为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

ARP攻击详解

2012-07-25 7页 doc 32KB 30阅读

用户头像

is_630458

暂无简介

举报
ARP攻击详解一、ARP Spoofing 攻击原理分析 在局域网中, 通过 ARP 协议来完成 IP 地址转换为第二层物理地址 (即 MAC 地址) ARP 的。 协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网 络中产生大量的 ARP 通信量使网络阻塞或者实现“man in the middle” 进行 ARP 重定向和 嗅探攻击。 用伪造源 MAC 地址发送 ARP 响应包,对 ARP 高速缓存机制的攻击。 每个主机都用一个 ARP 高速缓存存放最近 IP 地址到 MAC 硬件地址之间的映...
ARP攻击详解
一、ARP Spoofing 攻击原理 在局域网中, 通过 ARP 协议来完成 IP 地址转换为第二层物理地址 (即 MAC 地址) ARP 的。 协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网 络中产生大量的 ARP 通信量使网络阻塞或者实现“man in the middle” 进行 ARP 重定向和 嗅探攻击。 用伪造源 MAC 地址发送 ARP 响应包,对 ARP 高速缓存机制的攻击。 每个主机都用一个 ARP 高速缓存存放最近 IP 地址到 MAC 硬件地址之间的映射。高速 缓存中的每一条记录(条目)的生存时间一般为 20 分钟,起始时间从被创建时开始算起。 默认情况下,ARP 从缓存中读取 IP-MAC 条目,缓存中的 IP-MAC 条目是根据 ARP 响应包 动态变化的。因此,只要网络上有 ARP 响应包发送到本机,即会更新 ARP 高速缓存中的 IP-MAC 条目。 攻击者只要持续不断的发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目,造成网络中断或中间人攻击。 ARP 协议并不只在发送了 ARP 请求才接收 ARP 应答。 当计算机接收到 ARP 应答数据包的 时候,就会对本地的 ARP 缓存进行更新,将应答中的 IP 和 MAC 地址存储在 ARP 缓存中。 因此,B 向 A 发送一个自己伪造的 ARP 应答,而这个应答中的数据为发送方 IP 地址是 192.168.10.3(C 的 IP 地址),MAC 地址是 DD-DD-DD-DD-DD-DD(C 的 MAC 地址本来 应该是 CC-CC-CC-CC-CC-CC,这里被伪造了)。当 A 接收到 B 伪造的 ARP 应答,就会 更新本地的 ARP 缓存(A 可不知道被伪造了)。 当攻击源大量向局域网中发送虚假的 ARP 信息后,就会造成局域网中的机器 ARP 缓存的 崩溃。 Switch 上同样维护着一个动态的 MAC 缓存,它一般是这样,首先,交换机内部有一个对应 的列表,交换机的端口对应 MAC 地址表 Port n <-> Mac 记录着每一个端口下面存在那些 MAC 地址,这个表开始是空的,交换机从来往数据帧中学习。因为 MAC-PORT 缓存表是 动态更新的,那么让整个 Switch 的端口表都改变,对 Switch 进行 MAC 地址欺骗的 Flood, 不断发送大量假 MAC 地址的数据包,Switch 就更新 MAC-PORT 缓存,如果能通过这样的 办法把以前正常的 MAC 和 Port 对应的关系破坏了,那么 Switch 就会进行泛洪发送给每一 个端口,让 Switch 基本变成一个 HUB,向所有的端口发送数据包,要进行嗅探攻击的目的 一样能够达到。也将造成 Switch MAC-PORT 缓存的崩溃,如下下面交换机中日志所示: Internet 172.20.156.1 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.5 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.254 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.53 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.33 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.13 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.15 0 000b.cd85.a193 ARPA Vlan256 Internet 172.20.156.14 0 000b.cd85.a193 ARPA Vlan256 二、ARP 病毒分析 当局域网内某台主机运行 ARP 欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让 所有上网的流量必须经过病毒主机。 其他用户原来直接通过路由器上网现在转由通过病毒主 机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服 务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病 毒主机就可以盗号了。 由于 ARP 欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身 处理能力的限制,用户会感觉上网速度越来越慢。当 ARP 欺骗的木马程序停止运行时,用 户会恢复从路由器上网,切换过程中用户会再断一次线。 在路由器的“系统历史记录”中看到大量如下的信息: MAC Chged 10.128.103.124 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 这个消息代表了用户的 MAC 地址发生了变化,在 ARP 欺骗木马开始运行的时候,局域网 所有主机的 MAC 地址更新为病毒主机的 MAC 地址(即所有信息的 MAC New 地址都一致 为病毒主机的 MAC 地址),同时在路由器的“用户统计”中看到所有用户的 MAC 地址信息 都一样。 如果是在路由器的“系统历史记录”中看到大量 MAC Old 地址都一致,则说明局域网内曾经 出现过 ARP 欺骗(ARP 欺骗的木马程序停止运行时,主机在路由器上恢复其真实的 MAC 地址)。 BKDR_NPFECT.A 病毒引起 ARP 欺骗之实测分析 Part1. 病毒现象 中毒机器在局域网中发送假的 APR 应答包进行 APR 欺骗, 造成其他客户机无法获得网关和 其他客户机的网卡真实 MAC 地址,导致无法上网和正常的局域网通信. 图一 此主相关图片如下: Part2. 病毒原理分析: 病毒的组件 本文研究的病毒样本有三个组件构成: %windows%\SYSTEM32\LOADHW.EXE (108,386 bytes) ….. ”病毒组件释放者” %windows%\System32\drivers\npf.sys (119,808 bytes) ….. ”发 ARP 欺骗包的驱动程 序” %windows%\System32\msitinit.dll (39,952 bytes) …”命令驱动程序发 ARP 欺骗包的 控制者” 病毒运作基理: 1.LOADHW.EXE 执行时会释放两个组件 npf.sys 和 msitinit.dll . LOADHW.EXE 释放组件后即终止运行. 注意: 病毒假冒成 winPcap 的驱动程序,并提供 winPcap 的功能. winPcap, npf.sys 将会被病毒文件覆盖掉. 客户若原先装有 2.随后 msitinit.dll 将 npf.sys 注册(并监视)为内核级驱动设备: "NetGroup Packet Filter Driver" msitinit.dll 还负责发送指令来操作驱动程序 npf.sys (如发送 APR 欺骗包, 抓包, 过滤包等) 图二 此主题相关图片如下:关值: BinaryPathName = "system32\drivers\npf.sys" StartType = SERVICE_AUTO_START ServiceType = SERVICE_KERNEL_DRIVER DesiredAccess = SERVICE_ALL_ACCESS DisplayName = "NetGroup Packet Filter Driver" ServiceName = "Npf" 3. npf.sys 负责监护 msitinit.dll. 并将 LOADHW.EXE 注册为自启动程序: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] dwMyTest =LOADHW.EXE 图三 此主题相关图片如下: 注: 由于该项位于 RunOnce 下,该注册表启动项在每次执行后,即会被系统自动删除. Part3. 反病毒应急响应解决 按以下顺序删除病毒组件 1)删除 ”病毒组件释放者” %windows%\SYSTEM32\LOADHW.EXE 2)删除 ”发 ARP 欺骗包的驱动程序” (兼 “病毒守护程序”) %windows%\System32\drivers\npf.sys a.在设备管理器中, 单击”查看”-->”显示隐藏的设备” b.在设备树结构中,打开”非即插即用….” c.找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表 d.右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”. e.重启 windows 系统, f.删除%windows%\System32\drivers\npf.sys 图四 此主题相关图片如下: 3)删除 ”命令驱动程序发 ARP 欺骗包的控制者” %windows%\System32\msitinit.dll 2.删除以下”病毒的假驱动程序”的注册表服务项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf 三、定位 ARP 攻击源头和防御方法 1.定位 ARP 攻击源头 主动定位方式:因为所有的 ARP 攻击源都会有其特征——网卡会处于混杂模式,可以通过 ARPKiller 这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有 可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。 标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够 收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是 Sniffer 工作 的基本原理:让网卡接收一切它所能接收的数据。 被动定位方式:在局域网发生 ARP 攻击时,查看交换机的动态 ARP 表中的,确定攻 击源的 MAC 地址;也可以在局域居于网中部署 Sniffer 工具,定位 ARP 攻击源的 MAC。 使用 NBTSCAN 可以取到 PC 的真实 IP 地址和 MAC 地址,如果有”ARP 攻击”在做怪,可 以找到装有 ARP 攻击的 PC 的 IP/和 MAC 地址。 命 令 : “nbtscan -r 192.168.16.0/24” ( 搜 索 整 个 192.168.16.0/24 网 段 , 即 192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索 192.168.16.25-137 网段,即 192.168.16.25-192.168.16.137。输出结果第一列是 IP 地址,最后一列是 MAC 地址。 NBTSCAN 的使用范例: 假设查找一台 MAC 地址为“000d870d585f”的病毒主机。 1)将压缩包中的 nbtscan.exe 和 cygwin1.dll 解压缩放到 c:下。 2)在 Windows 开始—运行—打开,输入 cmd(windows98 输入“command”),在出现的 DOS 窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回 车。 3 ) 通 过 查 询 IP--MAC 对 应 表 , 查 出 “000d870d585f” 的 病 毒 主 机 的 IP 地 址 为 “192.168.16.223”。 2.防御方法 a.使用可防御 ARP 攻击的三层交换机,绑定端口-MAC-IP,限制 ARP 流量,及时发现并自 动阻断 ARP 攻击端口,合理划分 VLAN,彻底阻止盗用 IP、MAC 地址,杜绝 ARP 的攻击。 b.对于经常爆发病毒的网络,进行 Internet 访问控制,限制用户对网络的访问。此类 ARP 攻击程序一般都是从 Internet 下载到用户终端,如果能够加强用户上网的访问控制,就能极 大的减少该问题的发生。 c.在发生 ARP 攻击时,及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技的 SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的 TrendLabs 进行分析, TrendLabs 将以最快的速度提供病毒码文件,从而可以进行 ARP 病毒的防御
/
本文档为【ARP攻击详解】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索