黑客攻防之ARP欺騙技術(shù)

徐其崗 韓肖杰 周陸洲

【摘要】ARP欺騙技術(shù)因?yàn)槠溆休^強(qiáng)的隱蔽性、易操作性而成為局域網(wǎng)中最常見(jiàn)、最易發(fā)生的一種欺騙方式，該欺騙方式因?yàn)槲：π源蟪蔀榫钟蚓W(wǎng)中最惹人關(guān)注的“殺手”之一，本文通過(guò)ARP原理及協(xié)議缺陷的介紹，從而進(jìn)行ARP欺騙的技術(shù)的闡述。

【關(guān)鍵詞】ARP欺騙技術(shù) 網(wǎng)絡(luò)安全

一、ARP及ARP欺騙原理

ARP（Address Resolution Protocol）即地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。不管網(wǎng)絡(luò)層使用什么協(xié)議，在網(wǎng)絡(luò)鏈路上傳送數(shù)據(jù)幀時(shí)，最終還是必須使用硬件地址的。而每臺(tái)機(jī)器的MAC地址都是不一樣的，具有全球唯一性，因此可以作為一臺(tái)主機(jī)或網(wǎng)絡(luò)設(shè)備的標(biāo)識(shí)。目標(biāo)主機(jī)的MAC地址就是通過(guò)ARP協(xié)議獲得的。

ARP欺騙原理則是通過(guò)發(fā)送欺騙性的ARP數(shù)據(jù)包致使接收者收到數(shù)據(jù)包后更新其ARP緩存表，從而建立錯(cuò)誤的IP與MAC對(duì)應(yīng)關(guān)系，源主機(jī)發(fā)送數(shù)據(jù)時(shí)數(shù)據(jù)便不能被正確地址接收。

二、ARP協(xié)議的漏洞分析

ARP協(xié)議是一個(gè)高效的數(shù)據(jù)鏈路層協(xié)議.但是設(shè)計(jì)初衷是方便數(shù)據(jù)的傳輸.設(shè)計(jì)前提是網(wǎng)絡(luò)絕對(duì)安全的情況.ARP協(xié)議是建立在局域網(wǎng)主機(jī)相互信任的基礎(chǔ)之上.ARP具有廣播性、無(wú)狀態(tài)性、無(wú)認(rèn)證性、無(wú)關(guān)性和動(dòng)態(tài)性等一系列的安全缺陷。

（1）ARP協(xié)議尋找MAC地址是廣播方式的。攻擊者可以應(yīng)答錯(cuò)誤的MAC地址.同時(shí)攻擊者也可以不問(wèn)斷地廣播ARP請(qǐng)求包.造成網(wǎng)絡(luò)的緩慢甚至網(wǎng)絡(luò)阻塞；

（2）ARP協(xié)議是無(wú)狀態(tài)和動(dòng)態(tài)的。任意主機(jī)都可以在沒(méi)有請(qǐng)求的情況下進(jìn)行應(yīng)答.且任何主機(jī)只要收到網(wǎng)絡(luò)內(nèi)正確的ARP應(yīng)答包.不管它本身是否有ARP請(qǐng)求。都會(huì)無(wú)條件的動(dòng)態(tài)更新緩存表；

（3）ARP協(xié)議是無(wú)認(rèn)證的。ARP協(xié)議默認(rèn)情況下是信任網(wǎng)絡(luò)內(nèi)的所有節(jié)點(diǎn).只要是存在ARP緩存表里的IP/MAC映射以及接收到的ARP應(yīng)答中的IP/MAC映射關(guān)系.ARP都認(rèn)為是可信任的.并沒(méi)有對(duì)IP/MAC映射的真實(shí)性，有效性進(jìn)行檢驗(yàn).也沒(méi)有維護(hù)映射的一致性。

三、ARP欺騙的分類(lèi)

從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線(xiàn)了”。

四、ARP欺騙相關(guān)工具

常用工具：ARPsniffer、局域網(wǎng)終結(jié)者、網(wǎng)絡(luò)執(zhí)法官

ARPsniffer工作原理：

在使用該工具時(shí)，它會(huì)將網(wǎng)絡(luò)接口設(shè)置為混雜模式，該模式下工具可以監(jiān)聽(tīng)到網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)幀，而不管數(shù)據(jù)幀的目的地是自己還是其他網(wǎng)絡(luò)接口的地址。嗅探器會(huì)對(duì)探測(cè)到的每一個(gè)數(shù)據(jù)幀產(chǎn)生硬件數(shù)據(jù)中斷，交由操作系統(tǒng)處理，這樣就實(shí)現(xiàn)了數(shù)據(jù)截獲。

局域網(wǎng)終結(jié)者工作原理：

一個(gè)主機(jī)接收到與自已相同IP發(fā)出的ARP請(qǐng)求就會(huì)彈出一個(gè)IP沖突框來(lái)。利用局域網(wǎng)終結(jié)者可以偽造任一臺(tái)主機(jī)的IP向局域網(wǎng)不停地發(fā)送ARP請(qǐng)求，同時(shí)自已的MAC也是偽造的，那么被偽造IP的主機(jī)便會(huì)不停地收到IP沖突提示，致使該主機(jī)無(wú)法上網(wǎng)。這便構(gòu)成了局域網(wǎng)終結(jié)者的攻擊原理。

網(wǎng)絡(luò)執(zhí)法官工作原理：

網(wǎng)絡(luò)執(zhí)法官原理是通過(guò)ARP欺騙發(fā)給某臺(tái)電腦有關(guān)假的網(wǎng)關(guān)IP地址所對(duì)應(yīng)的MAC地址，使其找不到網(wǎng)關(guān)真正的MAC地址。

五、ARP欺騙的危害

ARP欺騙帶來(lái)的危害可以分為幾大類(lèi)，

1. 網(wǎng)絡(luò)異常。具體表現(xiàn)為：掉線(xiàn)、IP沖突等。

2. 數(shù)據(jù)竊取。具體表現(xiàn)為：個(gè)人隱私泄漏（如MSN聊天記錄、郵件等）、賬號(hào)被盜用（如QQ賬號(hào)、銀行賬號(hào)等）。

3. 數(shù)據(jù)篡改。具體表現(xiàn)為：訪(fǎng)問(wèn)的網(wǎng)頁(yè)被添加了惡意內(nèi)容，俗稱(chēng)“掛馬”。

4. 非法控制。具體表現(xiàn)為：網(wǎng)絡(luò)速度、網(wǎng)絡(luò)訪(fǎng)問(wèn)行為（例如某些網(wǎng)頁(yè)打不開(kāi)、某些網(wǎng)絡(luò)應(yīng)用程序用不了）受第三者非法控制。

六、ARP欺騙的防護(hù)方案

1、. 劃分VLAN 眾所周知ARP報(bào)文是一種廣播報(bào)文，也就是說(shuō)它只能在一個(gè)廣播域內(nèi)傳輸。所以這就決定了ARP欺騙不能跨網(wǎng)段實(shí)施，通過(guò)VLAN技術(shù)隔離廣播域，從一定的程度上減少ARP攻擊的范圍，使ARP欺騙局限于一個(gè)被感染的虛擬局域網(wǎng)內(nèi)，不會(huì)影響整個(gè)局域網(wǎng)的運(yùn)行。但是虛擬局域網(wǎng)技術(shù)是需要高端的網(wǎng)絡(luò)設(shè)備才可以實(shí)現(xiàn)的，低端的網(wǎng)絡(luò)設(shè)備是沒(méi)有網(wǎng)絡(luò)管理配置功能的，也就無(wú)法實(shí)現(xiàn)VLAN技術(shù)。

2. 信息加密 基于ARP欺騙原理，監(jiān)聽(tīng)不易為通信雙方察覺(jué)。如果通信雙方對(duì)信息進(jìn)行加密，即便信息被攻擊者獲取也因沒(méi)有方法解密而無(wú)法獲得有用信息，從而保證網(wǎng)絡(luò)傳輸?shù)陌踩浴５朔椒ㄊ且环N消極的防護(hù)策略。一旦受到ARP欺騙，該方法不能使網(wǎng)絡(luò)通信保持正常狀態(tài)。

3. 制定ARP緩存更新策略 由于ARP協(xié)議在無(wú)ARP請(qǐng)求的情況下任意接收ARP應(yīng)答并更新緩存，這為ARP欺騙創(chuàng)造了條件，因此可制定ARP緩存更新規(guī)則。規(guī)定接收ARP協(xié)議報(bào)文的順序是先發(fā)送ARP請(qǐng)求然后才能接收與此匹配的ARP應(yīng)答報(bào)文，對(duì)到達(dá)的無(wú)ARP請(qǐng)求或者不匹配的應(yīng)答報(bào)文一律丟棄，這樣可以有效防止攻擊方利用ARP欺騙報(bào)文更新ARP緩存達(dá)到欺騙目的。但是這種方法由于引入了安全性方面的的考慮，在一定程度上增加了ARP協(xié)議的復(fù)雜度。一般此類(lèi)方法的執(zhí)行速度較慢，具有一定的局限性。故該方法的應(yīng)用要綜合考慮安全性和網(wǎng)絡(luò)性能等多方面的因素。