ARP协议的安全问题和安全威胁

('第1页本文格式为Word版，下载可任意编辑ARP协议的安全问题和安全威胁在实现TCP/IP协议的网络环境下，一个IP包走到哪里、要怎么走是靠路由表定义的，但是，当IP包到达该网络后，哪台机器响应这个IP包却是靠该IP包中所包含的硬件MAC地址来识别的。也就是说，只有机器的硬件MAC地址和该IP包中的硬件MAC地址相同的机器才会应答这个IP包，因为在网络中，每一台主机都会有发送IP包的时候，所以，在每台主机的内存中，都有一个arp--〉硬件MAC的转换表。通常是动态的转换表〔该arp表可以手工添加静态条目〕。也就是说，该对应表会被主机在肯定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。通常主机在发送一个IP包之前，它要到该转换表中查找和IP包对应的硬件MAC地址，假如没有找到，该主机就发送一个ARP广播包，于是，主机刷新自己的ARP缓存。然后发出该IP包。了解这些常识后，如今就可以介绍在以太网络中ARP欺骗是如何产生了，可以看看如下一个例子。1．同网段ARP欺骗分析如下所示，三台主机的IP地址和MAC地址分布如下：第2页本文格式为Word版，下载可任意编辑A:IP地址192.168.0.1硬件地址AA:AA:AA:AA:AA:AA；B:IP地址192.168.0.2硬件地址BB:BB:BB:BB:BB:BB；C:IP地址192.168.0.3硬件地址CC:CC:CC:CC:CC:CC。一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系〔开放23端口〔telnet〕〕。而他必需要使用telnet来进入主机A，这个时候他应当如何处理呢？入侵者必需让主机A信任主机B就是主机C，假如主机A和主机C之间的信任关系是建立在IP地址之上的。假如单单把主机B的IP地址改的和主机C的一样，那是不能工作的，至少不能可靠地工作。假如你告知以太网卡设备驱动程序，自己IP是192.168.0.3，那么这只是一种纯粹的竞争关系，并不能到达目标。我们可以先讨论C这台机器，假如我们能让这台机器临时当掉，竞争关系就可以解除，这个还是有可能实现的。在机器C宕掉的同时，将机器B的IP地址改为192.168.0.3，这样就可以胜利的通过23端口telnet到机器A上面，而胜利的绕过防火墙的限制。上面的这种想法在下面的状况下是没有作用的，假如主机A和主机C之间的信任关第3页本文格式为Word版，下载可任意编辑系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段，让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。我们可以人为地制造一个arp_reply的响应包，发送给想要欺骗的主机，这是可以实现的，因为协议并没有规定必需在接收到arp_echo后才可以发送响应包。这样的工具许多，我们也可以直接用Wireshark抓一个arp响应包，然后进行修改。可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存到达欺骗的目的。下面是具体的步骤。〔1〕他先讨论192.0.0.3这台主机，发觉这台主机的漏洞。〔2〕依据发觉的漏洞使主机C宕掉，临时停止工作。〔3〕这段时间里，入侵者把自己的IP改成192.0.0.3。〔4〕他用工具发一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A，要求主机A更新自己的ARP转换表。第4页本文格式为Word版，下载可任意编辑〔5〕主机更新了ARP表中关于主机C的IP--MAC对应关系。〔6〕防火墙失效了，入侵的IP变成合法的MAC地址，可以telnet了。〔7〕上面就是一个ARP的欺骗过程，这是在同网段发生的状况，但是，提示留意的是，在B和C处于不同网段的时候，上面的方法是不起作用的。[NextPage]2．不同网段ARP欺骗分析假设A、C位于同一网段而主机B位于另一网段，三台机器的ip地址和硬件地址如下：A:IP地址192.168.0.1硬件地址AA:AA:AA:AA:AA:AA；B:IP地址192.168.1.2硬件地址BB:BB:BB:BB:BB:BB；C:IP地址192.168.0.3硬件地址CC:CC:CC:CC:CC:CC。在如今的状况下，位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢？明显用上面的方法的话，即使欺骗胜利，那么由主机B和主机A之间也无法建立telnet会话，因为路由器不会把主机A发给主机B的包向外转发，路由器会发觉地第5页本文格式为Word版，下载可任意编辑址在192.168.0.这个网段之内。如今就涉及另外一种欺骗方式--ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。ICMP重定向报文是ICMP掌握报文中的一种。在特定的状况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机转变路由。路由器也会把初始数据报向它的目的地转发。我们可以利用ICMP重定向报文到达欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤。〔1〕为了使自己发出的非法IP包能在网络上能够存活长期一点，开始修改IP包的生存时间TTL为下面的过程中可能带来的问题做预备。把TTL改成255。〔TTL定义一个IP包假如在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充分的广播〕。〔2〕下载一个可以自由制作各种包的工具〔例如hping2〕。〔3〕然后和上面一样，查找主机C的漏洞根据这个漏洞宕掉主机C。第6页本文格式为Word版，下载可任意编辑〔4〕在该网络的主机找不到原来的192.0.0.3后，将更新自己的ARP对应表。于是他发送一个原IP地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。〔5〕如今每台主机都知道了，一个新的MAC地址对应192.0.0.3，一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的IP包丢给路由。于是他还得构造一个ICMP的重定向广播。〔6〕自己定制一个ICMP重定向包告知网络中的主机：到192.0.0.3的路由最短路径不是局域网，而是路由，请主机重定向你们的路由路径，把全部到192.0.0.3的IP包丢给路由。〔7〕主机A接收这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3的通信都丢给路由器。〔8〕入侵者最终可以在路由外收到来自路由内的主机的IP包了，他可以开始telnet到主机的23口。其实上面的想法只是一种理想话的状况，主机答应接收的ICMP重定向包其实有许多的限制条件，这些条件使ICMP重定向变得特别困难。第7页本文格式为Word版，下载可任意编辑TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制。〔1〕新路由必需是直达的。〔2〕重定向包必需来自去往目标的当前路由。〔3〕重定向包不能通知主机用自己做路由。〔4〕被转变的路由必需是一条间接路由。由于有这些限制，所以ICMP欺骗事实上很难实现。但是我们也可以主动地依据上面的思维查找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性，我们就可以实行相应的防御方法。3．ARP欺骗的防御原则我们给出如下一些初步的防御方法。〔1〕不要把你的网络安全信任关系建立在IP地址的基础上或硬件MAC地址基础上，〔RARP同样存在欺骗的问题〕，理想的关系应当建立在IP+MAC基础上。〔2〕设置静态的MACIP对应表，不要让主机刷新你设定好的转换表。〔3〕除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。第8页本文格式为Word版，下载可任意编辑在Linux下用ifconfig-arp可以使网卡驱动程序停止使用ARP。〔4〕使用代理网关发送外出的通信。〔5〕修改系统拒收ICMP重定向报文。在Linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。在Win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。',)