过交换环境的网关上网的。在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外,是不能看到其他主机的网络通信的。

但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。

ARP协议是将IP地址解析为MAC地址的协议,局域网中的通信都是基于MAC地址的。

图4 交换网络中的ARP欺骗
图4 交换网络中的ARP欺骗

如图4所示,三台主机位于一个交换网络的环境中,其中A是网关:

A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA
B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB
C:ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC

在局域网中192.168.0.2和192.168.0.3都是通过网关192.168.0.1上网的,假定攻击者的系统为192.168.0.2,他希望听到192.168.0.3的通信,那么我们就可以利用ARP欺骗实现。

这种欺骗的中心原则就是arp代理的应用.主机A是局域网中的代理服务器,局域网中每个节点的向外的通信都要通过它.主机B想要听主机C的通信,它需要先使用ARP欺骗,让主机C认为它就是主机A,这个时候它发一个IP地址为192.168.0.1,物理地址为BB:BB:BB:BB:BB:BB的ARP响应包给主机C,这样主机C会把发往主机A的包发往主机B.同理,还要让网关A相信它就是主机C,向网关A发送一个IP地址为192.168.0.3,物理地址为BB:BB:BB:BB:BB:BB的包.

上面这一步的操作和前面的ARP欺骗的原理是一样的,但是还是有问题,过一段时间主机B会发现自己无法上网.所以下面还有一个步骤就是需要在主机B上转发从主机A到主机C的包,并且转发从主机C到主机A的包.现在我们可以看到其实主机B在主机A和主机C的通讯中起到了一个代理的作用,这就是为什么叫做ARP代理的原因.

具体实现要用到两个工具dsniff和fragrouter,dsniff用来实现ARP欺骗,fragroute用来进行包的转发.

首先利用dsniff中的arpspoof来实现ARP欺骗,dsniff软件可以在下面的网址下载:

http://naughty.monkey.org/~dugsong/dsniff

安装这个软件包之前先要下载安装libnet.

欺骗192.168.0.3,告诉这台机器网关192.168.0.1的MAC地址是192.168.0.2的MAC地址.

[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.3 192.168.0.1

欺骗192.168.0.1,告诉192.168.0.1主机192.168.0.3的MAC地址是192.168.0.2的MAC地址。

[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.3

现在我们已经完成了第一步的欺骗,这个欺骗是通过arpspoof来完成的,当然您也可以使用别的工具甚至自己发包来完成.现在我们可以看到在主机A和主机C的arp列表里面都完成了我们需要的工作.在后面的透明代理中我们将使用另外一种不同的理念.

下面我们先打开linux系统中的转发包的选项:

[root@sound /root]# echo "1" >/proc/sys/net/ipv4/ip_forward

下面我们可以下载大名鼎鼎的dugsong的另外一个工具fragroute,这个工具以前叫做fragrouter(仅有1字的差别)主要用于实现入侵检测系统处理分片的ip和tcp包功能的检测,本身自代包转发的功能.可以到下面的网站下载:

http://monkey.org/~dugsong/fragroute/

安装这个软件包之前先要下载安装libpcap和libevent.

当然我们也可以使用fragrouter来完成:

http://www.packetstormsecurity.org/groups/ w00w00/sectools/fragrouter/

[root@sound fragrouter-1.6]# ./fragrouter -B1 
fragrouter: base-1: normal IP forwarding

现在就可以实现在交换局域网中嗅探的目标.当然上面这些只是一些原理性的介绍,在真正的使用中会遇到很多的问题,比如如何实现对网关A和主机C的欺骗,以及如何处理可能出现的广播风暴问题,这些可以在实践中学习.还有一个叫arpsniff的工具能够很方便的完成这一功能,很多网站都提供下载,界面比较友好,由于和上面的原理一样,只是工具使用上的不同并且添加了一些附加的功能,所以这里不在进行介绍.

代理ARP的另外一个应用就是防火墙的透明代理的实现.我们都知道早期的防火墙大都是基于路由模式,也就是防火墙要完成一个路由的作用.这种接入方式需要在局域网内的主机上设置防火墙的IP为代理,而且需要在外部路由器的路由表中加入一条指向防火墙的路由.这种方式的缺点在于不透明,需要进行过多的设置,并且破坏了原有的网络拓扑.所以现在几乎全部的防火墙都实现了一种透明接入的功能,用户的路由器和客户端不用做任何修改,用户甚至感觉不到透明接入方式防火墙的存在.这种透明接入的原理就是ARP代理.

我们现在看如何配置一台主机作为透明接入模式的防火墙(透明接入的防火墙不需要IP),

图5
图5

如图5所示,一台防火墙连接内部网段和DMZ网段到外部路由.我们在这台用作防火墙的主机上使用linux操作系统,这样我们可以方便的使用iptables防火墙.假设三块网卡为eth0,eth1和eth2,eth0和路由器相连,eth1和内网相连.eth2和外网相连.假设DMZ区有2台服务器.

内网地址:192.168.1.0/24
DMZ地址:192.168.1.2---192.168.1.3
路由器的ip地址:192.168.1.1
eth0:AA:AA:AA:AA:AA:AA
eth1:BB:BB:BB:BB:BB:BB
eth2:CC:CC:CC:CC:CC:CC

和前面差不多,第一步需要实现ARP欺骗,这次我们有个简单的实现.我们把路由器的IP地址和防火墙的eth1和eth2的网卡物理地址绑定,将内网和DMZ网段的IP地址和eth0的网卡绑定,在linux系统上我们用arp命令实现:

arp -s 192.168.1.1 BB:BB:BB:BB:BB:BB
arp -s 192.168.1.1 CC:CC:CC:CC:CC:CC 
arp -s 192.168.1.0/24 AA:AA:AA:AA:AA:AA

第二部我们需要在基于linux的防火墙上设置路由,把目标地址是外部路由的包转发到eth0,把目标地址为内网的包转发到eth1,把目标地址是DMZ网段服务器的包转发到eth2.在linux下面用route命令实现

route add 192.168.1.1 dev eth0
route add -net 192.168.1.0/24 dev eth1
route add 192.168.1.2 dev eth2
route add 192.168.1.3 dev eth3 

(针对DMZ网段里面的每台服务器都要增加一条单独的路由) 现在我们就已经实现了一个简单的arp代理的透明接入,当然对应于防火墙的iptables部分要另外配置,iptables的配置不在本文范畴之内.

小结

本文介绍了ARP协议以及与其相关的安全问题。一个重要的安全问题就是ARP欺骗,我们讲到了同一网段的ARP欺骗以及跨网段的ARP欺骗和ICMP重定向相结合的方法。由于有这些安全问题的存在,我们给出一些最基本的解决办法。最后谈到了利用代理ARP实现在交换网络中嗅探和防火墙的透明接入。

有关更深入的知识请参考RFC826、RFC814、RFC1029、RFC1166以及有关dugsong有关的网页: http://freshmeat.net/~dugsong/

相关文章

最新评论