局域網(wǎng)的痛疾 ARP攻擊方式逐個數(shù)

ARP攻擊， 是指攻擊者利用地址解析協(xié)議本身的運行機制而發(fā)動的攻擊行為。 包括進行對主機發(fā)動IP沖突攻擊、數(shù)據(jù)包轟炸， 切斷局域網(wǎng)上任何一臺主機的網(wǎng)絡連接等。 主要有以盜取數(shù)據(jù)為主要目的的ARP欺騙攻擊， 還有以搗亂破壞為目的的ARP泛洪攻擊兩種。

　　IP地址沖突

　　制造出局域網(wǎng)上有另一臺主機與受害主機共享一個IP的假象。 由于違反了唯一性要求， 受害主機會自動向用戶彈出警告對話框。 大量的攻擊數(shù)據(jù)包能令受害主機耗費大量的系統(tǒng)資源。 對于windows操作系統(tǒng)， 只要接收到一個ARP數(shù)據(jù)包， 不管該ARP數(shù)據(jù)包符不符合要求， 只要該ARP數(shù)據(jù)包所記錄的源ip地址同本地主機相同但MAC地址不同， windows系統(tǒng)就會彈出ip地址沖突的警告對話框。 根據(jù)ip地址沖突的攻擊特征描述， 這種類型的ARP攻擊主要有以下幾種：

　�。�1）單播型的IP地址沖突：鏈路層所記錄的目的物理地址為被攻擊主機的物理地址， 這樣使得該ARP數(shù)據(jù)包只能被受攻擊主機所接收而不被局域網(wǎng)內的其它主機所接收實現(xiàn)隱蔽式攻擊。

　　（2）廣播型的IP地址沖突：鏈路層所記錄的目的物理地址為廣播地址， 這樣使得局域網(wǎng)內的所有主機都會接受到該ARP數(shù)據(jù)包， 雖然該ARP數(shù)據(jù)包所記錄的目的ip地址不是受攻擊主機的ip地址， 但是由于該ARP數(shù)據(jù)包為廣播數(shù)據(jù)包， 這樣受攻擊主機也會接收到從而彈出ip地址沖突的警告對話框。

IP地址相同但MAC地址不同的數(shù)據(jù)包ARP泛洪攻擊

　　攻擊主機持續(xù)把偽造的MAC-IP映射對發(fā)給受害主機， 對于局域網(wǎng)內的所有主機和網(wǎng)關進行廣播， 搶占網(wǎng)絡帶寬和干擾正常通信。 這種攻擊方式的主要攻擊特征包含：

　　（1）通過不斷發(fā)送偽造的ARP廣播數(shù)據(jù)報使得交換機拼于處理廣播數(shù)據(jù)報耗盡網(wǎng)絡帶寬。

　�。�2）令局域網(wǎng)內部的主機或網(wǎng)關找不到正確的通信對象， 使得正常通信被阻斷。

　�。�3）用虛假的地址信息占滿主機的ARP高速緩存空間， 造成主機無法創(chuàng)建緩存表項， 無法正常通信， 這種攻擊特征作者將其命名為ARP溢出攻擊。 ARP泛洪攻擊不是以盜取用戶數(shù)據(jù)為目的， 它是以破壞網(wǎng)絡為目的， 屬于損人不利己的行為。

　　ARP溢出攻擊

　　ARP溢出攻擊的特征主要有：

　�。�1）所發(fā)送的偽造MAC-IP映射對的ip地址是非本地網(wǎng)的虛擬不存在的ip地址但MAC地址是固定的， 由于當操作系統(tǒng)接收到一個源ip地址在ARP高速緩存表中不存在的ARP數(shù)據(jù)包時， 就會在緩存表中創(chuàng)建一個對應MAC-IP的入口項。

　�。�2）所發(fā)送的偽造MAC-IP映射對的ip地址是非本地網(wǎng)的虛擬不存在的ip地址而且MAC地址也是虛擬變化的。 發(fā)送這種類型的攻擊數(shù)據(jù)包會引起交換機的CAM表溢出。 由于交換機是通過學習進入各端口數(shù)據(jù)幀的源MAC地址來構建CAM表， 將各端口和端口所連接主機的MAC地址的對應關系進行記錄， 因而可根據(jù)CAM表來決定數(shù)據(jù)幀發(fā)往哪個端口。 如果攻擊源持續(xù)向交換機發(fā)送大量有錯誤的MAC地址ARP數(shù)據(jù)包， 就會破壞端口與MAC的對應關系， 并導致CAM表溢出。 在這種情形之下， 缺少防范措施的交換機就會以廣播的模式處理報文， 形成泛洪向所有接口轉發(fā)通信信息流。 最終使得交換機變成HUB， 將交換式的網(wǎng)絡變成廣播式的網(wǎng)絡， 使得網(wǎng)絡帶寬急劇下降。

　　ARP欺騙原理

　　假如主機A要與目的主機B進行通信， 為了查找與目的主機IP地址相對應的MAC地址， 主機A使用ARP協(xié)議來查找目的主機B的MAC地址。 首先， 源主機A會以廣播的形式發(fā)送一個ARP請求數(shù)據(jù)包給以太網(wǎng)上的每一臺主機， 這個過程稱為ARP廣播。 而在接收到ARP廣播的所有計算機中， 只有具有目的主機IP地址的主機B收到該廣播報文后， 才會向源主機A回送一個包含其MAC地址的應答， 這樣一次正常的地址解析過程就完成了。 為了盡量減少網(wǎng)絡中ARP廣播請求的次數(shù)， 每臺主機都擁有一個ARP緩存， 這個緩存存放了自主機啟動以來所有的IP地址與MAC地址之間的映射記錄。 主機每隔一定時間或者每當收到ARP應答， 都會用新的地址映射記錄對ARP緩存進行更新， 以保證自己擁有最新的地址解析緩存。

使用ARP -A命令查看PC上的ARP緩存表　利用ARP協(xié)議的緩存更新不需要驗證的特點， 就可以冒用一個合法IP， 對同網(wǎng)絡的數(shù)據(jù)進行嗅探， 而這正是ARP欺騙病毒所采用的手段。 假設有3臺主機分別為A、B、C， 其中主機C已經(jīng)感染了ARP地址欺騙病毒。 正常情況下， 主機A與主機B通信對于主機C是不可見的， 但是， 主機C利用ARP欺騙技術， 實現(xiàn)了交換網(wǎng)絡下的嗅探。 其主要步驟如下：

　�。�1）主機C向主機A發(fā)送一個非法ARP響應， 將主機A的ARP緩存中B的MAC地址篡改為C的MAC地址。

　�。�2）主機C向主機B發(fā)送一個非法ARP響應， 將主機B的ARP緩存中A的MAC地址篡改為C的MAC地址

　�。�3）在主機C上啟動IP Forward（IP轉發(fā)）功能。

　　于是， 主機A與主機B之間的通道由主機A到主機B變成主機A到主機C再到主機B， 主機C作為“中介”， 轉發(fā)主機A與主機B通信產(chǎn)生的所有數(shù)據(jù)包。 這樣， 在光天化日之下， 主機C竟然劫持了所有主機A和主機B之間通信的數(shù)據(jù)， 這就是ARP地址欺騙的過程。

　　另一個情況， 假設一個網(wǎng)絡中的兩臺主機， A與B， 當主機B冒充網(wǎng)關的情形下， 由于局域網(wǎng)中的電腦連接外網(wǎng)時， 也就是登錄互聯(lián)網(wǎng)的時候， 都要經(jīng)過局域網(wǎng)中的網(wǎng)關轉發(fā)一下， 所有收發(fā)的數(shù)據(jù)都要先經(jīng)過網(wǎng)關， 再由網(wǎng)關發(fā)向互聯(lián)網(wǎng)。 這也就意味著電腦B能截獲并篡改所有局域網(wǎng)到互聯(lián)網(wǎng)、互聯(lián)網(wǎng)到局域網(wǎng)的數(shù)據(jù)。

　　ARP欺騙種類

　　（1）拒絕服務攻擊：拒絕服務攻擊就是使目標主機不能響應外界請求， 從而不能對外提供服務的攻擊方法。 如果攻擊者將目標主機ARP緩存中的MAC地址全部改為根本就不存在的地址， 那么目標主機向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀會丟失， 使得上層應用忙于處理這種異常而無法響應外來請求， 也就導致目標主機產(chǎn)生拒絕服務。

　�。�2）中間人攻擊：中間人攻擊就是攻擊者將自己的主機插入兩個目標主機通信路徑之間， 使他的主機如同兩個目標主機通信路徑上的一個中繼， 這樣攻擊者就可以監(jiān)聽兩個目標主機之間的通信。 例如局域網(wǎng)內的三臺機子A、S、D， 現(xiàn)在A要監(jiān)聽S與D之間的通信。 攻擊過程如下：A侵染目標主機S與D的ARP緩存， 使得S向D發(fā)送數(shù)據(jù)時， 使用的是D的IP地址與A的MAC地址， 并且D向S發(fā)送數(shù)據(jù)時， 使用的是S的IP地址與A的MAC地址， 因此所有S與D之間的數(shù)據(jù)都將經(jīng)過A， 再由A轉發(fā)給他們。

　　如果攻擊者對一個目標主機與它所在局域網(wǎng)的路由器實施中間人攻擊， 那么攻擊者就可以截取Internet與這個目標主機的之間的全部通信。

　�。�3）多主機欺騙：篡改被攻擊主機群中關于網(wǎng)絡內某一臺主機X的ARP記錄， 被攻擊的主機群為網(wǎng)絡中的多臺主機而非一臺主機。 主機X為網(wǎng)關或網(wǎng)絡內任何一臺非網(wǎng)關的正在運行主機。 被篡改后的MAC地址可以為網(wǎng)絡內正在運行的主機MAC地址或隨機偽造的不存在主機的MAC地址。

　　T時刻， 主機A關于主機X的ARP記錄被篡改；

　　T+N時刻， 主機B關于主機X的ARP記錄被篡改；

　　………

　　T+M時刻， 主機Z關于主機X的ARP記錄被篡改；

　　例如當攻擊主機要仿冒網(wǎng)關就會向局域網(wǎng)內的主機群發(fā)送ARP數(shù)據(jù)包， 以自身MAC地址來冒充真正的網(wǎng)關， 使受騙主機群的ARP緩沖區(qū)的MAC地址錯誤地更新為攻擊源的MAC地址， 導致受騙主機群向假網(wǎng)關發(fā)送通信信息， 而不是通過路由器或交換途徑尋找真正的網(wǎng)關并發(fā)送通信信息。 這時攻擊主機可以把自己設置成一臺路由器負責對數(shù)據(jù)包轉發(fā)， 從而達到仿冒網(wǎng)關的目的。 這是一種比較常見的欺騙形式， 這種欺騙方式可以控制同一網(wǎng)關下的所有主機對網(wǎng)絡的訪問。 網(wǎng)吧內經(jīng)常發(fā)生游戲密碼被盜現(xiàn)象就是因為遭受到仿冒網(wǎng)關的ARP攻擊。 （4）全子網(wǎng)輪詢欺騙：篡改被攻擊主機X中關于網(wǎng)絡內多臺主機的ARP記錄， 這臺被攻擊的主機為網(wǎng)關或網(wǎng)絡內任何一臺非網(wǎng)關的主機， 被篡改后的MAC地址可以為網(wǎng)絡內正在運行的主機MAC地址或隨機偽造的不存在主機的MAC地址。

　　T時刻， 主機X關于主機A的ARP記錄被篡改；

　　T+N時刻， 主機X關于主機B的ARP記錄被篡改；

　　………

　　T+M時刻， 主機X關于主機Z的ARP記錄被篡改；

　　（5）網(wǎng)絡監(jiān)聽：攻擊主機利用上述多主機欺騙來仿冒網(wǎng)關， 利用全子網(wǎng)輪詢欺騙來篡改真正網(wǎng)關上關于局域網(wǎng)內所有主機的ARP緩存記錄， 從而實現(xiàn)對局域網(wǎng)內所有主機同外部網(wǎng)的通信進行監(jiān)聽。 實現(xiàn)了在交換式網(wǎng)絡環(huán)境中對網(wǎng)絡通信的監(jiān)聽。

　　ARP掃描攻擊

　　向局域網(wǎng)內的所有主機發(fā)送ARP請求， 從而獲得正在運行主機的ip和mac地址映射對。 ARP掃描往往是為發(fā)動ARP攻擊做準備。 攻擊源通過ARP掃描來獲得所要攻擊主機的ip和mac地址。 從而為網(wǎng)絡監(jiān)聽、盜取用戶數(shù)據(jù)， 實現(xiàn)隱蔽式攻擊做準備。

　　虛擬主機攻擊

　　通過在網(wǎng)絡內虛擬構建網(wǎng)卡， 將自己虛擬成網(wǎng)絡內的一臺主機， 擁有虛擬的物理地址和ip地址。 主要是通過在鏈路層捕獲所有流經(jīng)的ARP請求數(shù)據(jù)包進行分析， 若是對虛擬主機的ARP請求就會發(fā)送對應虛擬物理地址的ARP響應， 并且虛擬主機本身也會發(fā)送ARP請求。 虛擬主機攻擊會占用局域網(wǎng)內的IP地址資源， 使得正常運行的主機發(fā)生ip地址沖突， 并且局域網(wǎng)內的主機也無法正常獲得ip地址。

　　ARP攻擊造成的現(xiàn)象

　　ARP的攻擊問題影響很大， 局域網(wǎng)內一旦有ARP的攻擊存在， 會欺騙局域網(wǎng)內所有的主機和網(wǎng)關， 讓所有上網(wǎng)的流量必須經(jīng)過ARP攻擊者控制的主機。 其它用戶原來直接通過網(wǎng)關上網(wǎng)， 現(xiàn)在卻轉由通過被控主機轉發(fā)上網(wǎng)。 由于被控主機性能和程序性能的影響， 這種轉發(fā)并不會非常流暢， 因此就會導致用戶上網(wǎng)的速度變慢甚至頻繁斷線。 另外ARP欺騙需要不停地發(fā)送ARP應答包， 會造成網(wǎng)絡擁塞。 而且網(wǎng)絡節(jié)點間的連通也會出現(xiàn)異常。 對于ARP欺騙攻擊還會有其它表現(xiàn)， 如出現(xiàn)網(wǎng)絡內大面積賬號丟失和數(shù)據(jù)失密等等。 對于IP地址沖突攻擊會使得主機不斷彈出ip地址沖突的警告信息。