史萊姆論壇 - 查看單個文章 - ARP傳輸協定學習小結——傳輸協定簡介和圖形化工具SendARP

psac · 2006-08-24, 10:08 AM

實戰：ARP攻擊原理及解決方法

【故障原因】

局域網內有人使用ARP欺騙的木馬程式（比如：傳奇盜號的軟件，某些傳奇外掛中也被惡意載入了此程式）。

【故障原理】

要瞭解故障原理，我們先來瞭解一下ARP協議。
在局域網中，通過ARP協議來完成IP位址轉換為第二層物理位址（即MAC卡位址）的。ARP協議對網路安全具有重要的意義。通過偽造IP位址和MAC卡位址實現ARP欺騙，能夠在網路中產生大量的ARP通信量使網路阻塞。
ARP協議是「Address Resolution Protocol」（地址解析協議）的縮寫。在局域網中，網路中實際傳輸的是「幀」，幀裡面是有目標主機的MAC卡位址的。在乙太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC卡位址。但這個目標MAC卡位址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂「地址解析」就是主機在發送幀前將目標IP位址轉換成目標MAC卡位址的過程。ARP協議的基本功能就是通過目標設備的IP位址，查詢目標設備的MAC卡位址，以保證通信的順利進行。
每台安裝有TCP/IP協議的電腦裡都有一個ARP快取記憶體表，表裡的IP位址與MAC卡位址是一一對應的，如下表所示。

主機 IP位址 MAC卡位址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd

我們以主機A（192.168.16.1）向主機B（192.168.16.2）發送資料為例。當發送資料時，主機A會在自己的ARP快取記憶體表中尋找是否有目標IP位址。如果找到了，也就知道了目標MAC卡位址，直接把目標MAC卡位址寫入幀裡面發送就可以了；如果在ARP快取記憶體表中沒有找到相對應的IP位址，主機A就會在網路上發送一個廣播，目標MAC卡位址是「FF.FF.FF.FF.FF.FF」，這表示向同一網段內的所有主機發出這樣的詢問：「192.168.16.2的MAC卡位址是什麼？」網路上其他主機並不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：「192.168.16.2的MAC卡位址是bb-bb-bb-bb-bb-bb」。這樣，主機A就知道了主機B的MAC卡位址，它就可以向主機B發送訊息了。同時它還更新了自己的ARP快取記憶體表，下次再向主機B發送訊息時，直接從ARP快取記憶體表裡查找就可以了。ARP快取記憶體表採用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP快取記憶體表的長度，加快查詢速度。
從上面可以看出，ARP協議的基礎就是信任局域網內所有的人，那麼就很容易實現在乙太網上的ARP欺騙。對目標A進行欺騙，A去Ping主機C卻發送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候，把C的MAC卡位址騙為DD-DD-DD-DD-DD-DD，於是A發送到C上的資料包都變成發送給D的了。這不正好是D能夠接收到A發送的資料包了麼，嗅探成功。
A對這個變化一點都沒有意識到，但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發送給C的資料包可沒有轉交給C。
做「man in the middle」，進行ARP重定向。打開D的IP轉發功能，A發送過來的資料包，轉發給C，好比一個路由器一樣。不過，假如D發送ICMP重定向的話就中斷了整個計劃。
D直接進行整個包的修改轉發，捕獲到A發送給C的資料包，全部進行修改後再轉發給C，而C接收到的資料包完全認為是從A發送來的。不過，C發送的資料包又直接傳遞給A，倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋樑了，對於A和C之間的通訊就可以瞭如指掌了。
【故障現象】

當局域網內某台主機執行ARP欺騙的木馬程式時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。
切換到病毒主機上網後，如果用戶已經登入了傳奇服務器，那麼病毒主機就會經常偽造斷線的假像，那麼用戶就得重新登入傳奇服務器，這樣病毒主機就可以盜號了。
由於ARP欺騙的木馬程式發作的時候會發出大量的資料包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程式停止執行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線。

【HiPER用戶快速發現ARP欺騙木馬】

在路由器的「系統歷史記錄」中看到大量如下的訊息（440以後的路由器軟件版本中才有此提示）：
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
這個消息代表了用戶的MAC卡位址發生了變化，在ARP欺騙木馬開始執行的時候，局域網所有主機的MAC卡位址更新為病毒主機的MAC卡位址（即所有訊息的MAC New地址都一致為病毒主機的MAC卡位址），同時在路由器的「用戶統計」中看到所有用戶的MAC卡位址訊息都一樣。
如果是在路由器的「系統歷史記錄」中看到大量MAC Old地址都一致，則說明局域網內曾經出現過ARP欺騙（ARP欺騙的木馬程式停止執行時，主機在路由器上恢復其真實的MAC卡位址）。

【在局域網內查找病毒主機】

在上面我們已經知道了使用ARP欺騙木馬的主機的MAC卡位址，那麼我們就可以使用NBTSCAN（下載位址：http://down.wglm.net/Software/catalo...��查找它。
NBTSCAN可以取到PC的真實IP位址和MAC卡位址，如果有」傳奇木馬」在做怪，可以找到裝有木馬的PC的IP/和MAC卡位址。
命令：「nbtscan -r 192.168.16.0/24」（搜索整個192.168.16.0/24網段, 即
192.168.16.1-192.168.16.254）；或「nbtscan 192.168.16.25-137」搜索192.168.16.25-137 網段，即192.168.16.25-192.168.16.137。輸出結果第一列是IP位址，最後一列是MAC卡位址。
NBTSCAN的使用範例：
假設查找一台MAC卡位址為「000d870d585f」的病毒主機。
1）將壓縮包裝中的nbtscan.exe 和cygwin1.dll解壓縮放到c:/下。
2）在Windows開始—執行—打開，輸入cmd（windows98輸入「command」），在出現的DOS視窗中輸入：C:/nbtscan -r 192.168.16.1/24（這裡需要根據用戶實際網段輸入），Enter鍵。

C:/Documents and Settings/ALAN>C:/nbtscan -r 192.168.16.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.16.1/24
IP address NetBIOS Name Server User MAC address
192.168.16.0 Sendto failed: Cannot assign requested address
192.168.16.50 SERVER 00-e0-4c-4d-96-c6
192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88
192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78
192.168.16.175 JC 00-07-95-e0-7c-d7
192.168.16.223 test123 test123 00-0d-87-0d-58-5f

3）通過查詢IP--MAC對應表，查出「000d870d585f」的病毒主機的IP位址為「192.168.16.223」。

【解決思路】

1、不要把你的網路安全信任關係建立在IP基礎上或MAC基礎上，（rarp同樣存在欺騙的問題），理想的關係應該建立在IP+MAC基礎上。
2、設置靜態的MAC-->IP對應表，不要讓主機重新整理你設定好的轉換表。
3、除非很有必要，否則停止使用ARP，將ARP做為永久條目儲存在對應表中。
4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP服務器不被黑。
5、使用"proxy"代理IP的傳輸。
6、使用硬體屏蔽主機。設置好你的路由，確保IP位址能到達合法的路徑。（靜態配置路由ARP條目），注意，使用交換集線器和網橋無法阻止ARP欺騙。
7、管理員定期用響應的IP包中獲得一個rarp請求，然後檢查ARP響應的真實性。
8、管理員定期輪詢，檢查主機上的ARP快取記憶體。
9、使用防火牆連續監控網路。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。

【HiPER用戶的解決方案】

建議用戶採用雙向綁定的方法解決並且防止ARP欺騙。
1、在PC上綁定路由器的IP和MAC卡位址：
1）首先，獲得路由器的內網的MAC卡位址（例如HiPER網路閘道器地址192.168.16.254的MAC卡位址為0022aa0022aa）。
2）編寫一個批處理文件rarp.bat內容如下：
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網路閘道器IP位址和MAC卡位址更改為您自己的網路閘道器IP位址和MAC卡位址即可。
將這個批處理軟件拖到「windows--開始--程式--啟動」中。
3）如果是網咖，可以利用收費軟件服務端程式（pubwin或者萬象都可以）發送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的預定啟動目錄為「C:/Documents and Settings/All Users「開始」表菜單程式啟動」。
2、在路由器上綁定用戶主機的IP和MAC卡位址（440以後的路由器軟件版本支持）：
在HiPER管理界面--高階配置--用戶管理中將局域網每台主機均作綁定。

2006-08-24, 10:08 AM	#4 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	實戰：ARP攻擊原理及解決方法【故障原因】局域網內有人使用ARP欺騙的木馬程式（比如：傳奇盜號的軟件，某些傳奇外掛中也被惡意載入了此程式）。【故障原理】要瞭解故障原理，我們先來瞭解一下ARP協議。在局域網中，通過ARP協議來完成IP位址轉換為第二層物理位址（即MAC卡位址）的。ARP協議對網路安全具有重要的意義。通過偽造IP位址和MAC卡位址實現ARP欺騙，能夠在網路中產生大量的ARP通信量使網路阻塞。 ARP協議是「Address Resolution Protocol」（地址解析協議）的縮寫。在局域網中，網路中實際傳輸的是「幀」，幀裡面是有目標主機的MAC卡位址的。在乙太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC卡位址。但這個目標MAC卡位址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂「地址解析」就是主機在發送幀前將目標IP位址轉換成目標MAC卡位址的過程。ARP協議的基本功能就是通過目標設備的IP位址，查詢目標設備的MAC卡位址，以保證通信的順利進行。每台安裝有TCP/IP協議的電腦裡都有一個ARP快取記憶體表，表裡的IP位址與MAC卡位址是一一對應的，如下表所示。主機 IP位址 MAC卡位址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我們以主機A（192.168.16.1）向主機B（192.168.16.2）發送資料為例。當發送資料時，主機A會在自己的ARP快取記憶體表中尋找是否有目標IP位址。如果找到了，也就知道了目標MAC卡位址，直接把目標MAC卡位址寫入幀裡面發送就可以了；如果在ARP快取記憶體表中沒有找到相對應的IP位址，主機A就會在網路上發送一個廣播，目標MAC卡位址是「FF.FF.FF.FF.FF.FF」，這表示向同一網段內的所有主機發出這樣的詢問：「192.168.16.2的MAC卡位址是什麼？」網路上其他主機並不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：「192.168.16.2的MAC卡位址是bb-bb-bb-bb-bb-bb」。這樣，主機A就知道了主機B的MAC卡位址，它就可以向主機B發送訊息了。同時它還更新了自己的ARP快取記憶體表，下次再向主機B發送訊息時，直接從ARP快取記憶體表裡查找就可以了。ARP快取記憶體表採用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP快取記憶體表的長度，加快查詢速度。從上面可以看出，ARP協議的基礎就是信任局域網內所有的人，那麼就很容易實現在乙太網上的ARP欺騙。對目標A進行欺騙，A去Ping主機C卻發送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候，把C的MAC卡位址騙為DD-DD-DD-DD-DD-DD，於是A發送到C上的資料包都變成發送給D的了。這不正好是D能夠接收到A發送的資料包了麼，嗅探成功。 A對這個變化一點都沒有意識到，但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發送給C的資料包可沒有轉交給C。做「man in the middle」，進行ARP重定向。打開D的IP轉發功能，A發送過來的資料包，轉發給C，好比一個路由器一樣。不過，假如D發送ICMP重定向的話就中斷了整個計劃。 D直接進行整個包的修改轉發，捕獲到A發送給C的資料包，全部進行修改後再轉發給C，而C接收到的資料包完全認為是從A發送來的。不過，C發送的資料包又直接傳遞給A，倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋樑了，對於A和C之間的通訊就可以瞭如指掌了。【故障現象】當局域網內某台主機執行ARP欺騙的木馬程式時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。切換到病毒主機上網後，如果用戶已經登入了傳奇服務器，那麼病毒主機就會經常偽造斷線的假像，那麼用戶就得重新登入傳奇服務器，這樣病毒主機就可以盜號了。由於ARP欺騙的木馬程式發作的時候會發出大量的資料包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程式停止執行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線。【HiPER用戶快速發現ARP欺騙木馬】在路由器的「系統歷史記錄」中看到大量如下的訊息（440以後的路由器軟件版本中才有此提示）： MAC Chged 10.128.103.124 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 這個消息代表了用戶的MAC卡位址發生了變化，在ARP欺騙木馬開始執行的時候，局域網所有主機的MAC卡位址更新為病毒主機的MAC卡位址（即所有訊息的MAC New地址都一致為病毒主機的MAC卡位址），同時在路由器的「用戶統計」中看到所有用戶的MAC卡位址訊息都一樣。如果是在路由器的「系統歷史記錄」中看到大量MAC Old地址都一致，則說明局域網內曾經出現過ARP欺騙（ARP欺騙的木馬程式停止執行時，主機在路由器上恢復其真實的MAC卡位址）。【在局域網內查找病毒主機】在上面我們已經知道了使用ARP欺騙木馬的主機的MAC卡位址，那麼我們就可以使用NBTSCAN（下載位址：http://down.wglm.net/Software/catalo...��查找它。 NBTSCAN可以取到PC的真實IP位址和MAC卡位址，如果有」傳奇木馬」在做怪，可以找到裝有木馬的PC的IP/和MAC卡位址。命令：「nbtscan -r 192.168.16.0/24」（搜索整個192.168.16.0/24網段, 即 192.168.16.1-192.168.16.254）；或「nbtscan 192.168.16.25-137」搜索192.168.16.25-137 網段，即192.168.16.25-192.168.16.137。輸出結果第一列是IP位址，最後一列是MAC卡位址。 NBTSCAN的使用範例：假設查找一台MAC卡位址為「000d870d585f」的病毒主機。 1）將壓縮包裝中的nbtscan.exe 和cygwin1.dll解壓縮放到c:/下。 2）在Windows開始—執行—打開，輸入cmd（windows98輸入「command」），在出現的DOS視窗中輸入：C:/nbtscan -r 192.168.16.1/24（這裡需要根據用戶實際網段輸入），Enter鍵。 C:/Documents and Settings/ALAN>C:/nbtscan -r 192.168.16.1/24 Warning: -r option not supported under Windows. Running without it. Doing NBT name scan for addresses from 192.168.16.1/24 IP address NetBIOS Name Server User MAC address 192.168.16.0 Sendto failed: Cannot assign requested address 192.168.16.50 SERVER 00-e0-4c-4d-96-c6 192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88 192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78 192.168.16.175 JC 00-07-95-e0-7c-d7 192.168.16.223 test123 test123 00-0d-87-0d-58-5f 3）通過查詢IP--MAC對應表，查出「000d870d585f」的病毒主機的IP位址為「192.168.16.223」。【解決思路】 1、不要把你的網路安全信任關係建立在IP基礎上或MAC基礎上，（rarp同樣存在欺騙的問題），理想的關係應該建立在IP+MAC基礎上。 2、設置靜態的MAC-->IP對應表，不要讓主機重新整理你設定好的轉換表。 3、除非很有必要，否則停止使用ARP，將ARP做為永久條目儲存在對應表中。 4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP服務器不被黑。 5、使用"proxy"代理IP的傳輸。 6、使用硬體屏蔽主機。設置好你的路由，確保IP位址能到達合法的路徑。（靜態配置路由ARP條目），注意，使用交換集線器和網橋無法阻止ARP欺騙。 7、管理員定期用響應的IP包中獲得一個rarp請求，然後檢查ARP響應的真實性。 8、管理員定期輪詢，檢查主機上的ARP快取記憶體。 9、使用防火牆連續監控網路。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。【HiPER用戶的解決方案】建議用戶採用雙向綁定的方法解決並且防止ARP欺騙。 1、在PC上綁定路由器的IP和MAC卡位址： 1）首先，獲得路由器的內網的MAC卡位址（例如HiPER網路閘道器地址192.168.16.254的MAC卡位址為0022aa0022aa）。 2）編寫一個批處理文件rarp.bat內容如下： @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 將文件中的網路閘道器IP位址和MAC卡位址更改為您自己的網路閘道器IP位址和MAC卡位址即可。將這個批處理軟件拖到「windows--開始--程式--啟動」中。 3）如果是網咖，可以利用收費軟件服務端程式（pubwin或者萬象都可以）發送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的預定啟動目錄為「C:/Documents and Settings/All Users「開始」表菜單程式啟動」。 2、在路由器上綁定用戶主機的IP和MAC卡位址（440以後的路由器軟件版本支持）：在HiPER管理界面--高階配置--用戶管理中將局域網每台主機均作綁定。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次