基于ARP协议欺骗新方法研究与探析

摘要:ARP协议作为TCP/IP协议簇中的一员,同样也存在着安全隐患,利用ARP协议漏洞进行网络监听是黑客的攻击手段之一。因此有必要了解ARP协议欺骗的新手段,提高自己的网络安全意识,积极采取有效的安全策略来保障网络的安全性。

关键词:ARP欺骗;网络监听;Winpcap

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)16-4383-02

ARP Protocol Spoofing New Method For The Feasibility Study

A Yi Nu Er・A Bu Wa Yi Ti

(Xinjiang Normal University Information Management Center,Wulumuqi 830054,China)

Abstract: As one of the TCP/IP members,arp also has many security loopholes. Along with the network development and Popularization,network openness、sharing and interconnection are expanding。Because network interconnection generally uses TCP/IP agreement and TCP/IP is an industry standard agreement bunch,at the beginning of this agreement bunch of making,there is not much consideration to the secure questions,So the agreement has many security loopholes.

Key words:ARP spoofing; network monitoring; winpcap

随着互联网的全球性普及,计算机网络安全引发的诸多问题已经逐渐被人们所重视。2006年,ARP攻击首次出现在我国,自那时起,ARP攻击问题就再也没有离开过人们的视线。“局域网掉线”、“网站中病毒”、“IP冲突”、“网络速度异常缓慢”等现象时刻困扰着管理人员,网络管理者疲于应对五花八门的网络攻击事件,极大地增加了网络管理难度。ARP病毒是一种地址欺骗病毒,ARP病毒通过伪造IP地址和MAC地址实现ARP欺骗,进行ARP重定向和嗅探攻击,用伪造源MAC地址发送ARP响应包,网内PC机的ARP缓存表混乱,网络中产生大量的ARP通信量使网络阻塞。当今网络频频出现ARP协议欺骗,笔者认为,只有充分了解ARP协议欺骗的新手段,及时探索应对攻击的新方法,有效防范ARP形式的网络攻击,才是确保网络畅通的必要条件。

1 ARP协议欺骗现象归纳

ARP欺骗攻击会直接导致局域网网络不稳定,随着APR协议欺骗手段的不断更新,计算机终端表现出的攻击症状也不尽相同。笔者结合多年来的实际工作经验,总结了客户端在使用计算机网络过程中经常出现的ARP欺骗攻击现象。

1.1 “数据劫持”

众所周知,网络游戏如今已经风靡全球,网游“传奇”更是尤为盛行。以“传奇”游戏为例,游戏账号中的玩家装备在现实世界中被大量玩家争相购买。在高额利润的驱动下,一些不法份子利用ARP协议本身的漏洞盗取他人游戏账号。不法分子通过改变数据在LAN内的传输路径,最终达到数据劫持、盗取他人账号的目的。整个嗅探、劫持数据的过程,游戏用户毫不知情,只会感觉网络速度突然变慢,使用ping命令时偶尔出现丢包现象,数据返回延迟大。“数据劫持”攻击导致数据在传输过程中失去安全保证,为间谍软件提供可能。此类攻击隐藏性好,不宜察觉,网络管理难度大。

1.2 “传输中断”

“传输中断”攻击严重影响网络的可用性和稳定性。计算机终端用户遇到“传输中断”攻击时,首先应检查网络中本地连接,如果本地连接显示正常,认证计费软件也显示工作正常,但客户端网络经常无故“掉线”,网页无法打开,网络软件无法使用,如QQ软件无法登陆,错误提示为“无法联系网关”时,用户可能正在遭受“传输中断”攻击。

1.3 “数据篡改”

用户浏览任何网站时,杀毒软件都会出现感染木马病毒提示;计算机系统虽然安装了杀毒软件,也定期进行系统的补丁升级,但是系统依旧经常无故感染病毒;打开任意网站的页面源代码进行分析,页面内容为挂马程序,而访问的网站并无恶意代码,最终分析发现计算机终端用户正在遭遇ARP“数据篡改”攻击。这类攻击,可导致局域网终端用户全部感染病毒,中病毒机器又不断攻击其他主机,最终产生恶性循环。ARP“数据篡改”攻击现象是目前局域网内常见的网络问题,但其危害性极大。ARP欺骗攻击可归纳为两大类:一类是欺骗攻击LAN中的路由器;一类是欺骗攻击LAN中的PC机。

2 ARP协议欺骗原理分析

2.1 欺骗攻击的原因

在TCP/IP协议中,数据从源点传输到达目标,数据依次结构为传输层、网络层、网络接口层,每层封装的源地址、目标地址不同。传输层、网络层的目标地址是已知,网络接口层的源地址是已知,而目标地址未知。在TCP/IP协议中就是借助ARP协议来实现目标地址未知的过程,这个过程是网络中的一个薄弱环节,TCP/IP协议是网络接口层以上的通讯必须使用的协议,恶意攻击者能够方便利用这个协议进行攻击,攻击效果较好,作用范围较大。

2.2 欺骗攻击的目标

在TCP/IP网络中,主机通讯可分为两种模式,一种是同一LAN中的主机通讯,这个通讯过程不需要路由表和路由器支持,主机间通过ARP协议,便可得知目标主机的MAC地址,通讯即可完成;另一个是不同LAN之间的主机通讯,这个通讯过程需要路径选择,计算机网络使用路由表来确认数据传输路径。对于攻击者来说,ARP攻击就集中在路由器和客户端两方面。欺骗了路由器,就有可能欺骗网段内的主机,攻击效果好,破坏力强,而且不便处理;欺骗客户端攻击可能导致某些主机被欺骗,这个攻击比较隐蔽,攻击不宜被发现。

2.3 欺骗攻击的实现

2.3.1 构造ARP回应报文实现欺骗

当客户端A主机需要通过ARP协议获取客户端B主机的MAC地址时,A主机向B主机发送ARP请求,然而回应的并不是B主机,而是C主机。C主机构造了APR回应报文欺骗,即C回应的ARP报文源IP是222.27.200.4,这个实际上是B主机的IP地址,回应的MAC地址是3333.3333.3333,这个是C主机的MAC地址,这样A主机并非获得B主机的MAC地址,而是C主机的MAC地址。构造ARP回应报文欺骗会导致数据包封装成帧的时候,目标主机是C主机而不是B主机,从而达到“欺骗”的目的。

2.3.2 构造ARP请求报文实现欺骗

当C主机发送一个ARP请求报文,报文头部结构中源IP为B主机的IP地址,而并非C主机自身的IP地址,源MAC地址为C主机的MAC地址,目标IP地址为A主机的IP地址,目标MAC地址为1111.1111.1111,即A主机的MAC地址,此时A主机接受到这个请求时,将记录下这个请求报文中的源IP地址和源MAC地址,建立IP地址是B主机,MAC地址是C主机的对应关系,由于这个对应关系已被巧妙修改,而到达“欺骗”的目的。

2.4 欺骗攻击的效果

数据传输路径改变,ARP欺骗顺利完成。根据缺省网关路由信息,客户机的帧应该发送给缺省网关,欺骗攻击修改该客户的ARP高速缓存中网关对应的真实MAC地址,而将数据帧发送给被修改后的MAC地址主机,也就是将数据发送给了“欺骗者”,如果“欺骗者”将劫持的数据发送给路由器,源主机发送的数据经过一次绕行后到达路由器,这使源主机很难知道自己已被ARP攻击,这便是“数据劫持”。如果“欺骗者”将劫持的数据不发送给路由器,而是直接丢弃,则产生数据传输“中断”,也就是用户所说的网络“掉线”。

3 ARP协议欺骗新方法研究

3.1 网络监听

局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。网络监听工具是提供给管理员的一类管理工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。

但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。当黑客成功地登录进入局域网络的主机、并取得这台主机超级用户的权限之后,往往要扩大战果,尝试登录或者获取网络中其他主机的控制权。网络监听就是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。在网络上,监听效果最好的是网关、路由器、防火墙一类的设备,这些设备通常由网络管理员来操作。

3.2 ARP病毒变种

ARP病毒已经出现了新的变种,该类ARP病毒同样是向全网发送伪造的ARP欺骗广播,但病毒把自身伪装成网关,在被害主机与网关之间建立起单向的转发,在用户请求访问的网页添加恶意代码,导致杀毒软件在用户访问任意网站均发出病毒警报,有的用户可能由于杀毒软件更新不及时而导致感染病毒。最明显的就是,所有访问的网站都会出现病毒,页面代码中加了代码,其中的链接地址是某个网站上的木马程序,这就使得所有打开的网页都会染毒。如果用户的杀毒软件放过这样的连接,将会导致木马程序被自动下载并运行,用户信息将完全暴露,黑客将很容易窃取到用户的各种账号和密码等重要信息。

4 结束语

校园网络、公众网络用户众多,随着经济的发展,“网民”数急剧膨胀,网络应用也从HTML服务、视频服务等信息服务发展到游戏、娱乐、电子商务、电子银行等应用,网络技术已经成为社会生活中不可缺少的部分,但自2006年“ARP”欺骗攻击以来,这种攻击就成为了不法分子首要利用的攻击手段,其覆盖面广,攻击效果明显。通过对ARP协议的分析,得知ARP攻击的根源来自ARP协议本身的漏洞。本文立足发动网络用户的主观能动性,改进传统的ARP双向绑定模式,而提出ARP自助绑定模式,极大减少网络管理员的工作压力;另外对攻击者及早进行自动隔离,从而极大减少对网络的危害性。

参考文献:

[1] 方自远.校园网环境下ARP攻击及防范措施[J].福建电脑.2009,2:66-74.

[2] 郝兴伟.计算机网络原理、技术及应用[M].北京:高等教育出版社.2009:47-49.

[3] 杨加等.基于IP控制网关和802.1X的校园网认证计费解决方案[J].通信学报.2009:18-21.

[4] 谢志强.校园网中基于ARP协议欺骗及其解决方案研究[J].赤峰学院学报.2009:42-43.

[5] 郝兴伟.计算机网络原理、技术及应用[M].北京:高等教育出版社.2009:47-49.

[6] W.Richard Stevens.TCP/IP详解卷1:协议[M].北京:机械工业出版社.2009:38-49.