ARP***的攻、判、防1

实验I  ARP***的攻、判、防

ARP***不是病毒—因而几乎所有的杀毒软件对之都无可奈何；但它却胜似病毒—因为它轻可造成通信变慢、网络瘫痪，重会造成信息的泄密。多年来，ARP***一直存在，却没有一个好的解决办法。很多网络用户深受其害，网管人员更是无从下手、苦不堪言。本实验从分析ARP协议和欺骗原理入手，介绍如何实施ARP***，如何判断正在遭受ARP***，如何防范和解决ARP***。

1．ARP协议及欺骗原理

（1）以太网的工作原理。以太网中，数据包被发送出去之前，首先要进行拆分（把大的包进行分组）、封装（在Network层添加源IP地址和目标的IP地址，在Data Link层添加源MAC地址和下一跳的MAC地址），变成二进制的比特流，整个过程如图I-1所示。数据包到达目标后再执行与发送方相反的过程，把二进制的比特流转变成帧，解封装（Data Link层首先比较目标的MAC是否与本机网卡的MAC相同或者是广播MAC，如相同则去除帧头，再把数据包传给Network层，否则丢弃；Network层比较目的地IP地址是否与本机相同，相同则继续处理，否则丢弃）。如果发送方和接收方位于同一个网络内，则下一跳的MAC就是目标的MAC，如发送方和接收方不在同一个网络内，则下一跳的MAC就是网关的MAC。从这个过程不难发现，以太网中数据的传速仅知道目标的IP地址是不够的，还需要知道下一跳的MAC地址，这需要借助于另外一下协议，ARP（地址解析协议）。

图I-1  数据的封装和解封装

（2）ARP的工作原理。计算机发送封装数据之前，对比目标IP地址，判断源和目标在不在同一个网段，如在同一网段，则封装目标的MAC；如不在同一网段，则封装网关的MAC。封装之前，查看本机的ARP缓存，看有没有下一跳对应的IP和MAC映射条目，如有则直接封装；如没有则发送ARP查询包。ARP查询和应答包的格式如图I-2所示，查询包中 “以太网目的地址”为0xffffffffffff广播地址，“以太网源地址”为本机网卡的MAC地址，“帧类型”为0x0806表示ARP应答或请求，“硬件类型”为0x0001表示以太网地址，“协议类型”为0x0800表示IP地址，“OP”为ARP的请求或应答，ARP请求包的OP值为1，ARP应答包的OP值为2，“发送端以太网地址”为发送者的MAC地址，“发送端IP”为发送者的IP地址，“目的以太网地址”这里为0x000000000000，“目的IP”为查询MAC地址的IP。此包以广播形式发送到网络上，局域网中所有的计算机均收到此包，只有本机IP地址为“目的IP”的计算机对此数据包进行响应，并回复此数据包。当始发送端方收到此ARP应答包后，即获取到目标IP对应的MAC地址，然后就可进行数据包的封装了。

图I-2  ARP的查询和应答包格式

（3）ARP的欺骗。于TCP通过序列号和确认号字段不同，实施三次握手来保证数据传输的可靠性，ARP是一个无状态的协议，也就是说不管有没有发送ARP请求，只要有发往本机的ARP应答包，计算机都不加验证的接收，并更新自己的ARP缓存。了解ARP的工作原理后，只要有意图的填充图I-2中的某些字段，即可达到ARP***的效果：IP地址冲突、ARP欺骗、ARP***等。

P地址冲突。计算机检测本机IP地址是否在网上被使用的方法是用本机IP地址作为目的IP地址，发送ARP查询包，如果收到应答，则说明本IP地址已经在网上被使用，弹出IP地址被使用对话框，释放出本机的IP地址。ARP***者利用这一原理，用任意的MAC地址（非被***者真实的MAC地址）填充“发送端以太网地址”字段，用被***者的IP地址填充“发送端IP”字段，用被***者的真实MAC地址填充“目的以太网地址”字段，用被***者的IP地址填充“目的IP”字段，OP的值为“2”，如图I-3所示。当被***者收到这样的ARP应答后，就认为本机的IP地址在网络上已经被使用，弹出IP地址冲突对话框。

图I-3  IP地址冲突的ARP应答包

ARP欺骗：如图I-4所示，PC1是***者，***的目的是“中断PC2与网关的通信”。PC1生成一个ARP应答信息包，“发送端的IP”填写成网关的IP地址，“发送端以太网地址”填写一个非网关的MAC地址（这个地址可以随机生成），“目的IP”填写PC2的IP地址，“目的以太网地址”填入PC2的MAC地址。主机PC2收到这个最新的ARP应答信息包后，就会用这个不正确的网关的MAC地址更新自己的ARP缓存表，以后PC2后就这个错误的MAC地址进行封装，造成封装后的数据包无法正确到达网关；PC1类似的再发送一个不正确ARP应答包给网关，“发送端的IP”填写成PC2的IP地址，“发送端以太网地址”填写一个非PC2的MAC地址（这个地址可以随机生成），“目的IP”填写网关的IP地址。网关收到这样的ARP应答信息后，也在缓存中保存了错误的PC2映射条目。PC1周期性向网关和PC2发送这样的包，以免它们的ARP表老化，这样就达到了阻止它们通信的目的。

图I-4  ARP欺骗示意图

ARP***。以称为中间人***（Man-in-the-middle attack），与ARP欺骗类似，只是PC1发送ARP请求时，所填入的“发送端以太网地址”不是随机生成，而是替换成PC1本机的MAC地址，开启PC1的路由功能——修改（添加）注册表选项HKEY_LOCAL_ MACH INE\ SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter = 0x1，同时在PC1上安装×××，截获PC2与网关之间所有的通信包。

2．如何实施ARP***

这里介绍两款ARP***软件的使用方法，拓扑如图I-5所示。

图I-5  ARP***

第一款软件主要用于***，破坏正常的网络通信，如图I-5所示，在虚拟机2上安装“网络执法官”软件，破坏虚拟机1和真实机之间的正常通信，实验步骤如下。

正确配置各计算机的IP地址。虚拟机1的网卡类型Bridged，IP地址是192.168.1.220，掩码255.255.255.0，网关192.168.1.1，DNS是218.2.135.1。虚拟机2的网卡类型Bridged，IP地址是192.168.1.210，掩码255.255.255.0，网关192.168.1.1，DNS是218.2.135.1。真实机的IP地址是192.168.1.200，掩码255.255.255.0，网关192.168.1.1，DNS是218.2.135.1。

在虚拟机2上安装WinPcap。解压缩“网络执法官.rar”文件，双击“WinPcap30.exe”文件，开始安装WinPcap。

在虚拟机2上安装网络执法官软件。双击“网络执法官2.8破解版.exe”文件开始安装网络执法官。

运行网络执法官。第一次运行执法官，打开如图I-6所示对话框，提示进行监控参数选择。

图I-6  监控参数选择

因为只有一块网块，选中最上面的网卡复选框，单击“确定”按钮。打开如图I-7所示的监控范围选择对话框，在指定监控范围中列出网卡所在子网的所有可用IP地址，单击图中的“添加/修改”，把范围加入后，单击“确定”按钮。

图I-7  监控范围选择

***前测试。在虚拟机1上，打开DOS窗口，输入ping 192.168.1.200 –t，持续的ping真实机的IP地址，可以发现是通的。不要关闭该窗口。

开始***。网络执法官软件可以监测到同一个子网中所有在线的主机，在网络执法官的管理界面中，右键单击真实机，从快捷菜单中选择“手工管理”，如图I-8所示。

图I-8  执法官管理界面

在如图I-9所示的对话框中，选中第三个选项“禁止与所有其他主机…”，单击“开始”，此时可以发现虚拟机1和真实机之间的ping测试开始提示“Request timed out”，通信中断了。实际环境中，还可以只选中“禁止与关键主机连接…”，然后单击“关键主机”，加入网关的地址，这样被***计算机只会中断与网关的连接，和局域网内计算机之间的通信不会中断。

图I-9  手工管理计算机

第二款软件主要用于窃取有用信息，如图I-5所示，在虚拟机1上安装“Cain & Abel”软件，破坏虚拟机1和真实机之间的正常通信，实验步骤如下。

在虚拟机1上安装Cain & Abel。双击“ca_setup.exe”文件，开始安装，安装接近结来时，会提示需要安装WinPcap4.0，如图I-10所示，选择“Install”，开始安装WinPcap4.0。

图I-10  安装WinPcap4.0

运行Cain & Abel。双击桌面上的“Cain”图标，打开Cain & Abel的管理界面，单击管理界面中的“Start/Stop Sniffer”图标，如图I-11所示，开始抓包。

图I-11  开始Sniffer

集线器环境下的密码获取。单击图I-11中上方的“Sniffer”选项卡，再单击下方的“Passwords”选项卡，开始捕获敏感的密码信息，包括邮件，Telnet，FTP等。在虚拟机2上开启Telnet服务，在真实机上telnet 192.168.1.210，然后输入用户和密码进行登录，如图I-12所示左侧导航栏中的Telnet提示捕获了一条信息。

（点击查看大图）图I-12  监听敏感信息

单击左侧导航栏中的“Telnet”，在右边的列表栏中，右键单击捕获的那个条目，在快捷菜单中选择“View”，打开如图I-13所示的记事本文件，从中不难看出用户名是administrator，密码是cisco。图中administrator单词中每个字母显示了两次，因有一次是telnet的回显。

图I-13  捕获的密码文件

交换机环境下的密码获取。刚才很容易获取密码的原因是因为虚拟机1和虚拟机2，以及真实机都是连接在真实机的网卡上，相当于都接在一台集线器上，现实环境中，更常见的是交换机，交换机不会把两台主机或某台主机与网关之间的通信传给***者的主机。这时就需要使用ARP欺骗，单击如图I-12所示下方的“ARP”选项卡，再单击“Add to list”工具栏图标，如图I-14所示。

图I-14  增加ARP欺骗到列表

打开ARP的条目如图I-15所示，在左边选中一个IP地址，在右边选中一个IP地址，这两个IP地址的主机将被欺骗。

(点击查看大图）图I-15  选择被欺骗的计算机

单击“OK”按钮返回，再单击图I-11所示工具栏“Start/Stop Sniffer”图标右边的 “Start/Stop ARP”图标，开始执行ARP欺骗，如图I-15所示选择的计算机之间的通信将从虚拟机1中转，虚拟机1自然可以获取它们之间的明文敏感信息。由此看来交换机的网络也存在安全隐患。

转载于:https://blog.51cto.com/376369/109808