ARP欺骗防范

2011-03-29  tuohuang0...

1  引言

    ARP协议,又称地址解析协议,简单说就是通过IP地址来查询目标主机的MAC地址。ARP协议在以太网主机通信中发挥至关重要的作用。然而,事物都有两面性,如果ARP协议被黑客利用,通过伪造IP地址和MAC地址实施ARP欺骗,将会在网络中产生大量ARP通信流量从而使网络发生拥塞,或者通过实施“Man In The Middle”进行ARP重定向和嗅探攻击。我校网络核心层为思科6500系列三层交换机,分布层和接入层采用思科和瑞捷交换机,IP地址采取静态分配。本篇所讨论的ARP防治策略,即是在此种网络环境下归纳的。

2  ARP欺骗现象

    在局域网内,攻击源主机不断发送ARP欺骗报文,即以假冒的网卡物理地址向同一子网的其它主机发送ARP报文,甚至假冒该子网网关物理地址蒙骗其它主机,诱使其它主机经由该病毒主机上网。真网关向假网关的切换,会导致网内用户断网。当攻击源主机断电或离线,网内其它主机自动重新搜索真网关,这个过程又会导致用户断一次网。所以某子网内,只要存在一台或多台这样的攻击源主机,就会使其它主机上网断断续续,严重时将致使整个网络陷于瘫痪。上述现象即是一种典型ARP欺骗,除了影响网络运行效率,攻击者也会趁机窃取网内用户的帐号和密码。因为发送的是ARP报文,具有一定的隐秘性,如果侵占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。

3  ARP欺骗分析

3.1  原理简析

    局域网内某主机运行ARP欺骗程序时,会诱骗局域网内所有主机和路由器,使上网流量必须经由该病毒主机。原来通过路由器上网的用户现在转由病毒主机,这个切换会致使用户断线。切换到病毒主机上网后,如果用户已经登录了传奇服务器,病毒主机会不断制造断线的假象,用户就得重新登录,病毒主机就可以趁机实施盗号行为。ARP欺骗木马程序发作会发送大量数据包,从而导致局域网通讯拥塞,受自身处理能力的限制,用户会感觉网速越来越慢。ARP欺骗木马程序停止运行,用户会恢复从路由器上网,该切换则会导致用户再次断网。

3.2  欺骗方式

3.2.1 一般冒充欺骗
    这是一种比较常见的攻击,通过发送伪造的ARP包来实施欺骗。根据欺骗者实施欺骗时所处的立场,可分为三种情况:冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗其它主机。在冒充网关欺骗中,欺骗者定时且频繁的对本网发送ARP广播,告诉所有网络成员自己就是网关,或者以网关身份伪造虚假的ARP回应报文,欺骗局域网内的其它主机,这样子网内流向外网的数据就可以被攻击者截取;冒充主机欺骗网关的过程跟冒充网关的过程相反,欺骗者总是通过虚假报文告诉网关,自己就是目标主机,从而使网关向用户发送的数据被攻击者截取;冒充主机欺骗其它主机则是同一网内设备间的欺骗,攻击者以正常用户的身份伪造虚假ARP回应报文,欺骗其它主机,结果是其它用户向该用户发送的数据全部被攻击者截获。
3.2.2  虚构MAC地址欺骗
    这种攻击也是攻击者以正常用户身份伪造虚假的ARP回应报文,欺骗网关。但是,和上述一般冒充欺骗不同的是,此时攻击者提供给网关的MAC地址根本不存在,不是攻击者自己的MAC地址,这样网关发给该用户的数据全部被发往一个不存在的地方。
3.2.3  ARP泛洪
    这是一种比较危险的攻击,攻击者伪造大量虚假源MAC和源IP信息报文,向局域网内所有主机和网关进行广播,目的就是令局域网内部的主机或网关找不到正确的通信对象,甚至直接用虚假地址信息占满网关ARP缓存空间,造成用户无法正常上网。同时网络设备CPU居高不下,缓存空间被大量占用。由于影响到了网络设备,攻击者自己上网的效率也很低,这是一种典型的损人不利己行为。
3.2.4  基于ARP的DoS
    这是新出现的一种攻击方式,DoS又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于该主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务。这个过程中如果使用ARP来隐藏自己,被攻击主机日志上就不会出现真实的IP记录。攻击的同时,也不会影响到本机。

4  ARP欺骗鉴定方法

4.1  检查网内感染“ARP欺骗”木马病毒的计算机

    在“命令提示符”下输入并执行“ipconfig”命令,记录网关IP地址,即“Default Gateway”对应的值,例如“192.168.18.1”。然后执行“arp -a”命令查看自己网关MAC地址,如若变成和内网一机器MAC地址相同,可据此断定内网有机器中了ARP网关欺骗型病毒。本操作前提是知道网关的正确MAC地址,可在正常上网主机上,使用“arp -a”命令查看网关MAC地址,通过对比查看网关MAC地址是否被修改。

4.2  查看ARP表

    用三层设备接入校园网的单位,网管可以检查其三层设备上的ARP表。如果有多个IP对应同一个MAC,则此MAC对应的计算机很可能中了木马病毒。可通过下连二层交换机的转发表查到此MAC对应的交换机端口,从而定位有问题的计算机。

5  ARP欺骗防范策略

5.1 清空ARP缓存

    点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,如能恢复正常,则说明此次掉线可能是受ARP欺骗所致。

5.2  个人主机ARP绑定

    通过执行“arp -s 210.31.197.94 00-03-6b-7f-ed-02”,临时绑定主机IP与MAC地址。
或者,通过建立一批处理文件,绑定IP和MAC。方法如下:
    @echo off
    arp -d 
    arp -s IP MAC
    每次开机,计算机都会执行一次静态ARP地址绑定,从而较好地防范ARP欺骗。如果能在机器和路由器中都进行绑定,效果会更好。

5.3 采用适当的杀毒与防范软件

    趋势、诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒。ARP防火墙、风云防火墙等,都是针对性较强的防ARP欺骗攻击软件,可以起到防范甚至追踪ARP攻击源的作用。

6  ARP欺骗追查方法

6.1  三层交换的ARP绑定

    使用可防御ARP攻击的三层交换机,在端口绑定IP和MAC地址,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止IP、MAC地址盗用,杜绝ARP攻击。

6.2  网络追踪

    对于已经爆发ARP欺骗的网络环境,可以采取以下步骤进行追踪定位。
6.2.1 问题发现
    我校图书馆的网络拓扑结构如下,核心交换机思科6509下连图书馆锐捷4909交换机,通过锐捷4909交换机5模块的百兆口下连图书馆的各接入交换机,且各接入交换机为不可管理型,所以一般网络故障,在交换机上只能定位到5模块的百兆口。图1为图书馆网络拓扑。
 
根据用户反映网络不畅通,网络管理人员登录校园网核心设备Center_6509交换机,发现CPU利用率一直很高,接近100%。
    CPU utilization for five seconds:99%/5%;one minute:99%;five minutes:95%
    Center6509_super720#sh proc cpu history
    查看历史记录,发现近一个小时,CPU利用率一直接近100%,这显然是不正常的。
6.2.2  ARP欺骗确定
    Center_6509交换机上,采用show arp 命令,发现有一段211.70.215.0网段的IP均对应0040.ca65.e888。

    Center6509_super720#sh arp
    Internet  211.70.215.23          0   0040.ca65.e888  ARPA   Vlan19
    Internet  211.70.215.24          0   0040.ca65.e888  ARPA   Vlan19
    Internet  211.70.215.25          3   0040.ca65.e888  ARPA   Vlan19
    Internet  211.70.215.26          0   0040.ca65.e888  ARPA   Vlan19
    Internet  211.70.215.27          0   0040.ca65.e888  ARPA   Vlan19
    (由于本文引用数据均较长,一般只截取一部分予以说明,以下引用资料同此处)

    0040.ca65.e888这个MAC地址,同时对应若干个IP地址,这是一种典型的ARP攻击现象。
6.2.3  确定攻击来源端口
    交换机2模块是与各单位进行连接的千兆接口,承载大部分的流量。先逐个停掉2模块各端口测试,最终确定是连图书馆方向的6号端口存在问题。停掉6号端口,交换机CPU利用率立刻就降到正常水平,打开6号端口,再次升高。图书馆方向是瑞捷4909交换机。登录该交换机,采用第二步的方法,确认是5模块的1号端口存在问题。分析如下:
    Library(config)#inte fastEthernet 5/1
    Library(config-if)#sh
    Center_6509核心交换机CPU利用率立刻恢复正常,ARP特征不再明显。
    在图书馆的Library_4909交换机上,查看该MAC地址的具体来源
    Library#sh mac-address-table address 0040.ca65.e888
Vlan     MAC Address       Type     Interface
-----  --------- ----- ---------
67       0040.ca65.e888    DYNAMIC  Fa5/1
可见,Fa5/1下连的0040.ca65.e888就是攻击源,与上面的排查结果吻合。
6.2.4 准确定位攻击源
    网络管理人员采用以上方法,可以及时查到攻击源MAC地址。但是当子网内发生ARP欺骗行为时,受影响主机在交换机上统一显示为攻击源MAC地址,如何在出现问题的子网内部准确定位攻击源主机,网络管理人员需要考虑的问题。 “netscan”命令即是一个行之有效的方法。nbtscan是一个扫描Windows网络NetBIOS信息的小工具,可以查看局域网内真实的MAC地址。
    在Library_4909交换机Fa5/1口下连的某台主机上,运行“nbtscan”命令,查找子网主机的真实MAC地址。具体如下:

    C:\>nbtscan -r 211.70.215.1/24
    Warning:-r option not supported under Windows. Running without it.
    Doing NBT name scan for addresses from 211.70.215.1/24
IP address       NetBIOS Name     Server    User             MAC address
------------------------------------------------------------------------------
211.70.215.24    AGESERVER        <server>  <unknown>        00-09-6b-7f-b7-4a
211.70.215.25    HP-EC3A9E8DC568  <server>  <unknown>        00-16-35-b0-bc-e6
211.70.215.26    LIB-2K3II        <server>  <unknown>        00-40-ca-65-e8-88
211.70.215.31    LIBSS            <server>  <unknown>        00-12-79-d4-28-51
211.70.215.33    RD               <server>  <unknown>        00-13-21-1d-d1-c6
211.70.215.34    HPLH3                      <unknown>        00-a0-c9-ea-8e-43
211.70.215.35    CNKI             <server>  <unknown>        00-13-21-e9-2c-c2
211.70.215.36    S-D0WGVJ7BN3LUP            S-D0WGVJ7BN3LUP  00-0f-20-93-6e-3d  
211.70.215.39    DL360                      <unknown>        00-17-a4-8f-e7-7a
。。。。。。

    据此可轻易查到攻击源MAC地址00-40-ca-65-e8-88所对应的真实IP--211.70.215.26,根据NetBIOS Name信息“LIB-2K3II”或者网络管理人员的IP使用记录,可以准确定位攻击源主机。在网络管理人员判断主机所有者时,NetBIOS Name也是一个参考因素。分别找到这两台主机查看,发现均没有安装杀毒软件。将这两台主机断开网络连接,整个网络恢复正常。对相关网络管理人员来说,这是一个很直观的教训。为所有的联网主机安装杀毒软件,是一个不可或缺的步骤。

7  结语

    个人用户要增强网络安全意识,及时下载和更新操作系统补丁程序,安装正版杀毒软件,及时更新病毒库,增强个人计算机防御计算机病毒的能力。院系机房以及学校网络管理部门,要逐级建立比较全面的MAC地址库,便于发现问题及时定位。同时,网络管理人员还要懂得一些ARP欺骗防范与追踪的方法,将交换机的安全通道全部封死。

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。如发现有害或侵权内容,请点击这里 或 拨打24小时举报电话:4000070609 与我们联系。

    猜你喜欢

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多
    喜欢该文的人也喜欢 更多