ARP攻擊與防護(hù)完全手冊

ARP攻擊與防護(hù)完全手冊轉(zhuǎn)貼：ARPARPARPARP防護(hù)ARP統(tǒng)最近在論壇上常?？吹疥P(guān)于ARP病毒的問題，于是在Google上搜尋ARP關(guān)鍵字，啊哦！結(jié)果出來，想再學(xué)習(xí)AR前網(wǎng)絡(luò)中常見的ARP問題進(jìn)展了一個總結(jié)。現(xiàn)在將其貼出來，期望和大家一起爭論！ARP概念咱們談ARP之前，還是先要知道ARP的概念和工作原理，理解了原理學(xué)問，才能更好去面對和分析處理問題。ARP概念學(xué)問ARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層供給效勞。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必需把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個主機(jī)要和MACMAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARPIP地址解析為的硬件地址〔MA地址，以保證通信的順當(dāng)進(jìn)展。ARP工作原理ARP緩沖區(qū)中建立一個ARPIP地址和MAC地址的對應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個數(shù)據(jù)包要發(fā)送到目的主機(jī)時，會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址，假設(shè)有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；假設(shè)沒有，就向本地網(wǎng)段發(fā)起一個ARP懇求的播送包，查詢此目的主機(jī)對應(yīng)的MAC地址。此ARP懇求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。網(wǎng)絡(luò)中全部的主機(jī)收到這個ARP懇求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址全都。假設(shè)不一樣就無視此數(shù)據(jù)包；如果一樣，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，假設(shè)ARP表中已經(jīng)存在該IP的信息，則將其掩蓋，然后給源主機(jī)發(fā)送一個ARP響應(yīng)數(shù)據(jù)包，告知對方自己是它需要查找的MAC地址；源主機(jī)收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開頭數(shù)據(jù)的傳輸。假設(shè)源主機(jī)始終沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。例如：A的地址為：IP：192.168.10.1MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：192.168.10.2MAC:BB-BB-BB-BB-BB-BB依據(jù)上面的所講的原理，我們簡潔說明這個過程：A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是發(fā)送一個AR懇求播送〔誰是192.168.10.2，請告知192.168.10.1，當(dāng)收到該播送，就檢查自己，結(jié)果覺察和自己的全都，然后就向A發(fā)送一個ARP單播應(yīng)答〔192.168.10.2 在BB-BB-BB-BB-BB-B。ARP通訊模式通訊模式〔PatternAnalysis：在網(wǎng)絡(luò)分析中，通訊模式的分析是很重要的，不同的協(xié)議和不同的應(yīng)用都會有不同的通訊模式。更有些時候，一樣的協(xié)議在不同的企業(yè)應(yīng)用中也會消滅不同的通訊模式。ARP在正常狀況下的通訊模式應(yīng)當(dāng)是：懇求->應(yīng)答->懇求->一問一答。常見ARP攻擊類型個人認(rèn)為常見的ARP攻擊為兩種類型：ARP掃描和ARP哄騙。ARP掃描〔ARP懇求風(fēng)暴〕通訊模式〔可能：懇求->->懇求->->懇求->懇求->->懇求->->懇求...描述：網(wǎng)絡(luò)中消滅大量ARP懇求播送包，幾乎都是對網(wǎng)段內(nèi)的全部主機(jī)進(jìn)展掃描。大量的ARP懇求廣播可能會占用網(wǎng)絡(luò)帶寬資源；ARP掃描一般為ARP攻擊的前奏。消滅緣由〔可能：*病毒程序，偵聽程序，掃描程序。*假設(shè)網(wǎng)絡(luò)分析軟件部署正確，可能是我們只鏡像了交換機(jī)上的局部端口，所以大量ARP懇求是來自與非鏡像口連接的其它主機(jī)發(fā)出的。*假設(shè)部署不正確，這些ARP懇求播送包是來自和交換機(jī)相連的其它主機(jī)。ARP哄騙ARP協(xié)議并不只在發(fā)送了ARP懇求才接收ARP應(yīng)答。當(dāng)計算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARPIP和MAC地址存儲在ARP有人發(fā)送一個自己偽造的ARP應(yīng)答，網(wǎng)絡(luò)可能就會消滅問題。這可能就是協(xié)議設(shè)計者當(dāng)時沒考慮到的！哄騙原理假設(shè)一個網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺主機(jī)，分別為主機(jī)A、B、C。主機(jī)具體信息如下描述：A的地址為：IP：192.168.10.1MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：192.168.10.2MAC:BB-BB-BB-BB-BB-BBC的地址為：IP：192.168.10.3MAC:CC-CC-CC-CC-CC-CC正常狀況下A和C之間進(jìn)展通訊，但是此時B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3〔的IP地址，MAC地址是BB-BB-BB-BB-BB-B〔的MAC地址原來應(yīng)當(dāng)是CC-CC-CC-CC-CC-CC，這里被偽造了。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更本地的AR緩存〔被哄騙了，這時就偽裝成C了。同時，同樣向C發(fā)送一個應(yīng)答，應(yīng)答包中發(fā)送方IP地址四192.168.10.1〔的IP地址，MA地址是〔的MA地址原來應(yīng)當(dāng)是AA-AA-AA-AA-AA-A，當(dāng)收到偽造的AR應(yīng)答，也會更本地AR緩存〔也被哄騙了，這時就偽裝成了。這樣主機(jī)和都被主機(jī)哄騙，和之間通訊的數(shù)據(jù)都經(jīng)過了BBARP哄騙過程。留意：一般狀況下，ARP哄騙的某一方應(yīng)當(dāng)是網(wǎng)關(guān)。兩種狀況ARP哄騙存在兩種狀況：一種是哄騙主機(jī)作為“中間人”，被哄騙主機(jī)的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這樣哄騙主機(jī)可以竊取到被它哄騙的主機(jī)之間的通訊數(shù)據(jù)；另一種讓被哄騙主機(jī)直接斷網(wǎng)。第一種：竊取數(shù)據(jù)〔嗅探〕通訊模式：應(yīng)答->->應(yīng)答->->->懇求->->->懇求->應(yīng)答...描述：這種狀況就屬于我們上面所說的典型的ARP哄騙，哄騙主機(jī)向被哄騙主機(jī)發(fā)送大量偽造的ARP應(yīng)答包進(jìn)展哄騙，當(dāng)通訊雙方被哄騙成功后，自己作為了一個“中間人“的身份。此時被哄騙的主機(jī)雙方還能正常通訊，只不過在通訊過程中被哄騙者“竊聽”了。消滅緣由〔可能：*木馬病毒*嗅探*人為哄騙其次種：導(dǎo)致斷網(wǎng)通訊模式：應(yīng)答->->應(yīng)答->->應(yīng)答->應(yīng)答->懇求…描述：這類狀況就是在ARP哄騙過程中，哄騙者只哄騙了其中一方，如B哄騙了A，但是同時B沒有對C進(jìn)展哄騙，這樣A實(shí)質(zhì)上是在和B通訊，所以A就不能和C通訊了，另外一種狀況還可能就是哄騙者偽造一個不存在地址進(jìn)展哄騙。對于偽造地址進(jìn)展的哄騙，在排查上比較有難度，這里最好是借用TAP設(shè)備〔呵呵，這個東東似乎有點(diǎn)貴勒，分別捕獲單向數(shù)據(jù)流進(jìn)展分析！消滅緣由〔可能：*木馬病毒*人為破壞*一些網(wǎng)管軟件的掌握功能常用的防護(hù)方法搜尋網(wǎng)上，目前對于ARP攻擊防護(hù)問題消滅最多是綁定IP和MAC和使用ARP防護(hù)軟件，也消滅了具有ARP防護(hù)功能的路由器。呵呵，我們來了解下這三種方法。靜態(tài)綁定最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。哄騙是通過ARP的動態(tài)實(shí)時的規(guī)章哄騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的哄騙，同時在網(wǎng)關(guān)也要進(jìn)展IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險。方法：對每臺主機(jī)進(jìn)展IP和MAC地址靜態(tài)綁定。通過命令，arp-s可以實(shí)現(xiàn)“arp–sIPMAC地址”。例如：“arp–s192.168.10.1AA-AA-AA-AA-AA-AA”。假設(shè)設(shè)置成功會在PC上面通過執(zhí)行arp-a可以看到相關(guān)的提示：InternetAddressPhysicalAddressType192.168.10.1AA-AA-AA-AA-AA-AAstatic(靜態(tài))一般不綁定,在動態(tài)的狀況下：InternetAddressPhysicalAddressType192.168.10.1AA-AA-AA-AA-AA-AAdynamic(動態(tài))說明：對于網(wǎng)絡(luò)中有很多主機(jī)，500臺，1000臺...，假設(shè)我們這樣每一臺都去做靜態(tài)綁定，工作。個批處理文件，但是還是比較麻煩的！使用ARP防護(hù)軟件目前關(guān)于ARP類的防護(hù)軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護(hù)的工作原理是肯定頻率向網(wǎng)絡(luò)播送正確的ARP信息。我們還是來簡潔說下這兩個小工具。欣向ARP工具俺使用了該工具，它有5個功能：?IP/MAC清單選擇網(wǎng)卡。假設(shè)是單網(wǎng)卡不需要設(shè)置。假設(shè)是多網(wǎng)卡需要設(shè)置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。IP/MAC掃描。這里會掃描目前網(wǎng)絡(luò)中全部的機(jī)器的IP與MAC地址。請在內(nèi)網(wǎng)運(yùn)行正常時掃描，由于這個表格將作為對之后ARP的參照。之后的功能都需要這個表格的支持，假設(shè)消滅提示無法獵取IP或MAC時，就說明這里的表格里面沒有相應(yīng)的數(shù)據(jù)。?ARP哄騙檢測這個功能會始終檢測內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設(shè)到檢測表格里面，例如，路由器，電影效勞器，等需要內(nèi)網(wǎng)機(jī)器訪問的機(jī)器IP。(補(bǔ)充)“ARP哄騙記錄”表如何理解：“Time”：覺察問題時的時間；“sender”：發(fā)送哄騙信息的IP或MAC；“Repeat”：欺詐信息發(fā)送的次數(shù)；“ARPinfo”：是指發(fā)送哄騙信息的具體內(nèi)容.如下面例子：timesenderRepeatARPinfo22:22:22192.168.1.221433192.168.1.1isat00:0e:03:22:02:e8這條信息的意思是：在22:22:22的時間,檢測到由192.168.1.22發(fā)出的哄騙信息，已經(jīng)發(fā)送了1433次，他發(fā)送的哄騙信息的內(nèi)容是：192.168.1.1的MAC地址是00:0e:03:22:02:e8。翻開檢測功能，假設(shè)消滅針對表內(nèi)IP的哄騙，會消滅提示?？梢砸罁?jù)提示查到內(nèi)網(wǎng)的ARP哄騙IP與MACIP或在發(fā)送哄騙信息，也未必是100％的準(zhǔn)確。全部請不要以暴力解決某些問題。?主動維護(hù)這個功能可以直接解決ARP哄騙的掉線問題，但是并不是抱負(fù)方法。他的原理就在網(wǎng)絡(luò)內(nèi)不停的播送制定的IP的正確的MAC地址?！爸贫ňS護(hù)對象”的表格里面就是設(shè)置需要保護(hù)的IP。發(fā)包頻率就是每秒發(fā)送多少個正確的包給網(wǎng)絡(luò)內(nèi)全部機(jī)器。猛烈建議盡量少的播送IP，盡量少的播送頻率。一般設(shè)置1次就可以，假設(shè)沒有綁定IP的狀況下，消滅ARP哄騙，可以設(shè)置到50－100次，假設(shè)還有掉線可以設(shè)置更高，即可以實(shí)現(xiàn)快速解決ARP哄騙的問題。但是想真正解決ARP問題，還是請參照上面綁定方法。?欣向路由器日志收集欣向路由器的系統(tǒng)日志，等功能。?抓包類似于網(wǎng)絡(luò)分析軟件的抓包，保存格式是.cap。3.2.1Antiarp這個軟件界面比較簡潔，以下為我收集該軟件的使用方法。填入網(wǎng)關(guān)IP地址，點(diǎn)擊［獵取網(wǎng)關(guān)地址］MAC地址。點(diǎn)擊[自動防護(hù)]即可保護(hù)當(dāng)前網(wǎng)卡與該網(wǎng)關(guān)的通信不會被第三方監(jiān)聽。留意：如消滅ARP哄騙提示，這說明攻擊者發(fā)送了ARP哄騙數(shù)據(jù)包來獵取網(wǎng)卡的數(shù)據(jù)包，假設(shè)您想追蹤攻擊來源請記住攻擊者的MAC地址，利用MAC地址掃描器可以找出IP對應(yīng)的MAC地址.IP地址沖突如頻繁的消滅IP地址沖突，這說明攻擊者頻繁發(fā)送ARP哄騙數(shù)據(jù)包，才會消滅IP沖突的警告，利用AntiARPSniffer可以防止此類攻擊。您需要知道沖突的MAC地址，Windows會記錄這些錯誤。查看具體方法如下：右擊[我的電腦]--[治理]--點(diǎn)擊[大事查看器]--點(diǎn)擊[系統(tǒng)]--查看來源為[TcpIP]---雙擊大事可以看到顯示地址發(fā)生沖突，并記錄了該MAC地址，請復(fù)制該MAC地址并填入AntiARPSniffer的本地MAC地址輸入框中(請留意將:轉(zhuǎn)換為-)，輸入完成之后點(diǎn)擊[防護(hù)地址沖突]，為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡，在CMD命令行中輸入Ipconfig/all，查看當(dāng)前MAC地址是否與本地MAC地址輸入框中的MAC地址沖突。留意:假設(shè)您想恢復(fù)默認(rèn)MAC地址,請點(diǎn)擊[恢復(fù)默認(rèn)],為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。具有ARP防護(hù)功能的路由器這類路由器以前聽說的很少，對于這類路由器中提到的ARP防護(hù)功能，其實(shí)它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對于真正意義上的攻擊，是不能解決的。ARPARP哄騙是有老化時間的，過了老化時間就會自動的回復(fù)正?！，F(xiàn)在大多數(shù)路由器都會在很短時間內(nèi)不停播送自己的正確ARP信息，使受騙的主機(jī)回復(fù)正常。但是假設(shè)消滅攻擊性ARP哄騙(其實(shí)就是時間很短的量很大的哄騙ARP，1秒有個幾百上千的)，它是不