ARP攻擊與防護完全手冊

昵稱1574127 2010-08-09

展開全文

最近在論壇上經(jīng)?？吹疥P(guān)于ARP病毒的問題，于是在Google上搜索ARP關(guān)鍵字，啊哦！結(jié)果出來N多關(guān)于這類問題的討論。呵呵，俺的求知欲很強：），想再學(xué)習(xí)ARP下相關(guān)知識，所以對目前網(wǎng)絡(luò)中常見的ARP問題進行了一個總結(jié)?，F(xiàn)在將其貼出來，希望和大家一起討論！

1. ARP概念

咱們談ARP之前，還是先要知道ARP的概念和工作原理，理解了原理知識，才能更好去面對和分析處理問題。

1.1  ARP概念知識

ARP，全稱Address Resolution Protocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層提供服務(wù)。
IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標(biāo)主機的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進行。

1.2  ARP工作原理

首先，每臺主機都會在自己的ARP緩沖區(qū)中建立一個 ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。當(dāng)源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己 ARP列表中是否存在該 IP地址對應(yīng)的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機對應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網(wǎng)絡(luò)中所有的主機收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機發(fā)送一個 ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。

例如：

A的地址為：IP：192.168.10.1    MAC: AA-AA-AA-AA-AA-AA
B的地址為：IP：192.168.10.2    MAC: BB-BB-BB-BB-BB-BB

根據(jù)上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是A發(fā)送一個ARP請求廣播（誰是192.168.10.2 ，請告訴192.168.10.1），當(dāng)B收到該廣播，就檢查自己，結(jié)果發(fā)現(xiàn)和自己的一致，然后就向A發(fā)送一個ARP單播應(yīng)答（192.168.10.2 在BB-BB-BB-BB-BB-BB）。

1.3  ARP通訊模式

通訊模式（Pattern Analysis）：在網(wǎng)絡(luò)分析中，通訊模式的分析是很重要的，不同的協(xié)議和不同的應(yīng)用都會有不同的通訊模式。更有些時候，相同的協(xié)議在不同的企業(yè)應(yīng)用中也會出現(xiàn)不同的通訊模式。ARP在正常情況下的通訊模式應(yīng)該是：請求 -> 應(yīng)答 -> 請求 -> 應(yīng)答，也就是應(yīng)該一問一答。

2. 常見ARP攻擊類型

個人認(rèn)為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。

2.1  ARP掃描（ARP請求風(fēng)暴）

通訊模式（可能）：

請求 -> 請求 -> 請求 -> 請求 -> 請求 -> 請求 -> 應(yīng)答 -> 請求 -> 請求 -> 請求...

描述：

網(wǎng)絡(luò)中出現(xiàn)大量ARP請求廣播包，幾乎都是對網(wǎng)段內(nèi)的所有主機進行掃描。大量的ARP請求廣播可能會占用網(wǎng)絡(luò)帶寬資源；ARP掃描一般為ARP攻擊的前奏。

出現(xiàn)原因（可能）：

*病毒程序，偵聽程序，掃描程序。
*如果網(wǎng)絡(luò)分析軟件部署正確，可能是我們只鏡像了交換機上的部分端口，所以大量ARP請求是來自與非鏡像口連接的其它主機發(fā)出的。
*如果部署不正確，這些ARP請求廣播包是來自和交換機相連的其它主機。

2.2  ARP欺騙

ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。所以在網(wǎng)絡(luò)中，有人發(fā)送一個自己偽造的ARP應(yīng)答，網(wǎng)絡(luò)可能就會出現(xiàn)問題。這可能就是協(xié)議設(shè)計者當(dāng)初沒考慮到的！

2.2.1  欺騙原理

假設(shè)一個網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺主機，分別為主機A、B、C。主機詳細(xì)信息如下描述：

A的地址為：IP：192.168.10.1    MAC: AA-AA-AA-AA-AA-AA
B的地址為：IP：192.168.10.2    MAC: BB-BB-BB-BB-BB-BB
C的地址為：IP：192.168.10.3    MAC: CC-CC-CC-CC-CC-CC

正常情況下A和C之間進行通訊，但是此時B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發(fā)送一個ARP應(yīng)答，應(yīng)答包中發(fā)送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA），當(dāng)C收到B偽造的ARP應(yīng)答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。

注意：一般情況下，ARP欺騙的某一方應(yīng)該是網(wǎng)關(guān)。

2.2.2  兩種情況

ARP欺騙存在兩種情況：一種是欺騙主機作為“中間人”，被欺騙主機的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數(shù)據(jù)；另一種讓被欺騙主機直接斷網(wǎng)。

第一種：竊取數(shù)據(jù)（嗅探）

通訊模式：

應(yīng)答 -> 應(yīng)答 -> 應(yīng)答 -> 應(yīng)答 -> 應(yīng)答 -> 請求 -> 應(yīng)答 -> 應(yīng)答 ->請求->應(yīng)答...

描述：

這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機向被欺騙主機發(fā)送大量偽造的ARP應(yīng)答包進行欺騙，當(dāng)通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽”了。

出現(xiàn)原因（可能）：

*木馬病毒
*嗅探
*人為欺騙

第二種：導(dǎo)致斷網(wǎng)

通訊模式：

應(yīng)答 -> 應(yīng)答 -> 應(yīng)答 -> 應(yīng)答 -> 應(yīng)答 -> 應(yīng)答 -> 請求…

描述：

這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時B沒有對C進行欺騙，這樣A實質(zhì)上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個不存在地址進行欺騙。
對于偽造地址進行的欺騙，在排查上比較有難度，這里最好是借用TAP設(shè)備（呵呵，這個東東好像有點貴勒），分別捕獲單向數(shù)據(jù)流進行分析！

出現(xiàn)原因（可能）：

* 木馬病毒
*人為破壞
*一些網(wǎng)管軟件的控制功能

3.  常用的防護方法

搜索網(wǎng)上，目前對于ARP攻擊防護問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護軟件，也出現(xiàn)了具有ARP防護功能的路由器。呵呵，我們來了解下這三種方法。

3.1  靜態(tài)綁定

最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機和網(wǎng)關(guān)都做IP和MAC綁定。
欺騙是通過ARP的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)機器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的欺騙，同時在網(wǎng)關(guān)也要進行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險。

方法：

對每臺主機進行IP和MAC地址靜態(tài)綁定。
通過命令，arp -s可以實現(xiàn)    “arp –s IP MAC地址 ”。
例如：“arp –s  192.168.10.1 AA-AA-AA-AA-AA-AA”。

如果設(shè)置成功會在PC上面通過執(zhí)行  arp -a 可以看到相關(guān)的提示：
Internet Address       Physical Address             Type
192.168.10.1       AA-AA-AA-AA-AA-AA          static(靜態(tài))

一般不綁定,在動態(tài)的情況下：
Internet Address       Physical Address             Type
192.168.10.1          AA-AA-AA-AA-AA-AA       dynamic(動態(tài))

說明：對于網(wǎng)絡(luò)中有很多主機，500臺，1000臺...，如果我們這樣每一臺都去做靜態(tài)綁定，工作量是非常大的。。。。，這種靜態(tài)綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個批處理文件，但是還是比較麻煩的！

3.2  使用ARP防護軟件

目前關(guān)于ARP類的防護軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護的工作原理是一定頻率向網(wǎng)絡(luò)廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。

3.2.1  欣向ARP工具

俺使用了該工具，它有5個功能：

A. IP/MAC清單

選擇網(wǎng)卡。如果是單網(wǎng)卡不需要設(shè)置。如果是多網(wǎng)卡需要設(shè)置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。
IP/MAC掃描。這里會掃描目前網(wǎng)絡(luò)中所有的機器的IP與MAC地址。請在內(nèi)網(wǎng)運行正常時掃描，因為這個表格將作為對之后ARP的參照。
之后的功能都需要這個表格的支持，如果出現(xiàn)提示無法獲取IP或MAC時，就說明這里的表格里面沒有相應(yīng)的數(shù)據(jù)。

B.  ARP欺騙檢測

這個功能會一直檢測內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設(shè)到檢測表格里面，例如，路由器，電影服務(wù)器，等需要內(nèi)網(wǎng)機器訪問的機器IP。
(補充)“ARP欺騙記錄”表如何理解：
“Time”：發(fā)現(xiàn)問題時的時間；
“sender”：發(fā)送欺騙信息的IP或MAC；
“Repeat”：欺詐信息發(fā)送的次數(shù)；
“ARP info”：是指發(fā)送欺騙信息的具體內(nèi)容.如下面例子：
time                sender             Repeat             ARP info 22:22:22          192.168.1.22       1433       192.168.1.1 is at 00:0e:03:22:02:e8
這條信息的意思是：在22:22:22的時間,檢測到由192.168.1.22發(fā)出的欺騙信息，已經(jīng)發(fā)送了1433次，他發(fā)送的欺騙信息的內(nèi)容是：192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打開檢測功能，如果出現(xiàn)針對表內(nèi)IP的欺騙，會出現(xiàn)提示?？梢园凑仗崾静榈絻?nèi)網(wǎng)的ARP欺騙的根源。提示一句，任何機器都可以冒充其他機器發(fā)送IP與MAC，所以即使提示出某個IP或MAC在發(fā)送欺騙信息，也未必是100％的準(zhǔn)確。所有請不要以暴力解決某些問題。

C.  主動維護

這個功能可以直接解決ARP欺騙的掉線問題，但是并不是理想方法。他的原理就在網(wǎng)絡(luò)內(nèi)不停的廣播制定的IP的正確的MAC地址。
“制定維護對象”的表格里面就是設(shè)置需要保護的IP。發(fā)包頻率就是每秒發(fā)送多少個正確的包給網(wǎng)絡(luò)內(nèi)所有機器。強烈建議盡量少的廣播IP，盡量少的廣播頻率。一般設(shè)置1次就可以，如果沒有綁定IP的情況下，出現(xiàn)ARP欺騙，可以設(shè)置到50－100次，如果還有掉線可以設(shè)置更高，即可以實現(xiàn)快速解決ARP欺騙的問題。但是想真正解決ARP問題，還是請參照上面綁定方法。

D. 欣向路由器日志

收集欣向路由器的系統(tǒng)日志，等功能。

E.  抓包

類似于網(wǎng)絡(luò)分析軟件的抓包，保存格式是.cap。

3.2.1  Antiarp

這個軟件界面比較簡單，以下為我收集該軟件的使用方法。

A.  填入網(wǎng)關(guān)IP地址，點擊［獲取網(wǎng)關(guān)地址］將會顯示出網(wǎng)關(guān)的MAC地址。點擊[自動防護]即可保護當(dāng)前網(wǎng)卡與該網(wǎng)關(guān)的通信不會被第三方監(jiān)聽。注意：如出現(xiàn)ARP欺騙提示，這說明攻擊者發(fā)送了ARP欺騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包，如果您想追蹤攻擊來源請記住攻擊者的MAC地址，利用MAC地址掃描器可以找出IP 對應(yīng)的MAC地址.

B.  IP地址沖突
如頻繁的出現(xiàn)IP地址沖突，這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包，才會出現(xiàn)IP沖突的警告，利用Anti ARP Sniffer可以防止此類攻擊。

C.  您需要知道沖突的MAC地址，Windows會記錄這些錯誤。查看具體方法如下：
右擊[我的電腦]--[管理]--點擊[事件查看器]--點擊[系統(tǒng)]--查看來源為[TcpIP]---雙擊事件可以看到顯示地址發(fā)生沖突，并記錄了該MAC地址，請復(fù)制該MAC地址并填入Anti ARP Sniffer的本地MAC地址輸入框中(請注意將:轉(zhuǎn)換為-)，輸入完成之后點擊[防護地址沖突]，為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡，在CMD命令行中輸入Ipconfig /all，查看當(dāng)前MAC地址是否與本地MAC地址輸入框中的MAC地址相符，如果更改失敗請與我聯(lián)系。如果成功將不再會顯示地址沖突。
注意:如果您想恢復(fù)默認(rèn)MAC地址,請點擊[恢復(fù)默認(rèn)],為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。

3.3  具有ARP防護功能的路由器

這類路由器以前聽說的很少，對于這類路由器中提到的ARP防護功能，其實它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對于真正意義上的攻擊，是不能解決的。

ARP的最常見的特征就是掉線，一般情況下不需要處理一定時間內(nèi)可以回復(fù)正常上網(wǎng)，因為ARP欺騙是有老化時間的，過了老化時間就會自動的回復(fù)正?！，F(xiàn)在大多數(shù)路由器都會在很短時間內(nèi)不停廣播自己的正確ARP信息，使受騙的主機回復(fù)正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP，1秒有個幾百上千的)，它是不斷的發(fā)起ARP欺騙包來阻止內(nèi)網(wǎng)機器上網(wǎng)，即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。
可能你會有疑問：我們也可以發(fā)送比欺騙者更多更快正確的ARP信息??？如果攻擊者每秒發(fā)送1000個ARP欺騙包，那我們就每秒發(fā)送1500個正確的ARP信息！

面對上面的疑問，我們仔細(xì)想想，如果網(wǎng)絡(luò)拓?fù)浜艽螅W(wǎng)絡(luò)中接了很多網(wǎng)絡(luò)設(shè)備和主機，大量的設(shè)備都去處理這些廣播信息，那網(wǎng)絡(luò)使用起來好不爽，再說了會影響到我們工作和學(xué)習(xí)。ARP廣播會造成網(wǎng)絡(luò)資源的浪費和占用。如果該網(wǎng)絡(luò)出了問題，我們抓包分析，數(shù)據(jù)包中也會出現(xiàn)很多這類ARP廣播包，對分析也會造成一定的影響。