《Arp欺骗实现网络准入控制方法分析.docx》由会员分享,可在线阅读,更多相关《Arp欺骗实现网络准入控制方法分析.docx(10页珍藏版)》请在三一办公上搜索。
1、,SymantecZ技术资料Arp欺瞒实现网络准入限制方法分析北京赛门铁克信息技术有限公旬2006年08月版本变更记录版本修订日期修订人描述1.O2006-8-11叶永军初稿1.1 ARP协议介绍11.2 ARP病毒/Arp木马工作原理2杨濯成AW氽2病据实琬原理31.3 ARP实现网络准入限制的原理3ARPMl的防苞指Ir2.1 防他ARP欺满的重要性2.2 防范ARP的措够应用反NrP欺第技术53ARP实现网络限制的同J“i1111111153.1 防苞ARP欺瞒与利用ARP歌精的冲突53.2 限制的效果63.3 对网络的负面影响6第4章ARP麻的有用7第1章ARP欺瞒的原理局域网中,通过
2、ARP协议来完成IP地址转换为其次层物理地址(即MAC地址)的。ARP协议对网络平安具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺瞒,可以实现交换环境下的公话嗅探,第:方会话劫持攻击:不当的ARP欺瞒可能导致整个局域网的不稳定甚至嫌疾:一些网络管理软件利用ARP欺瞒也可以实现局域网强制接入的限制(如Intemet上流行的“网络执法官”工具)木文将具体分析ARP欺瞒的工作原理,给网络可能造成的不桎定因素以及防范措施,并证明采纳ARP欺瞒技术实现M络接入限制的局限性.1.1 Arp协议介绍对Arp协议和工作原理比较了解的读者可以跳过此章节。ARP协议是mAddressResolution
3、PrOIOCOI”(地址解析协议)的缩写.在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,个主机要和另个主机进行干脆通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程.ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺当进行。每台安装行TCP”P协议的电脑里都有个ARp缓存表,表里的Ip地址与MAC地址是一一对应的,如下表所示:主机IP地址MAC地址AI92.I68.I6.Iaa-aa-aa-a
4、a-aa-aaB192.168.16.2bb-bb-bb-bb-bb-bbC192.168.16.3CC-CCYC-CC-CC-CC192.168.16.4dd-dd-dd-dd-dddd我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例.当发送数据时,主机A会在自己的ARP缓存表中找寻是否有Pi标IP地址。假如找到了,也就知道了目标MAC地址,干脆把目标MAC地址写入帧里面发送就可以假如在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是这表示向同一网段内的全部主机发出这样的询问:“192.168.16.2的MAC地
5、址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息/.同时它还更新/自己的ARP缓存表,下次再向主机B发送信息时,干脆从ARP缓存表里杳我就可以了。ARP缓存表采纳了老化机制,在段时间内假如表中的某行没有运用,就会被删除,这样可以大大削减ARP缓存表的长度,加快查询速度.1.2 Arp病毒/Arp木马工作原理2(X)6年上半年,在全国大范闱内爆发了一种通过传奇网络嬉戏外挂传播的木马病毒,对众多企业、教化、政府单
6、位的网络造成严峻影晌.通过GOOgIe搜寻可以查阅更具体的关于该病毒的报道。1.2.1 病毒故障现象当局域网内某台主机运行ARP欺瞒的木马程序时,会欺瞒局域网内全部主机和路由耦,让全部上网的流量必需经过病毒主机。其他用户原来干脆通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断次线。切换到病毒主机上网后,假如用户已经登陆了传奇服务器,那么病毒主机就会常常伪造断线的暇像,那么用户就得Iit新登录传奇服务器,这样病毒主机就可以盗号了。由丁ARP欺瞒的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理实力的限制,用户会感觉上网速度越来越慢。当ARP欺胸的木马程序停止运行时,
7、用户会更原从路由器上网,切换过程中用户会再断次线。1.2.2 病毒实现原理从上面介绍的Arp协议可以看出,ARP协议的基础就是信任局域网内全部的人,那么就很简洁实现在以太网上的ARP欺瞒。攻击者对局域网终端和网关进行欺瞪,终端和网关的通信将由攻击者进行中间转发,从而实现会话嗅探和劫持。具体过程如下:对目标A进行欺瞒A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上.假如进行欺瞒的时候,把C的MAC地址腑为DD-DD-DD-DD-DD-DD.于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探胜利。A对这个改变一点都没有意识到,但是接下
8、来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送绐C的数据包可没有转交给C.做maninthemiddle”,进行ARP盘定向.打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由潺一样。D干脆进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包乂干脆传递给A倘如再次进行对C的ARP收瞪。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。1.3 Arp实现网络准入限制的原理些网管软件通过Arp欺瞒的方式实现了网络准入限制,其原理与ArP木马工作原理特别类似。网
9、管软件通过向局域网终端发送Arp欺瞒数据包,修改网关IP地址的Mac地址应答,由于局域网终湍学习到的网关MaC地址为虚假的MaC地址,导致终端发送到网关的通信不会被网关接受,从而不能连接到网关。在以上方式中,只能限制终端与网关的通信,假如须要限制终端与同网段内其他全部终端的通信,则须要对该被控终端进行更多的arp欺瞒也有个别网管软件为了保证限制效果,不仅仅对被控终端进行arp欺瞒.还对全部网段中的正常终端进行欺瞒,从而保证被控终端与正常终端双向都不能正常通信。须要办法的是:由于ArP地址表会定期刷新,因此必需以肯定的频率反豆发送arp欺瞒包,保证限制效果。实际应用中,发送频率通常为杪级,如5/
10、0秒,才能确保压制的效果.第2章ARP欺瞒的防范措2.1 防范ArP欺瞒的重要性ARP欺瞒利用了ArP协议完全信任,缺少平安鉴别机制的平安漏洞,给网络管理者带来了很大的挑战。ArP病毒/木马、“网络执法官”等非法软件的运用,极大地增加局域网平安隐患,包括: 信息泄漏只须要简洁的arp欺瞒工具和操作步骤(如闻名的CAlN工具,只须要点击两个按钮,sniffer和UrP欺瞒),就可以实现时交换环境中的通信进行嗅探,包括管理员管理账户口令、用户各种应用(mail、ftp.web)账户口令、用户通信内容等,导致严峻的信息泄漏,为更严峻的攻击行为供应了条件. Arp病毒ArP病毒的主要危害不仅仅体现在病
11、毒本身的目的,比如窃取传奇账号等,更为严峻的是其对网络运行的拒绝服务攻击。一方面,由于ARP欺瞒的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞,另一方面,由于自身处理实力的限制,常常导致攻击者的网络通信中转失败或效能下降,导致正常用户网络中断或者网络速度极慢。 “网络执法官”等非法软件的滥用个别用户处于新奇、好玩等目的,下载运用“网络执法官”等非法限制软件,通过arp欺瞒,可以让随意终端网络连接中断。2.2 防范ArP的措施2.2.1 设静态Mac不要把你的网络平安信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺瞒的问题),设置静态的MAC-IP对应表,可以杜绝Arp欺胸
12、包刷新MaC地址表。2.2.2 应用反ArP欺瞒技术针对arp木马流行,越来越多的管理者留意到了Arp欺瞒的危害,平安厂商、平安软件开发者也针对这种攻击行为有了相应的解决方案。最常用的ARP欺瞒拦截技术原理如下:Arp欺瞄的一个歪要特征是通过ArpRePIy的高频率发送,刷新用户的MaC地址表,而事实上,针对这些RCPly包,用户并没有发送相应的恳求包.因此.一个简洁的技术机制可以很好地应对ArP欺瞒攻击,主机对于接受到的没有恳求过的ArpReply数据包干脆丢弃并告警,就可以实现ArP欺瞒的防范,并定位进行攻击的攻击源。网关层面,目前主潦交换机、路由器厂商的设备具备抗Arp欺的攻击的实力,终
13、端上,越来越多的个人防火焙产品(如SymantcC)都已经内置了对ArP欺瞒的防护。一些免费的软件(如AnliARPSnifrer)也供应类似的功能.第3章ARP欺瞒实现网络限制的问题如前所述,一些网络管理软件可以通过ARP欺瞒的方式对非授权终端进行强制的接入限制,禁止接入网络。但是,该方式存在较大的管理局限性和负面影响,具体分析如下:3.1 防范ARP欺瞒与利用ARP欺瞒的冲突如2.1章节所述,由于利用ArP欺瞒导致的攻击、病惟行为将极大的危害推个局域网络的平安,因此必需采纳相应的ArP欺瞒防范技术。而要实现网络限制,则肯定不能运用ArP欺瞒防范技术,否则将导致限制失效。之所以会由这样的冲突
14、,根本缘由在于该网络限制方式采纳的是种非法的,基于黑客攻击的方式。而这种攻击方式的滥用,将给网络带来更大的危害。3.2 限制的效果依据其实现原理,可以很简洁理解其实现的限制效果并不志向。首先,由于ArP广播包只能在同一个网段或者V1.AN中生效,不能跨网段,更不能跨路由,则极大地影响了该方式的实施效果。必褥确保每个Vlan,每一个远程接入网段内,必需存活一台该软件可管理的设备,由该设番实现Arp欺瞧功能,从而实现准入限制。因此,许多网络场景,比如远程接入的终端,移动营业厅的终端等,都无法实现接入限制。其次,由于针时Aip欺胸防范技术已经比较成熟,终端用户自行设定静态MaC地址,安装相应的防护软
15、件(如AntiARPSniffer),启用防火墙软件(需支持arp欺瞒防护功能),都可以躲避这种网络接入限制方式。另外,个别软件声称即时被控终端有以上防范措施,仍旧能够进行限制,其实现原理是对其他正常的终端进行更大范围的ArP欺瞒,确保正常终端给受控终端的通信不能正常进行。这种方法一方面要求全部正常终端必需暴露在arp欺瞒攻击的影响下,不能运用任何防护措施,另方面,该方式对于UDP等单向及可完成通信的攻击没有效果,也就是说,攻击者感染的蠕虫病毒(如SqlSlammer)在一个UDP包中已经包含了整个攻击过程,该数据包会不受限制地发送给全网其他终端,攻击过程并不须要正常终端的回城。3.3 对网络
16、的负面影响为了保证准入限制效果,大量的,高频度的A中欺瞒包在局域网内传播,降低了网络的性能。另一方面,当真正的攻击发生或者出现网络故障时,网络中存在大量的攻击包将影响真正问题的定位和修药。第4章ARP技术的有效运用Arp技术的合理运用也可以对网络管理有合适的帮助,比如定位非授权终端。一些网管软件通过ArP的方式扫描全网,可以发觉那些违规计入的终端。运用Arp方式而不是snmp或者Ping的方式,可以有效地发觉那些启用了防火堵的终端。但是这种方式一个负面效果是仍旧存在大量的额外的ArP扫描包,同样,为了保证发觉的即时性,扫描操作会以高频度反更执行。另外,目前有一些防火墙技术可以禁止这种Arp扫描的方式,从而躲避探测,SymantecSygatc平安代理的1.anSenSor功能也应用了Arp发觉的技术,但是与上述方式不同的是,不会增加任何额外流量。终端接入网络时,必定会发送ArP广播包,对于安装了SygaIC平安代理的终端,其发送的ArP广播报文被适当修改标识(不影响正常运用)。从而,通过部署在同网段的1.anSenSOr代理(平安代理的一个功能组件)就可以接受这些广播包,并且识别发送广播包的代理是否安装有SygatC平安代理。对于未安装Sygate平安代理的终端,可以实时发觉并同告警。这种技术在违规终端发觉上即保证了效果,乂不会对网络造成任何影响,是Arp技术的一个有效运用.
