如同現實社會一樣,網絡虛擬社會也存在着各式各樣的虛假信息,從******掉網絡釣魚甚至社會工程學欺詐,我們所要面對的安全問題比比皆是。ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。一些***者通過利用ARP欺騙技術實現對數據的截取和偵聽。
一、ARP欺騙
ARP協議用於IP地址到MAC地址的轉換,此映射關係存儲在ARP緩存表中,若ARP緩存表被他人非法修改,則會導致發送給正確主機的數據包發送給另外一臺由***者控制的主機。ARP欺騙(ARP spoofing),也叫ARP毒藥(ARP poison),即可完成這些功能。
假設***者和目標主機在同一個局域網中,並且想要截獲和偵聽目標主機到網關間的所有數據。當然,對於使用集線器的局域網環境,***者只需要把網卡設置爲混雜模式即可。但是現在的局域網都是交換機了,不僅可以提高局域網的容量,而且可以提高安全性。在這種情況下,***者首先會試探交換機是否存在失敗保護模式(fail-safe mode),是交換機所處的特殊模式狀態。交換機維護IP地址和MAC地址的映射關係時會花費一定處理能力,當網絡通信時出現大量虛假MAC地址時,某些類型的交換機會出現過載情況,從而轉換到失敗保護模式。若交換機不存在失敗保護模式,則需要使用ARP欺騙技術。
***者主機需要兩塊網卡,IP地址分別是192.168.0.5和192.168.0.6,插入交換機的兩個端口,準備截獲和偵聽目標主機192.168.0.3和路由器192.168.0.1之間的所有通信。另外***者主機還需要有IP數據包轉發功能,此項功能在Linux下只需要執行命令echo 1> /proc/sys/net/ipv4/ip_forward就可以。以192.168.0.4的網絡通信爲例,正常的ARP轉換如下:
1.主機A192.168.0.4想要與路由器192.168.0.1通信,從而接入Internet。
2.主機A以廣播的方式發送ARP請求,希望得到路由器的MAC。
3.交換機收到ARP請求,並把此請求發送給連接到交換機的各個主機。同時,交換機將更新它的MAC地址和端口之間的映射表,即將192.168.0.4綁定它所連接的端口。
4.路由器收到A的ARP請求後,發出帶有自身MAC地址的ARP響應。
5.路由器更新ARP緩存表,綁定A的IP地址和MAC地址。
6.交換機收到了路由器對A的ARP響應後,查找它的MAC地址和端口之間的映射表,把此ARP響應數據包發送到相應的端口。同時,交換機更新它的MAC地址和端口之間的影射表,即將192.168.0.1綁定它所連接的端口。
7.主機A收到ARP響應數據包,更新ARP緩存表,綁定路由器的IP地址和MAC地址。
8.主機A使用更新後的MAC地址信息把數據發送給路由器,通信通道就此建立。
ARP欺騙需要***者迅速地誘使目標主機192.168.0.3和路由器192.168.0.1都和它建立通信,從而使自己成爲中間人MiM(Man in Middle)。換句話說,***者的主機此時相當於一個被***者完全控制的路由器,目標主機和路由器之間的所有數據通信都要由***者主機轉發,***者也就能對數據作各種處理。要達到同時欺騙目標主機和路由器的目的,***者應打開兩個命令界面,執行兩次ARP欺騙:一次誘使目標主機認爲***者的主機有路由器的MAC地址,這可以利用IP地址欺騙技術,僞造路由器的IP地址,從***者主機的一塊網卡上發送給目標主機ARP請求包,則錯誤的MAC地址和IP地址的映射將更新到目標主機;另一次使路由器相信***者的主機具有目標主機的MAC地址,方法和前面相似。
ARP欺騙的防範:
中毒的網絡,就會一直有發送arp病毒包的,這些arp病毒包會誤導你的機器對網關mac地址的解析。所以需要綁定mac地址。兩種方法:
1、列出局域網內所有機器的MAC地址。
# arpAddress HWtype HWaddress Flags Mask Iface
192.168.1.1 ether 00:07:E9:2A:6F:C6,然後,綁定MAC地址, #arp -s 192.168.1.1 00:07:E9:2A:6F:C6
注意:假如用戶的網關設置了hostname的話,這裏192.168.1.1就有可能需要換成hostname。
2、創建一個/etc/ethers文件,比如你要綁定網關,那就在/etc/ethers裏寫上:192.168.1.1 00:07:E9:2A:6F:C6,然後執行 #arp -f ,每次重啓機器後需要重新綁定MAC地址。
另外,mac地址的綁定需要雙向的,即機器a綁定了機器b,機器b也要綁定機器a,這樣arp病毒纔會被徹底擋住。