《ARP欺骗与DNS欺骗.ppt》由会员分享,可在线阅读,更多相关《ARP欺骗与DNS欺骗.ppt(39页珍藏版)》请在三一办公上搜索。
1、ARP欺骗与DNS欺骗,黑客反向工程,ARP简介ARP欺骗原理ARP欺骗操作及防御DNS简介DNS欺骗原理DNS欺骗操作及防御,ARP简介,1.ARP简介ARP(Address Resolution Protocol),即地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。,ARP简介,某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MA
2、C地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。,ARP原理,ARP欺骗,1)什么是ARP欺骗?在局域网中,黑客经过收到ARP Request广播包,能够偷听到其它节点的(IP,MAC)
3、地址,黑客就伪装为A,告诉B(受害者)一个假地址,使得B在发送给A 的数据包都被黑客截取,而A,B 浑然不知。2)为什么黑客能够进行ARP欺骗?ARP 是个早期的网络协议,RFC826在 1980就出版了。早期的互联网采取的是信任模式,在科研、大学内部使用,追求功能、速度,没考虑网络安全。尤其以太网的洪泛特点,能够很方便的用来查询。但这也为日后的黑客开了方便之门。黑客只要在局域网内阅读送上门来的ARP Request就能偷听到网内所有的(IP,MAC)地址。而节点收到ARP Reply时,也不会质疑。黑客很容易冒充他人3)能够防止欺骗吗?不能。但这种伤害的伤害已经很小。因为局域网的工作环境有了
4、改变,服务器通常不会和终端主机在同一个局域网。,ARP欺骗准备,相关软件下载:ARP攻击检测工具局域网终结者网络执法官ARPsniffer嗅探工具,ARPsniffer使用原理:,ARPsniffer:在使用该工具时,它会将网络接口设置为混杂模式,该模式下工具可以监听到网络中传输的所有数据帧,而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断,交由操作系统处理,这样就实现了数据截获。,利用ARPsniffer嗅探数据,实验须先安装winpcap.exe它是arpsniffer.exe运行的条件,接着在arpsniffer.exe同一文件夹下新建记事
5、本,输入Start cmd.exe,保存为cmd.bat。ARPsniffer有很多种欺骗方式,下面的例子是其中的一种。1.运行cmd.exe,依次输入以下命令:arpsf.exe-sniffall-o f:sniffer.txt-g 192.168.0.1-t 192.168.0.91(其中IP地址:是局域网网关的地址,是被欺骗主机的IP地址,试验获取的数据将会被输入到F盘的sniffer.txt文件中。)按回车键运行,出现如下图所示的选项,选1,接着选0,回车,程序便开始监听了。,2.停止运行,打开sniffer.txt文件,在文件中查找,可以发现被欺骗主机的一些敏感信息,如下图:可以发现
6、被欺骗主机注册某网站时的信息:username=netsec password=11223344等。,局域网终结者使用原理,局域网终结者使用原理:一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示,致使该主机无法上网。这便构成了局域网终结者的攻击原理。,使用局域网终结者进行ARP欺骗,同样的,实验须先安装winpcap.exe,安装后运行局域网终结者软件(运行该软件须先退出某些安全防范软件如:360安全卫士,瑞星等。)1.运行软件后
7、,将目标主机的IP地址加入欺骗列表,如图:,使用局域网终结者进行ARP欺骗,2.目标主机被欺骗,显示IP冲突,导致断网,在命令提示符窗口无法ping通网关。,ARP欺骗实际运用,3.将目标主机的IP从阻断列表中移除后目标主机便会恢复正常工作。此时再次在命令提示符窗口ping网关IP便能通过了。,网络执法官使用原理:,网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。,网络执法官的使用,3.接着进入受监控IP列表(这里没有单独截图),在列表中右击某IP网卡信息所在行,选择“设定权限”,这里选择“发现该用户与网络连接即进行管理”,在该
8、选项下面的选项中选择管理方式,然后再单击“确定”。,网络执法官的使用,使用网络执法官,将所在的局域网中的用户列入管理列表,限制某用户权限,使其无法上网。1.双击安装“网络执法官”,(安装后提示的winpcap也须安装),安装后即可进入网络执法官界面。2.在右上角的“设置”选项中选择“监控范围”,弹出监控范围设置窗口,然后对监控范围进行设置:在“指定监控范围”栏中设置监控IP段,然后单击“添加/修改”按钮即将所选IP段加入监控列表,单击确定。,网络执法官的使用,4.被设置权限主机无法上网,出现IP冲突提示,无法ping通网关。,5.关闭网络执法官或者将目标IP从管理列表中移除,目标主机即可恢复正
9、常工作,可以ping通网关。,ARP欺骗的防御,知道了ARP欺骗的方法和危害,我们给出一些初步的防御方法:1.不要把你的网络安全信任关系建立在ip地址的基础上或硬件mac地址基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。设置静态的mac-ip对应表,不要让主机刷新你设定好的转换表。,ARP欺骗的防御,除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。在linux下可以用ifconfig-arp可以使网卡驱动程序停止使用ARP。使用代理网关发送外出的通讯。修改系统拒收ICMP重定向报文在linux下可以通过在防火墙上拒绝ICMP重定向报文或者
10、是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。,受到ARP欺骗后的处理,故障分析情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:这一段)所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备,让原本流向网关的流量改道流向病毒主机,造成受害者不能正常上网。情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官,QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。,受到ARP欺骗后的处理,故障诊断如果用户发现以上疑似情况,可以通过如下操作进行诊断:点击“开始”按钮-选择“运行”-输入“arpd
11、”-点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。注:arp-d命令用于清除并重建本机arp表。arpd命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。,ARP卫士介绍,ARP卫士是一款使用起来十分方便的ARP欺骗检测工具,它可以实现制定IP段内ARP欺骗检测,只需运行该软件加入检测段,选择“开始检测”,再次选择“停止”是即可查看检测信息了,这些信息可以帮助用户判断是否遭到ARP欺骗。,受到ARP欺骗后的处理,防护软件编辑目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。它们除了本
12、身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。欣向ARP工具我使用了该工具,它有以下几个主要功能:1.A.IP/MAC清单选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。,受到ARP欺骗后的处理,2.B.ARP欺骗检测这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主
13、要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。(补充)“ARP欺骗记录”表如何理解:“Time”:发现问题时的时间;“sender”:发送欺骗信息的IP或MAC;“Repeat”:欺诈信息发送的次数;“ARP info”:是指发送欺骗信息的具体内容.如下面例子:time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8这条信息的意思是:在22:22:22的时间,检测到由发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:的MA
14、C地址是00:0e:03:22:02:e8。打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所以请不要以暴力解决某些问题。,受到ARP欺骗后的处理,3.C.主动维护这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。
15、一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题,还是请参照上面绑定方法。,ARP欺骗用途,ARP欺骗亦有正当用途。其一是在一个需要登入的网络中,让未登入的计算机将其浏览网页强制转向到登入页面,以便登入后才可使用网络。另外有些设有备援机制的网络设备或服务器,亦需要利用ARP欺骗以在设备出现故障时将讯务导到备用的设备上。,DNS简介,DNS(Domain Name service,域名服务),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网
16、,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。,DNS功能,DNS功能每个IP地址都可以有一个主机名,主机名由一个或多个字符串组成,字符串之间用小数点隔开。有了主机名,就不要死记硬背每台IP设备的IP地址,只要记住相对直观有意义的主机名就行了。这就是DNS协议所要完成的功能。主机名到IP地址的映射有两种方式:1)静态映射,每台设备上都配置主机到IP地址的映射,各设备独立维护自己的映射表,而且只供本设备使用;2)动态映射,建立一套域名解析系统(DNS),只在专门的DNS服务器上配置主机到IP地址的映射,网络上需要使用主机
17、名通信的设备,首先需要到DNS服务器查询主机所对应的IP地址。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。锐捷设备支持在本地进行主机名解析,也支持通过DNS进行域名解析。在解析域名时,可以首先采用静态域名解析的方法,如果静态域名解析不成功,再采用动态域名解析的方法。可以将一些常用的域名放入静态域名解析表中,这样可以大大提高域名解析效率。,DNS重要性,1、技术角度看DNS解析是互联网绝大多数应用的实际寻址方式;域名技术的再发展、以及基于域名技术的多种应用,丰富了互联网应用和协议。2、资源角度看域名是互联网上的身份标识,是不可重复的唯一标识资源;互联网的全球化使
18、得域名成为标识一国主权的国家战略资源。,DNS欺骗,定义:DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。,DNS欺骗,一.什么是DNS欺骗?DNS欺骗是一门改变DNS原始指向IP的艺术。什么是DNSomain Name Server 域名服务器 域名虽然便于人们记忆,但网络中的计算机之间只能互相认识IP地址,它们之间的转换工作称为域名解析。DN
19、S欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了。欺骗后便会为客户机器提供错误的IP地址指向,例如你打开百度的网址却成了另外的一个未知网页,试想如果跳转的页面被无声无息地挂着马又会多糟糕。二.DNS欺骗的优点由于DNS欺骗是在需要*的主机外部进行一些小动作,而且INTERNET上的主机都需要DNS的域名解析服务,所以DNS欺骗技术相对于其它的*手段有较好的隐蔽性,攻击的波及范围大,通用性也比较强。,DNS欺骗,hosts文件篡改Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映
20、射到相应的IP地址,实现DNS的功能,它可以由计算机的用户进行控制。Hosts文件的存储位置在不同的操作系统中并不相同,甚至不同Windows版本的位置也不大一样:Windows NT/2000/XP/2003/Vista/win7:默认位置为%SystemRoot%system32driversetc,但也可以改变。有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中,其中有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或本地计算机的IP,这样就不用访问了。在WINDOWSX系统中,约定为本地计算机的IP地址是错误的IP地址。如果,我们在Ho
21、sts中,写入以下内容:127.0.0.1#要屏蔽的网站 A0.0.0.0#要屏蔽的网站 B这样,计算机解析域名A和 B时,就解析到本机IP或错误的IP,达到了屏蔽网站A 和B的目的。,DNS欺骗,本机DNS劫持DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。相关内容域名解析的基本原理就是把域名翻译成IP地址,以便计算机能够进一步通信,传递内容和网址等。由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS
22、)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施封锁正常DNS的IP。如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问。比如访问百度,你可以直接用百度IP(202.108.22.5)访问。简单的说就是把你要去的地址拦截下来,给你一个错误的地址,或者告诉你你要去的地方去不了,人为的导致你无法到达目的地,一般用于对一些不良网站的封杀或是一些黑客行为。,DNS欺骗操作,DNS欺骗在DNS的缓存还没有过期之前,如果在DNS的缓存中已经存在的记录,一旦有客户查询,DNS服务器将会直接返回缓存中的记录.下面
23、我们看看具体操作:一台运行着unix的Internet主机,并且提供远程登录(rlogin)服务,它的IP地址为123.45.67.89,它使用的DNS服务器的IP地址为98.76.54.32,某个客户端(IP地址为38.222.74.2)试图连接到unix主机的rlogin端口,假设unix主机的/etc/hosts.equiv文件中使用的是dns名称来允许目标主机的访问,那么unix主机会向IP为的DNS服务器发出一个PTR记录的查询:,DNS欺骗操作,123.45.67.89-98.76.54.32 Query NQY:1 NAN:0 NNS:0 NAD:0 QY:2.74.222.38
24、.in-addr.arpa PTRIP为的DNS服务器中没有这个反向查询域的信息,经过一番查询,这个DNS服务器找到和为74.222.38.in-addr.arpa.的权威DNS服务器,所以它会向发出PTR查询:98.76.54.32-38.222.74.2 Query NQY:1 NAN:0 NNS:0 NAD:0 QY:2.74.222.38.in-addr.arpa PTR,DNS欺骗操作,请注意是我们的客户端IP,也就是说这台机子是完全掌握在我们手中的.我们可以更改它的DNS记录,让它返回我们所需要的结果:38.222.74.2-98.76.54.32 AnswerNQY:1 NAN:
25、2 NNS:2 NAD:2QY:2.74.222.38.in-addr.arpa PTRAN:2.74.222.38.in-addr.arpa PTR AN:NS:74.222.38.in-addr.arpa NS AD:当的DNS服务器收到这个应答后,会把结果转发给123.45.67.98,就是那台有rlogin服务的unix主机(也是我们的目标),并且这台DNS服务器会把这次的查询结果缓存起来.这时unix主机就认为IP地址为的主机名为,然后unix主机查询本地的/etc/hosts.equiv文件,看这台主机是否被允许使用rlogin服务,很显然,我们的欺骗达到了.在unix的环境中,有
26、另外一种技术来防止这种欺骗的发生,就是查询PTR记录后,也查询PTR返回的主机名的A记录,然后比较两个IP地址是否相同:,DNS欺骗操作,123.45.67.89-98.76.54.32 QueryNQY:1 NAN:0 NNS:0 NAD:0QY:A很不幸,在的DNS服务器不会去查询这个记录,而会直接返回在查询时得到的并且存在缓存中的信息:98.76.54.32-123.45.67.89 QueryNQY:1 NAN:1 NNS:2 NAD:2QY:AAN:NS:74.222.38.in-addr.arpa NS AD:那么unix主机就认为就是真正的了,我们的目的达到了!这种IP欺骗的条件
27、是:你必须有一台Internet上的授权的DNS服务器,并且你能控制这台服务器,至少要能修改这台服务器的DNS记录,我们的欺骗才能进行.,DNS欺骗的防范编辑,DNS欺骗攻击是很难防御的,因为这种攻击大多数本质都是被动的。通常情况下,除非发生欺骗攻击,否则你不可能知道你的DNS已经被欺骗,只是你打开的网页与你想要看到的网页有所不同。在很多针对性的攻击中,用户都无法知道自己已经将网上银行帐号信息输入到错误的网址,直到接到银行的电话告知其帐号已购买某某高价商品时用户才会知道。这就是说,在抵御这种类型攻击方面还是有迹可循。保护内部设备:像这样的攻击大多数都是从网络内部执行攻击的,如果你的网络设备很安全,那么那些感染的主机就很难向你的设备发动欺骗攻击。不要依赖DNS:在高度敏感和安全的系统,你通常不会在这些系统上浏览网页,最后不要使用DNS。如果你有软件依赖于主机名来运行,那么可以在设备主机文件里手动指定。使用入侵检测系统:只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。使用DNSSEC:DNSSEC是替代DNS的更好选择,它使用的是数字前面DNS记录来确保查询响应的有效性,DNSSEC还没有广泛运用,但是已被公认为是DNS的未来方向,也正是如此,美国国防部已经要求所有MIL和GOV域名都必须开始使用DNSSEC。,
