[教学]解决局域网ARP攻击造成的断网问题

[教学]解决局域网ARP攻击造成的断网问题 解决局域网ARP攻击造成的断网问题 【字号:大 中 小】 实战:解决局域网ARP攻击造成的断网问题 家里通过连接老妈学校的局域网上网(不用出上网费，^_^ )~~从06年8月起，局域网中上网经常性掉线，通过科来网络系统发现，局域网中出现了arp欺骗攻击。经过我不断查找资料，2月初终于实现完美预防，下面就做个总结，希望对其他人有帮助~~:) 1. ARP概念 ARP，全称Address Resolution Protocol，中文名为地址解析，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。 IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢,它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址，每个网卡一个，据我观察分析，装系统时系统自动给予编号，形如00-03-0F-01-3E-0A)，以保证通信的顺利进行。 1. 1 ARP和RARP报头结构 ARP和RARP使用相同的报头结构，如图1所示。 (图1 ARP/RARP报头结构) 硬件类型字段:指明了发送方想知道的硬件接口类型，以太网的值为1; 协议类型字段:指明了发送方提供的高层协议类型，IP为0800(16进制); 硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用; 操作字段:用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4; 发送方的硬件地址(0-3字节):源主机硬件地址的前3个字节; 发送方的硬件地址(4-5字节):源主机硬件地址的后3个字节; 发送方IP(0-1字节):源主机硬件地址的前2个字节; 发送方IP(2-3字节):源主机硬件地址的后2个字节; 目的硬件地址(0-1字节):目的主机硬件地址的前2个字节; 目的硬件地址(2-5字节):目的主机硬件地址的后4个字节; 目的IP(0-3字节):目的主机的IP地址。 1.2 ARP工作原理 1. 首先，每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。 2. 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有,就直接将数据包发送到这个MAC地址;如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 3. 网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址; 4. 源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 例如: A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA B的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB 根据上面的所讲的原理，我们简单说明这个过程:A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP请求广播(谁是192.168.1.2 ，请告诉192.168.1.1)，当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答(192.168.1.2 在BB-BB-BB-BB-BB-BB)。 1.3 ARP通讯模式 通讯模式(Pattern Analysis):在网络分析中，通讯模式的分析是很重要的，不同的协议和不同的应用都会有不同的通讯模式。更有些时候，相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是:请求 -> 应答 -> 请求 -> 应答，也就是应该一问一答。 2. 常见ARP攻击类型 个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。 2.1 ARP扫描(ARP请求风暴) 通讯模式(可能): 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求... 描述: 网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。 出现原因(可能): *病毒程序，侦听程序，扫描程序。 *如果网络分析软件部署正确，可能是我们只镜像了交换机上的部分端口，所以大量ARP请求是来自与非镜像口连接的其它主机发出的。 *如果部署不正确，这些ARP请求广播包是来自和交换机相连的其它主机。 2.2 ARP欺骗 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。这可能就是协议者当初没考虑到的～ 2.2.1 欺骗原理 假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述: A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA B的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB C的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3(C的IP地址)，MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A被欺骗了)，这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.1.1(A的IP地址)，MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA)，当C收到B伪造的ARP应答，也会更新本地ARP缓存(C也被欺骗了)，这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。 注意:一般情况下，ARP欺骗的某一方应该是网关。 2.2.2 两种情况 ARP欺骗存在两种情况:一种是欺骗主机作为―中间人‖，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。 第一种:窃取数据(嗅探) 通讯模式: 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 ->请求->应答... 描述: 这种情况就属于我们上面所说的典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗，当通讯双方被欺骗成功后，自己作为了一个―中间人―的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者―窃听‖了。 出现原因(可能): *木马病毒(例如一款传奇木马) *嗅探 *人为欺骗 第二种:导致断网 通讯模式: 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求… 描述: 这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B没有对C进行欺骗，这样A实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。 对于伪造地址进行的欺骗，在排查上比较有难度，这里最好是借用TAP设备(呵呵，这个东东好像有点贵勒)，分别捕获单向数据流进行分析～ 出现原因(可能): * 木马病毒(同上) *人为破坏 *一些网管软件的控制功能 3. 常用的防护方法 3.1对于arp攻击的解决思路 1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，(rarp同样存在欺骗的问题)，理想的关系应该建立在IP+MAC基础上。 2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。 3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。 4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 5、使用"proxy"代理IP的传输。 6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。(静态配置路由ARP条目)，注意，使用交换集线器和网桥无法阻止ARP欺骗。 7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。 8、管理员定期轮询，检查主机上的ARP缓存。 9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。 3.2我个人的解决及结果 目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。 3.2.1 静态绑定 最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。 欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。 方法: 对每台主机进行IP和MAC地址静态绑定。 通过命令，arp -s可以实现 ―arp –s IP MAC地址 ‖。 例如:―arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA‖。 如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示: Internet Address Physical Address Type 192.168.1.1 AA-AA-AA-AA-AA-AA static(静态) 一般不绑定,在动态的情况下: Internet Address Physical Address Type 192.168.1.1 AA-AA-AA-AA-AA-AA dynamic(动态) 说明:对于网络中有很多主机，如果我们这样每一台都去做静态绑定，工作量是非常大的。这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，放在启动文件夹下，随系统启动运行。 打开记事本，将下面代码写入记事本，保存时起名为 ***.bat。 @echo off arp -d arp -s IP地址 MAC地址 这种方法经我的实验，结果并不令人满意，仍然经常断网。 3.2.2 使用ARP防护软件 目前关于ARP类的防护软件出的比较多了，我向大家推荐Antiarp(原anti arp sniffer)。除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。 这个软件最新版本为ARP防火墙单机版4.0 Beta4，及ARP防火墙网络版V3.0.0.1，下面为我使用单机版AntiARP Stand-alone Edition的方法。 安装运行后，点击面板上的软件设置按钮，出现图二界面，设置主动防御为警戒，网关IP/MAC可以自动获取或手动设置，我推荐手动设置。左侧一般选项按提示设置就可。点击开始保护就可高枕无忧。 注:我的电脑安装有虚拟机及蓝牙上网设备，在使用时软件开机自动运行后，反而无法获得DHCP指派的IP地址，只有自动私有地址。所以我用手动启动，也可用软件 startup Delayer 定制启动的顺序及延时。 图二 本方法经我的使用证实，完全解决了断网问题，是个很不错的个人防护方法。 注:对于ARP防火墙软件，请点此访问官方网站。 3.2.3 具有ARP防护功能的路由器 这类路由器以前听说的很少，对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。 ARP的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息，使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。 可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊,如果攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息～ 面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。 ARP广播会造成网络资源的浪费和占用。如果该网络出了问题，我们抓包分析，数据包中 也会出现很多这类ARP广播包，对分析也会造成一定的影响。 4.治标还要治本，对于apr攻击的根本解决方案还是找到中毒主机或主动发送攻击的个人。 对于中毒电脑要进行彻底的杀毒，对于主动攻击的个人要严重警告，直至报警解决。下面谈 谈如何确定攻击主机。我使用了nbtscan及WinArpAttacker3.50 来定位攻击主机。 4.1 NBTSCAN的使用范例: 假设查找一台MAC地址为―000d870d585f‖的病毒主机。 1.将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:/下。 2.在Windows开始—运行—打开，输入cmd(windows98输入―command‖)，在出现的 DOS窗口中输入:C:/nbtscan -r 192.168.1.1/24(这里需要根据用户实际网段输入)，回 车。 C:/Documents and Settings/ALAN>C:/nbtscan -r 192.168.1.1/24 Warning: -r option not supported under Windows. Running without it. Doing NBT name scan for addresses from 192.168.1.1/24 IP address NetBIOS Name Server User MAC address ------------------------------------------------------------------------------ 192.168.1.0 Sendto failed: Cannot assign requested address 192.168.1.50 SERVER 00-e0-4c-4d-96-c6 192.168.1.111 LLF ADMINISTRATOR 00-22-55-66-77-88 192.168.1.121 UTT-HIPER 00-0d-87-26-7d-78 192.168.1.175 JC 00-07-95-e0-7c-d7 192.168.1.193 test123 test123 00-0d-87-0d-58-5f 3.通过查询IP--MAC对应表，查出―000d870d585f‖的病毒主机的IP地址为―192.168.1.193‖。 在我的附件压缩包中还有一个图形界面的该软件，但是有些主机没有能够发现，还是命令行 的比较保险。 4.2 WinArpAttacker3.50(卡巴等杀毒软件会该软件为恶意程序或病毒) 这个软件为英文软件，其实可以作为arp攻击软件，但用来查找局域网中的主机也很不错。 打开软件后，如有多个网络连接要在opinion中设置使用哪个网络连接。点击scan即可快 速扫描局域网中的主机，并显示其IP、mac和arp的接收发送情况。对于该软件的其他功能有兴趣的可以自行研究。 有一点我要说说，在arp攻击的防护中，我也采用了用该软件攻击攻击者主机的方法，但是效果不理想，当你攻击时可以连上网，但是你又不能总是攻击而不做其他事情，所以只被我用来查找主机。 我也是在网络上边学习边研究的，参考了不少资料，所以上面会可能会有说的不正确和不够的地方，希望大家能够指正。