當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

談Arp反欺騙策略防范惡意攻擊

http://www.yibo1263.com　2010-3-18 7:20:48 　來源:東北IT網(wǎng) 　編輯:葉子

　　近來與Arp相關(guān)惡意軟件越來越猖獗，受害者的也不少，國內(nèi)的各大殺毒廠商也紛紛推出Arp防火墻，這篇文章不是科普，主要是思路，更想起到拋磚引玉的作用。此外，末學(xué)接觸并熟悉Arp協(xié)議到寫出Arp欺騙和反欺騙的test code，前前后后也不過一個星期多一點的時間。經(jīng)驗有限，疏漏之處，再所難免，各位見諒。

　　Arp協(xié)議和Arp欺騙這里就不做介紹了，網(wǎng)絡(luò)這方面的文章比比皆是。

　　為了便于理解，下面構(gòu)造一些名詞：

　　受騙主機(jī)：假如局域網(wǎng)內(nèi)，有網(wǎng)關(guān)，發(fā)起欺騙的主機(jī)（以下簡稱欺騙主機(jī)），受騙主機(jī)。

　　雙向欺騙：欺騙主機(jī)使得網(wǎng)關(guān)認(rèn)為欺騙主機(jī)是受騙主機(jī)，同時讓受騙主機(jī)認(rèn)為欺騙主機(jī)是網(wǎng)關(guān)；

　　單向欺騙網(wǎng)關(guān)：欺騙主機(jī)只使網(wǎng)關(guān)認(rèn)為欺騙主機(jī)是受騙主機(jī)；

　　單向欺騙目標(biāo)主機(jī)：欺騙主機(jī)只使受騙主機(jī)認(rèn)為它是網(wǎng)關(guān)；

　　Arp除了能sniffer之外，現(xiàn)在比較流行的做法就是利用Arp進(jìn)行HTTP掛馬的情況，所以下面考慮的影響基本以這個角度的方面來衡量。

　　由于環(huán)境不同，繼續(xù)往下分，一個機(jī)房被Arp欺騙的情況，機(jī)房一般以服務(wù)器為主，對外發(fā)的數(shù)據(jù)多以http應(yīng)答包為主，此時單向欺騙目標(biāo)主機(jī)的危害比較大。另外一個普通的公司、家庭及網(wǎng)吧之類的局域網(wǎng)環(huán)境，對外發(fā)的數(shù)據(jù)多以http請求為主，接收的數(shù)據(jù)多以http應(yīng)答包為主，此時單向欺騙網(wǎng)關(guān)危害比較大。

　　還有的就是和網(wǎng)關(guān)有關(guān)了，網(wǎng)關(guān)簡單的先分兩種：

　　1、支持IP和MAC綁定的；

　　2、不支持IP和MAC綁定。

　　支持IP和MAC綁定的網(wǎng)關(guān)都好辦，所以這里就不討論這種情況了，主要討論不支持IP和MAC綁定的情況：

　　下面舉的例子都是Arp雙向欺騙已經(jīng)存在的情況，裝上Arp FW后FW將處理以下一些情況。

　　第一種情況：普通公司，家庭及網(wǎng)吧之類局域網(wǎng)環(huán)境下，網(wǎng)關(guān)不支持IP和MAC綁定。

　　先說欺騙策略，說到這里不得不提Arpspoof（以下簡稱AS），最近流行這個工具，并且開源，好分析，也確實寫的不錯。我手頭拿到的3.1版本的源代碼。若不修改AS代碼，在當(dāng)前情況下，并處在雙向欺騙時，只要把配置文件稍微改改，就能夠?qū)崿F(xiàn)利用ARP掛馬。但如果受騙主機(jī)綁定了正確網(wǎng)關(guān)的MAC，就不靈了。但如果有人修改了AS代碼，使其能支持gzip解碼，并且把本應(yīng)發(fā)給受害主機(jī)的包，重組并解碼然后再發(fā)給受害主機(jī)，就又能欺騙了。

　　然后再回來看看現(xiàn)在國內(nèi)的Arp FW。比較弱的，F(xiàn)W一進(jìn)去，連正確的網(wǎng)關(guān)MAC都檢測不出來，需要手動填。好點的能自動檢測正確的網(wǎng)關(guān)的MAC，一般步驟是：

　　1．獲取當(dāng)前網(wǎng)關(guān)MAC（如利用sendARP函數(shù)等等）；

　　2．利用網(wǎng)關(guān)IP發(fā)一個廣播包，獲取網(wǎng)關(guān)的MAC；

　　3．抓包對比，如果第一步和第二步獲得網(wǎng)關(guān)的MAC相同，則認(rèn)為網(wǎng)關(guān)MAC不是偽造的。如過第二步獲得兩個Arp reply，則把這兩個包與第一步的MAC對比，相同的說明是偽造的。如果第二步只獲得一個Arp reply，以第二步獲得MAC為準(zhǔn)。

　　檢測到正確網(wǎng)關(guān)MAC后，就靜態(tài)的綁定網(wǎng)關(guān)IP和MAC，防止別人偽造網(wǎng)關(guān)。

　　基本上都這么搞，這個思路是有缺陷的。沒錯，是可以防得住現(xiàn)在的AS。因為AS發(fā)Arp欺騙包間隔是3s，如果不改源代碼的話。在這個的時間間隔下，這三步是有能力獲得正確的網(wǎng)關(guān)，但是如果把間隔設(shè)短，甚至沒有間隔發(fā)Arp欺騙包的話，現(xiàn)在國內(nèi)市面上的Arp FW全都得倒下。

　　先說為什么間隔3s的話，能檢測到正確網(wǎng)關(guān)MAC，在執(zhí)行第二步時，在發(fā)廣播包之前必須先發(fā)一個Arp reply給網(wǎng)關(guān)，告訴網(wǎng)關(guān)自己正確的MAC，然后網(wǎng)關(guān)才能把它本身的MAC發(fā)給受騙主機(jī)，這個過程必須在3s內(nèi)完成。因此如果AS的spoof不設(shè)間隔的話。那么網(wǎng)關(guān)在接收了你的IP和MAC之后，發(fā)起欺騙的主機(jī)馬上就去網(wǎng)關(guān)那把它改回來，這樣受騙主機(jī)雖然發(fā)了廣播包，但是網(wǎng)關(guān)根據(jù)MAC，會把它本身的MAC發(fā)給欺騙主機(jī)而不是發(fā)給受騙主機(jī)，這樣受騙主機(jī)依然得不到正確網(wǎng)關(guān)的MAC。另外，哪怕受騙主機(jī)得到了正確的網(wǎng)關(guān)MAC，也只能保證自己對外發(fā)包不受欺騙，但是收到的包還是會被欺騙的。當(dāng)然FW可以和AS玩拉鋸，二者都爭先恐后的去網(wǎng)關(guān)那邊刷自己的MAC。但是這樣容易導(dǎo)致丟包。

　　其實這種狀況還是有一個相對的解決方案，就是徹底的改頭換面掉。同時改自己的IP和MAC，不論FW用什么添加ndis虛擬網(wǎng)卡，或者通過代碼直接就把當(dāng)前IP和MAC替掉，獲得正確網(wǎng)關(guān)MAC才有保證，否則連正確網(wǎng)關(guān)MAC都拿不到。其它的就更不用說了，至于什么手動填網(wǎng)關(guān)MAC之類的，就先不討論了。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·動態(tài)ARP檢測引發(fā)上網(wǎng)斷斷續(xù)續(xù)

·巧配交換機(jī)防止同網(wǎng)段ARP攻擊

·不用ARP嗅探和會話劫持進(jìn)行MAC欺騙

·不用ARP欺騙嗅探技術(shù)

·局域網(wǎng)打印機(jī)ARP病毒解決實例

·無線路由應(yīng)用中解決ARP攻擊故障

·實戰(zhàn)捕獲局域網(wǎng)ARP病毒

·ARP病毒發(fā)起欺騙攻擊解決方法

·ARP病毒的本機(jī)檢測方法和工具

·精確定位ARP攻擊找到病毒攻擊源頭

·網(wǎng)絡(luò)掉線用流量監(jiān)控定位ARP欺騙

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费