欢迎访问拔笔兔范文大全网!

ARP协议的安全问题和安全威胁

天下 分享 时间: 加入收藏 我要投稿 点赞
在实现TCP/IP协议的网络环境下,一个IP包走到哪里、要怎么走是靠路由表定义的,但是,当IP包到达该网络后,哪台机器响应这个IP包却是靠该IP包中所包含的硬件MAC地址来识别的。也就是说,只有机器的硬件MAC地址和该IP包中的硬件MAC地址相同的机器才会应答这个IP包,因为在网络中,每一台主机都会有发送IP包的时候,所以,在每台主机的内存中,都有一个 arp--〉硬件MAC的转换表。通常是动态的转换表(该arp表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。通常主机在发送一个IP包之前,它要到该转换表中寻找和IP包对应的硬件MAC地址,如果没有找到,该主机就发送一个 ARP广播包,于是,主机刷新自己的ARP缓存。然后发出该IP包。

了解这些常识后,现在就可以介绍在以太网络中ARP欺骗是如何产生了,可以看看如下一个例子。

1.同网段ARP欺骗分析

如下所示,三台主机的IP地址和MAC地址分布如下:

A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA;

B: IP地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB;

C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC。

一个位于主机B的入侵者想非法进入主机A,可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系(开放23端口(telnet))。而他必须要使用telnet来进入主机A,这个时候他应该如何处理呢?

入侵者必须让主机A相信主机B就是主机C,如果主机A和主机C之间的信任关系是建立在IP地址之上的。如果单单把主机B的IP地址改的和主机C的一样,那是不能工作的,至少不能可靠地工作。如果你告诉以太网卡设备驱动程序,自己IP是192.168.0.3,那么这只是一种纯粹的竞争关系,并不能达到目标。我们可以先研究C这台机器,如果我们能让这台机器暂时当掉,竞争关系就可以解除,这个还是有可能实现的。在机器C宕掉的同时,将机器B的IP地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器A上面,而成功的绕过防火墙的限制。

上面的这种想法在下面的情况下是没有作用的,如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段,让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。

我们可以人为地制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包。这样的工具很多,我们也可以直接用Wireshark抓一个arp响应包,然后进行修改。

可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。

下面是具体的步骤。

(1)他先研究192.0.0.3这台主机,发现这台主机的漏洞。

(2)根据发现的漏洞使主机C宕掉,暂时停止工作。

(3)这段时间里,入侵者把自己的IP改成192.0.0.3。

(4)他用工具发一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A,要求主机A更新自己的ARP转换表。

(5)主机更新了ARP表中关于主机C的IP-->MAC对应关系。

(6)防火墙失效了,入侵的IP变成合法的MAC地址,可以telnet 了。
(7)上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,在B和C处于不同网段的时候,上面的方法是不起作用的。

[NextPage]
2.不同网段ARP欺骗分析

假设A、C位于同一网段而主机B位于另一网段,三台机器的ip地址和硬件地址如下:

A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA;

B: IP地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB;

C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC。

在现在的情况下,位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢?显然用上面的办法的话,即使欺骗成功,那么由主机B和主机A之间也无法建立telnet会话,因为路由器不会把主机A发给主机B的包向外转发,路由器会发现地址在192.168.0.这个网段之内。

现在就涉及另外一种欺骗方式--ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。

我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤。

(1)为了使自己发出的非法IP包能在网络上能够存活长久一点,开始修改IP包的生存时间TTL为下面的过程中可能带来的问题做准备。把TTL改成255。(TTL定义一个IP包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)。

(2)下载一个可以自由制作各种包的工具(例如hping2)。

(3)然后和上面一样,寻找主机C的漏洞按照这个漏洞宕掉主机C。

(4)在该网络的主机找不到原来的192.0.0.3后,将更新自己的ARP对应表。于是他发送一个原IP地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。

(5)现在每台主机都知道了,一个新的MAC地址对应192.0.0.3,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的IP包丢给路由。于是他还得构造一个ICMP的重定向广播。

(6)自己定制一个ICMP重定向包告诉网络中的主机:"到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的IP包丢给路由。"

(7)主机A接收这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的通信都丢给路由器。

(8)入侵者终于可以在路由外收到来自路由内的主机的IP包了,他可以开始telnet到主机的23口。

其实上面的想法只是一种理想话的情况,主机许可接收的ICMP重定向包其实有很多的限制条件,这些条件使ICMP重定向变得非常困难。

TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制。

(1)新路由必须是直达的。

(2)重定向包必须来自去往目标的当前路由。

(3)重定向包不能通知主机用自己做路由。

(4)被改变的路由必须是一条间接路由。

由于有这些限制,所以ICMP欺骗实际上很难实现。但是我们也可以主动地根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性,我们就可以采取相应的防御办法。
3.ARP欺骗的防御原则

我们给出如下一些初步的防御方法。

(1)不要把你的网络安全信任关系建立在IP地址的基础上或硬件MAC地址基础上,(RARP同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。

(2)设置静态的MAC→IP对应表,不要让主机刷新你设定好的转换表。

(3)除非很有必要,否则停止使用ARP,将ARP作为永久条目保存在对应表中。在Linux下用ifconfig -arp可以使网卡驱动程序停止使用ARP。

(4)使用代理网关发送外出的通信。

(5)修改系统拒收ICMP重定向报文。在Linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。在Win 2000下可以通过防火墙和IP策略拒绝接收ICMP报文。

精选图文

信息流广告 网络推广 周易 易经 代理招生 二手车 网络营销 招生代理 旅游攻略 非物质文化遗产 查字典 精雕图 戏曲下载 抖音代运营 易学网 互联网资讯 成语 成语故事 诗词 工商注册 注册公司 抖音带货 云南旅游网 网络游戏 代理记账 短视频运营 在线题库 国学网 知识产权 抖音运营 雕龙客 雕塑 奇石 散文 自学教程 常用文书 河北生活网 好书推荐 游戏攻略 心理测试 好做题 石家庄人才网 考研真题 汉语知识 心理咨询 手游安卓版下载 兴趣爱好 网络知识 十大品牌排行榜 商标交易 单机游戏下载 短视频代运营 宝宝起名 范文网 电商设计 职业培训 免费发布信息 服装服饰 律师咨询 搜救犬 Chat GPT中文版 经典范文 优质范文 工作总结 二手车估价 实用范文 爱采购代运营 古诗词 衡水人才网 石家庄点痣 养花 名酒回收 石家庄代理记账 女士发型 搜搜作文 石家庄人才网 铜雕 词典 围棋 chatGPT 读后感 玄机派 企业服务 法律咨询 chatGPT国内版 chatGPT官网 励志名言 河北代理记账公司 文玩 朋友圈文案 语料库 游戏推荐 男士发型 高考作文 PS修图 儿童文学 买车咨询 工作计划 礼品厂 舟舟培训 IT教程 手机游戏推荐排行榜 暖通,电采暖, 女性健康 苗木供应 主题模板 短视频培训 优秀个人博客 包装网 创业赚钱 养生 民间借贷律师 绿色软件 安卓手机游戏 手机软件下载 手机游戏下载 单机游戏大全 免费软件下载 网赚 手游下载 游戏盒子 职业培训 资格考试 成语大全 英语培训 艺术培训 少儿培训 苗木网 雕塑网 好玩的手机游戏推荐 汉语词典 中国机械网 美文欣赏 红楼梦 道德经 网站转让 鲜花
44269
领取福利

微信扫码领取福利

微信扫码分享