arp协议的安全问题和安全威胁-c7娱乐电子游戏官网
若水分享
1147
在实现tcp/ip协议的网络环境下,一个ip包走到哪里、要怎么走是靠路由表定义的,但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别的。也就是说,只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包,因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个 arp--〉硬件mac的转换表。通常是动态的转换表(该arp表可以手工添加静态条目)。也就是说,该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是arp高速缓存的超时时间。通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,如果没有找到,该主机就发送一个 arp广播包,于是,主机刷新自己的arp缓存。然后发出该ip包。
了解这些常识后,现在就可以介绍在以太网络中arp欺骗是如何产生了,可以看看如下一个例子。
1.同网段arp欺骗分析
如下所示,三台主机的ip地址和mac地址分布如下:
a: ip地址 192.168.0.1 硬件地址 aa:aa:aa:aa:aa:aa;
b: ip地址 192.168.0.2 硬件地址 bb:bb:bb:bb:bb:bb;
c: ip地址 192.168.0.3 硬件地址 cc:cc:cc:cc:cc:cc。
一个位于主机b的入侵者想非法进入主机a,可是这台主机上安装有防火墙。通过收集资料他知道这台主机a的防火墙只对主机c有信任关系(开放23端口(telnet))。而他必须要使用telnet来进入主机a,这个时候他应该如何处理呢?
入侵者必须让主机a相信主机b就是主机c,如果主机a和主机c之间的信任关系是建立在ip地址之上的。如果单单把主机b的ip地址改的和主机c的一样,那是不能工作的,至少不能可靠地工作。如果你告诉以太网卡设备驱动程序,自己ip是192.168.0.3,那么这只是一种纯粹的竞争关系,并不能达到目标。我们可以先研究c这台机器,如果我们能让这台机器暂时当掉,竞争关系就可以解除,这个还是有可能实现的。在机器c宕掉的同时,将机器b的ip地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器a上面,而成功的绕过防火墙的限制。
上面的这种想法在下面的情况下是没有作用的,如果主机a和主机c之间的信任关系是建立在硬件地址的基础上。这个时候还需要用arp欺骗的手段,让主机a把自己的arp缓存中的关于192.168.0.3映射的硬件地址改为主机b的硬件地址。
我们可以人为地制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包。这样的工具很多,我们也可以直接用wireshark抓一个arp响应包,然后进行修改。
可以人为地制造这个包。可以指定arp包中的源ip、目标ip、源mac地址、目标mac地址。这样你就可以通过虚假的arp响应包来修改主机a上的动态arp缓存达到欺骗的目的。
下面是具体的步骤。
(1)他先研究192.0.0.3这台主机,发现这台主机的漏洞。
(2)根据发现的漏洞使主机c宕掉,暂时停止工作。
(3)这段时间里,入侵者把自己的ip改成192.0.0.3。
(4)他用工具发一个源ip地址为192.168.0.3源mac地址为bb:bb:bb:bb:bb:bb的包给主机a,要求主机a更新自己的arp转换表。
(5)主机更新了arp表中关于主机c的ip-->mac对应关系。
(6)防火墙失效了,入侵的ip变成合法的mac地址,可以telnet 了。
(7)上面就是一个arp的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,在b和c处于不同网段的时候,上面的方法是不起作用的。
[nextpage]
2.不同网段arp欺骗分析
假设a、c位于同一网段而主机b位于另一网段,三台机器的ip地址和硬件地址如下:
a: ip地址 192.168.0.1 硬件地址 aa:aa:aa:aa:aa:aa;
b: ip地址 192.168.1.2 硬件地址 bb:bb:bb:bb:bb:bb;
c: ip地址 192.168.0.3 硬件地址 cc:cc:cc:cc:cc:cc。
在现在的情况下,位于192.168.1网段的主机b如何冒充主机c欺骗主机a呢?显然用上面的办法的话,即使欺骗成功,那么由主机b和主机a之间也无法建立telnet会话,因为路由器不会把主机a发给主机b的包向外转发,路由器会发现地址在192.168.0.这个网段之内。
现在就涉及另外一种欺骗方式--icmp重定向。把arp欺骗和icmp重定向结合在一起就可以基本实现跨网段欺骗的目的。
icmp重定向报文是icmp控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个icmp重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。
我们可以利用icmp重定向报文达到欺骗的目的。下面是结合arp欺骗和icmp重定向进行攻击的步骤。
(1)为了使自己发出的非法ip包能在网络上能够存活长久一点,开始修改ip包的生存时间ttl为下面的过程中可能带来的问题做准备。把ttl改成255。(ttl定义一个ip包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)。
(2)下载一个可以自由制作各种包的工具(例如hping2)。
(3)然后和上面一样,寻找主机c的漏洞按照这个漏洞宕掉主机c。
(4)在该网络的主机找不到原来的192.0.0.3后,将更新自己的arp对应表。于是他发送一个原ip地址为192.168.0.3硬件地址为bb:bb:bb:bb:bb:bb的arp响应包。
(5)现在每台主机都知道了,一个新的mac地址对应192.0.0.3,一个arp欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个icmp的重定向广播。
(6)自己定制一个icmp重定向包告诉网络中的主机:"到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由。"
(7)主机a接收这个合理的icmp重定向,于是修改自己的路由路径,把对192.0.0.3的通信都丢给路由器。
(8)入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始telnet到主机的23口。
其实上面的想法只是一种理想话的情况,主机许可接收的icmp重定向包其实有很多的限制条件,这些条件使icmp重定向变得非常困难。
tcp/ip协议实现中关于主机接收icmp重定向报文主要有下面几条限制。
(1)新路由必须是直达的。
(2)重定向包必须来自去往目标的当前路由。
(3)重定向包不能通知主机用自己做路由。
(4)被改变的路由必须是一条间接路由。
由于有这些限制,所以icmp欺骗实际上很难实现。但是我们也可以主动地根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性,我们就可以采取相应的防御办法。
3.arp欺骗的防御原则
我们给出如下一些初步的防御方法。
(1)不要把你的网络安全信任关系建立在ip地址的基础上或硬件mac地址基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip mac基础上。
(2)设置静态的mac→ip对应表,不要让主机刷新你设定好的转换表。
(3)除非很有必要,否则停止使用arp,将arp作为永久条目保存在对应表中。在linux下用ifconfig -arp可以使网卡驱动程序停止使用arp。
(4)使用代理网关发送外出的通信。
(5)修改系统拒收icmp重定向报文。在linux下可以通过在防火墙上拒绝icmp重定向报文或者是修改内核选项重新编译内核来拒绝接收icmp重定向报文。在win 2000下可以通过防火墙和ip策略拒绝接收icmp报文。
了解这些常识后,现在就可以介绍在以太网络中arp欺骗是如何产生了,可以看看如下一个例子。
1.同网段arp欺骗分析
如下所示,三台主机的ip地址和mac地址分布如下:
a: ip地址 192.168.0.1 硬件地址 aa:aa:aa:aa:aa:aa;
b: ip地址 192.168.0.2 硬件地址 bb:bb:bb:bb:bb:bb;
c: ip地址 192.168.0.3 硬件地址 cc:cc:cc:cc:cc:cc。
一个位于主机b的入侵者想非法进入主机a,可是这台主机上安装有防火墙。通过收集资料他知道这台主机a的防火墙只对主机c有信任关系(开放23端口(telnet))。而他必须要使用telnet来进入主机a,这个时候他应该如何处理呢?
入侵者必须让主机a相信主机b就是主机c,如果主机a和主机c之间的信任关系是建立在ip地址之上的。如果单单把主机b的ip地址改的和主机c的一样,那是不能工作的,至少不能可靠地工作。如果你告诉以太网卡设备驱动程序,自己ip是192.168.0.3,那么这只是一种纯粹的竞争关系,并不能达到目标。我们可以先研究c这台机器,如果我们能让这台机器暂时当掉,竞争关系就可以解除,这个还是有可能实现的。在机器c宕掉的同时,将机器b的ip地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器a上面,而成功的绕过防火墙的限制。
上面的这种想法在下面的情况下是没有作用的,如果主机a和主机c之间的信任关系是建立在硬件地址的基础上。这个时候还需要用arp欺骗的手段,让主机a把自己的arp缓存中的关于192.168.0.3映射的硬件地址改为主机b的硬件地址。
我们可以人为地制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包。这样的工具很多,我们也可以直接用wireshark抓一个arp响应包,然后进行修改。
可以人为地制造这个包。可以指定arp包中的源ip、目标ip、源mac地址、目标mac地址。这样你就可以通过虚假的arp响应包来修改主机a上的动态arp缓存达到欺骗的目的。
下面是具体的步骤。
(1)他先研究192.0.0.3这台主机,发现这台主机的漏洞。
(2)根据发现的漏洞使主机c宕掉,暂时停止工作。
(3)这段时间里,入侵者把自己的ip改成192.0.0.3。
(4)他用工具发一个源ip地址为192.168.0.3源mac地址为bb:bb:bb:bb:bb:bb的包给主机a,要求主机a更新自己的arp转换表。
(5)主机更新了arp表中关于主机c的ip-->mac对应关系。
(6)防火墙失效了,入侵的ip变成合法的mac地址,可以telnet 了。
(7)上面就是一个arp的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,在b和c处于不同网段的时候,上面的方法是不起作用的。
[nextpage]
2.不同网段arp欺骗分析
假设a、c位于同一网段而主机b位于另一网段,三台机器的ip地址和硬件地址如下:
a: ip地址 192.168.0.1 硬件地址 aa:aa:aa:aa:aa:aa;
b: ip地址 192.168.1.2 硬件地址 bb:bb:bb:bb:bb:bb;
c: ip地址 192.168.0.3 硬件地址 cc:cc:cc:cc:cc:cc。
在现在的情况下,位于192.168.1网段的主机b如何冒充主机c欺骗主机a呢?显然用上面的办法的话,即使欺骗成功,那么由主机b和主机a之间也无法建立telnet会话,因为路由器不会把主机a发给主机b的包向外转发,路由器会发现地址在192.168.0.这个网段之内。
现在就涉及另外一种欺骗方式--icmp重定向。把arp欺骗和icmp重定向结合在一起就可以基本实现跨网段欺骗的目的。
icmp重定向报文是icmp控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个icmp重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。
我们可以利用icmp重定向报文达到欺骗的目的。下面是结合arp欺骗和icmp重定向进行攻击的步骤。
(1)为了使自己发出的非法ip包能在网络上能够存活长久一点,开始修改ip包的生存时间ttl为下面的过程中可能带来的问题做准备。把ttl改成255。(ttl定义一个ip包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)。
(2)下载一个可以自由制作各种包的工具(例如hping2)。
(3)然后和上面一样,寻找主机c的漏洞按照这个漏洞宕掉主机c。
(4)在该网络的主机找不到原来的192.0.0.3后,将更新自己的arp对应表。于是他发送一个原ip地址为192.168.0.3硬件地址为bb:bb:bb:bb:bb:bb的arp响应包。
(5)现在每台主机都知道了,一个新的mac地址对应192.0.0.3,一个arp欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个icmp的重定向广播。
(6)自己定制一个icmp重定向包告诉网络中的主机:"到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由。"
(7)主机a接收这个合理的icmp重定向,于是修改自己的路由路径,把对192.0.0.3的通信都丢给路由器。
(8)入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始telnet到主机的23口。
其实上面的想法只是一种理想话的情况,主机许可接收的icmp重定向包其实有很多的限制条件,这些条件使icmp重定向变得非常困难。
tcp/ip协议实现中关于主机接收icmp重定向报文主要有下面几条限制。
(1)新路由必须是直达的。
(2)重定向包必须来自去往目标的当前路由。
(3)重定向包不能通知主机用自己做路由。
(4)被改变的路由必须是一条间接路由。
由于有这些限制,所以icmp欺骗实际上很难实现。但是我们也可以主动地根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性,我们就可以采取相应的防御办法。
3.arp欺骗的防御原则
我们给出如下一些初步的防御方法。
(1)不要把你的网络安全信任关系建立在ip地址的基础上或硬件mac地址基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip mac基础上。
(2)设置静态的mac→ip对应表,不要让主机刷新你设定好的转换表。
(3)除非很有必要,否则停止使用arp,将arp作为永久条目保存在对应表中。在linux下用ifconfig -arp可以使网卡驱动程序停止使用arp。
(4)使用代理网关发送外出的通信。
(5)修改系统拒收icmp重定向报文。在linux下可以通过在防火墙上拒绝icmp重定向报文或者是修改内核选项重新编译内核来拒绝接收icmp重定向报文。在win 2000下可以通过防火墙和ip策略拒绝接收icmp报文。
