网络攻击现象

摘要：网络上各种协议的制定最初的目的是为了有一个统一的标准可以使通信更方便和在更广泛的范围内实现互通。但就在这些协议成为标准之后，人们在研究它的过程当中发现了协议本身的一些缺陷。同时就有这样的一些恶意和善意的人们利用协议本身的缺陷并结合它们的工作原理研究出了许多对网络进行攻击的方法。本文主要介绍了在网络中存在的一些攻击现象，并分析了各种攻击现象的实现原理。

关键词：网络攻击；ARP；MAC地址；ICMP

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)18-31583-02

The Phenomenon of Network Attack

WANG Yu-ting

(Fujian Polytechnic of Information Technology, Fujian 350003, China)

Abstract: Network protocols aimed at making communication more convenient on internet. However the defects of protocols give those spiteful cyber citizens some chances to develop ways to attack websites. I would introduce some possible ways to destroy websites in my thesis and analyze briefly the working principles which realize the attacks on internet.

Key words: the network attacks; ARP; MAC address; ICMP

1 引言

现代的网络通信系统可以说已经遍布全世界的每个角落，尽管很多不同的用户使用着各种不同型号的计算机并且运行的是完全不同的操作系统，但他们仍然可以通过TCP/IP协议族做到互相通信。这就是网络协议所发挥的巨大作用，但同时它也可以说是网络中的一把双刃剑。人们可以通过它实现任意形式的互通，也可以利用它破坏网络中的通信。这就是指人们通过研究各种网络协议中的缺陷和它们的工作原理来找到其中的漏洞，然后对相应的主机或网络进行攻击，最终导致被攻击主机或网络被监听、破坏甚至瘫痪以达到攻击者的目的。下文当中介绍的几种攻击现象主要是利用ARP、ICMP等协议的工作原理来进行攻击的。

2 链路层攻击

链路层也称作数据链路层或网络接口层，通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。该层中的协议主要有ARP（地址解析协议）和RARP（逆地址解析协议）两个用于某些网络接口（如以太网和令牌环网）的特殊协议，主要功能为用来转换IP层和网络接口层使用的地址。

ARP的工作原理简单概括为：在传输以太网数据包时必须知道目标主机的MAC地址。源主机在发送数据时首先检查自己的ARP列表中有没有该IP地址对应的MAC地址，有的话就直接传输。如果没有就向本地网段发起一个ARP请求的广播包，该请求数据包中包括源主机的IP地址、MAC地址以及目的主机的IP地址，网段中的所有主机收到该请求后都将目的IP与自己的IP进行比较，如果不相同就忽略此包；如果相同就将源主机的IP地址和MAC地址更新到自己的ARP表中，并发送应答数据包给源主机告诉对方自己的MAC地址，源主机接到应答包之后同样将对方的IP地址和MAC地址更新到自己的ARP表中，然后开始传输数据。

该层上的网络攻击就是利用ARP协议的工作原理来实现的，主要有以下两种类型：

2.1 ARP广播攻击

又称作ARP扫描攻击或ARP请求风暴。这种攻击表面上看起来是网络当中出现了大量ARP请求广播包，几乎是对网段内的所有主机进行扫描，最终大量的ARP请求广播可能占用掉许多网络带宽资源。实际上是由于黑客程序发送大量带假目标IP地址、假源MAC地址的ARP请求报文，产生大量广播包。这些新源MAC地址被各主机学习，造成ARP表溢出，挤掉原来合法的ARP表项，致使合法目标MAC成为新目标MAC，又使各主机产生大量ARP广播请求报文。

2.2 ARP欺骗攻击

ARP协议并不是只有发送了ARP请求才接收ARP应答，也可以直接接收ARP应答数据包。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中IP和MAC地址存储在ARP缓存中。因此在网络中，如果有人发送一个出错的或者是自己伪造的ARP应答，网络可能就会出问题。具体的实现过程可以描述为：黑客程序发送错误或者误导的ARP应答报文，使网络数据流重定向于黑客主机，使黑客主机成为网络数据流传输的中转站，导致窃取甚至篡改正常数据包。ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP和MAC间的映射对，并以此更新目标主机缓存。

具体的实现过程如下例所示：假设一个网络环境中，有三台主机共网段，分别为主机A、B、C。三台主机的详细信息描述如下：

A的IP地址：192.168.18.1MAC地址：AA-AA-AA-11-11-11

B的IP地址：192.168.18.2MAC地址：BB-BB-BB-22-22-22

C的IP地址：192.168.18.3MAC地址：CC-CC-CC-33-33-33

假设现在A和C之间在进行通讯，此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.18.3（C的IP地址），MAC地址是BB-BB-BB-22-22-22（C的MAC地址本来应该是CC-CC-CC-33-33-33，这里被伪造了）。由于大多数的操作系统在接收到ARP应答后不考虑是否发出真实的ARP请求，当A接收到B伪造的ARP应答，就会及时更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址为192.168.18.1（A的IP地址），MAC地址是BB-BB-BB-22-22-22（A的MAC地址本来应该是AA-AA-AA-11-11-11），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。这样主机B就实现了对A和C的监听。这就是典型的ARP欺骗过程。一般情况下，ARP欺骗的某一方应该是网关，就如上面的A主机。

3 网络层攻击

一个MAC地址层范围（第二层）的攻击是最普通而且也是最不容易发现的安全威胁，它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。这些攻击利用正常的协议过程来获取信息，比如通过交换机的功能来获取MAC（媒体接入控制）地址，通过ARP协议（地址解析协议）来获取终端工作站的MAC地址或者通过DHCP（动态主机配置协议）服务器来获取IP地址分配结果。

3.1 MAC地址溢出攻击（MAC/CAM攻击）

也称为DoS（拒绝服务攻击，Denial-of-service）攻击，它的意图是阻止一个网络接受合法使用者的数据，这种类型的攻击往往导致一个网络组件停止转发数据包或者不能正确的转发。正常情况下，在一个安全的或没有受到威胁的网络中，一个第二层的转发表的建立都是基于MAC地址的，而MAC地址就是一个设备的物理地址。

标准的交换机行为就是将去往未知的目标MAC地址的数据帧广播转发，并且将每个到达包的源地址和端口信息填入到CAM表（内容寻址内存表）中，交换机拥有一个大小固定的内存空间用于存放学习到的MAC地址信息，交换机或者桥连接就是依靠这张表来实施转发、过滤以及第二层的学习机制的。但转发表只有一个有限的地址空间，企图注满该表或者使该表溢出的攻击将剥夺交换机固有的MAC地址学习能力和转发行为。这种攻击会向交换机广播大量未知MAC地址的包，这些地址都将被交换机学习到，这样就可以利用该硬件的空间限制来实施其DoS攻击了。

具体实现的时候黑客通过发送大量带假源MAC地址的帧，这些新源MAC地址被交换机学习，很快充满CAM表，挤掉原有合法的CAM表项，致使合法目标MAC地址成为新目标MAC帧而广播到所有交换机，产生大量广播帧，这时黑客还可以利用嗅探工具获取各主机广播的帧信息。

另外，还有广播MAC地址攻击，基本的攻击原理与上述类似，只是目标地址设置为全1使之全网广播。

3.2 DHCP服务欺骗和中间人攻击

一个“不可靠”的DHCP服务器（动态主机配置服务器）通常被用来与攻击者协作，对网络实施“中间人”攻击。中间人攻击是一种攻击者利用正常的协议来更改两个终端之间的正常通信数据流而形成的一种攻击技术。首先，一个黑客会广播许多含有欺骗性MAC地址的DHCP请求（动态主机配置请求），从而耗尽合法DHCP服务器上的地址空间，当其空间地址被耗尽时，这个“不可靠”的DHCP服务器就开始向“用户”的DHCP请求进行应答了，这些应答信息中将包括DNA服务器和一个默认网关的信息，这些信息就被用来实施一个中间人攻击。 然后，通信数据开始通过攻击者的终端工作站进行流动，这就允许黑客开始捕获或者观察两个互相信任的目标终端之间的通信数据。

3.3 IP主机欺骗

IP地址欺骗一般通过发送来自第三方的数据包来对第二方实施拒绝服务（DoS）攻击，这样就可以掩盖攻击系统的真实身份。这种攻击的一个简单例子就是攻击者获得处于被攻击状态的第二方主机的IP地址后，将本地地址伪装成该地址，并将其做源地址Ping第三方的系统，这样来自第三方Ping应答信息就会直接从第三方系统发送往第二方系统。

TCP SYN洪泛（TCP，传输控制协议；SYN，同步序列号码）攻击来源于一个欺骗性的IP地址，它是利用TCP三次握手会话协议对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。另外，互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。

4 ICMP攻击

ICMP攻击包含的类别较多，在这另做一个介绍。ICMP 被IP层用于向一台主机发送单向的告知性消息。由于在ICMP中没有验证机制，这就导致了使用ICMP可以造成服务拒绝的攻击，或者可以支持攻击者截取数据包。下面介绍几种与 ICMP 协议相关的攻击行为：

4.1 ICMP DOS攻击

攻击者使用ICMP“时间超出”或“目标地址无法连接”的消息，导致一台主机迅速放弃连接。攻击者只需伪造这两个ICMP消息中的一条，并发送给通信中的两台主机或其中的一台，就可以利用这种攻击了，接着通信连接就会被切断。当一台主机错误地认为信息的目标地址不在本地网络中的时候，网关通常会使用 ICMP“转向”消息。如果攻击者伪造出一条“转向”消息，它就可以导致另外一台主机经过攻击者主机向特定连接发送数据包。

4.2 ICMP 数据包放大（ICMP Smurf）

攻击者向安全薄弱网络所广播的地址发送伪造的ICMP响应数据包。那些安全薄弱网络上的所有系统都会向受害计算机系统发送ICMP响应的答复信息，这些信息占用了目标系统的可用带宽并导致合法通信的服务被拒绝（DoS）。

4.3 死Ping攻击

攻击者向受害计算机发送一条比容量最大的IP数据包容量还要大许多的ICMP响应请求数据包。由于所接收到的ICMP响应请求数据包的容量远远高于正常的IP数据包，受害计算机不能够将这些数据包重新组合起来，导致的结果是，操作系统要么瘫痪，要么重启。

4.4 ICMP PING淹没攻击

大量的PING信息广播淹没了目标系统，使得它不能够对合法的通信做出响应。

4.5 ICMP nuke攻击

Nuke发送出目标操作系统无法处理的信息数据包，从而导致该系统瘫痪。

在网络的关键部位使用防火墙技术对来源不明的有还数据进行拦截和过滤可以有效地减轻大多数的ICMP攻击。

5 结束语

最近的一个调查显示，信息失窃已经成为信息社会发展的趋势，在造成经济损失的所有攻击中，有75%来自于公司或单位内部攻击，剩下的25%来自于外部的攻击。为了防范这些内、外部攻击，网络管理员必须采用更多先进的方式来进行攻击防备。另外更需要网络管理员时刻保持高度警惕，熟悉网络中的各种攻击现象及其实现原理，以便在网络被攻击的情况下能进行一些紧急的处理将损失将到最低。

参考文献：

[1]（美）W.Richard Stevens 著；范建华，胥光辉，张涛，等译. TCP/IP详解卷一：协议. 北京：机械工业出版社，2000.4.

[2]（美）特南鲍姆（Tanenbaum，A.S.）著；潘爱民 译. 计算机网络（第4版）. 北京：清华大学出版社，2004.8.

[3]ARP攻击（现象：网络不停中断）与防范 blog.省略/user16/89775/archives/2006/2329.shtml.

[4]网络安全之四：防止来自第二层的安全威胁. www.省略/432/1899432.shtml.