2008-5-20 15:17
龙吻倾城
ARP攻击手段详解以及整体预防防治方案
Internet潜藏着许许多多的威胁如病毒、木马等,随时困扰着个人计算机的安全。近年来由于网络安全设备的进步有效的阻隔了大多数外在攻击,而虽然如此,由于使用者习惯的改变及入侵与病毒的传播技术日新月异,近年来的信息及网络安全威胁开始来自于企业内部。本文以技术角度说明ARP欺骗攻击对企业(机关)内部使用者造成的信息安全问题,以及为何ARP欺骗攻击是现阶段病毒攻击网络最喜欢的攻击工具,也是现阶段黑客最喜欢使用的入侵工具之一,有了这些了解后,网络管理者将可更有效布署或整合适当的网络与信息安全设备,检测出网络与信息威胁来源。
什么是ARP、RARP
位置解析协议( Address Resolution Protocol -简称ARP)是地址转换协议,RARP被称为反向地址转换协议,他们负责把IP地址和MAC地址进行相互转换对应。ARP主要被设计用于以OSI model 第三层地址(IP address)求得第二层地址(MAC 地址),这是由于IP数据包常通过以太网传送,而以太网设备本身并不识别第三层32个位的IP地址,而是以第二层48个位的以太网地址(MAC地址)传输以太网数据包的。因此,必须把IP目的地址转换成以太网地目的地址。在这两种地址之间存在着某种静态的映像,这是就是所为的ARP表。
ARP封包只会在同一个子网内传送,它很少透过路由器传送至不同的网络。主机的操作系统会依照封包目地IP地址与本机之子网屏蔽(subnet mask)的值进行运算,以判断封包目地IP是否与本机同属于一个子网络,如果封包的源IP地址与目的IP地址不属于同一子网络则封包必然须要传送至路由器,而ARP则正可以让本机获得路由器以太网设备网卡MAC地址,而让封包可以透过本机以太网设备网卡传送至路由器。ARP、RARP是一个非常重要且使用频繁的协议,在任何一个TCP/IP的连接被建立前,必需经由位置解析协议(Address Resolution Protocol)取得目地主机的实体网络地址(MAC),在局域网(Local area network)中,两部计算机要彼此互相通讯,首先必须彼此知道彼此网卡的MAC地址才能将封包送往对方;例如: 如果某ㄧ计算机 (ip1/ mac1) 得到另一台计算机 (ip2/mac2) 错误的 MAC地址 ( ip2/mac3), 那么这台计算机 (ip1/mac1) 将无法传送数据包到 Ip2 计算机。
什么是ARP欺骗
ARP Spoofing(ARP欺骗)攻击的根本原理是因为Windows计算机中维护着一个 ARP 高速缓存(让你可以使用 arp 命令来查看你自己的ARP高速缓存),并且这个ARP 高速缓存是随着计算机不断的发出ARP请求和收到ARP回应而不断的更新的, ARP 高速缓存的目的是把机器的IP地址和MAC地址相互映像,使得IP数据包在以太网内得顺利而正确找到目的MAC地址,然后正确无误的传送。 如果你可以藉由发出标准的ARP请求或ARP响应来扰乱或窜改某计算机或路由器内正常的ARP表,而导致该计算机(或路由器)发出的数据包误传目的地,或使OSI的第二层以太网和第三层无法连接,进而瘫痪网络,我们就称你使用了ARP欺骗攻击。
举例说明: 现在有三部机器分别是机器A:IP1/MAC1、机器B:IP2/MAC2、机器C:IP3/MAC3 。现在机器B上的用户是位黑客企图干扰机器A或是监视SNIFFER机器A与C之间的通讯,首先他向机器A发出一个 ARP Reply,其中的目的IP地址为IP1,目的(Destination) MAC 地址为MAC1,而源(Source)IP地址为IP3,源MAC地址为 MAC2 。好了, 现在机器A更新了他的 ARP高速缓存,并相信了IP3地址的机器的MAC地址是 MAC2 。当机器A上的管理员发出一条FTP命令时---ftp IP3,数据包被送到了Switch,Switch查看资料包中的目的地址,发现MAC为 MAC2 ,于是,他把数据包发到了机器B上,因此成功攻击机器A。现在如果不想影响A和C之间的通信该怎么办?仅是sniffer监视两者之间的通讯,你可以同时欺骗他们双方,使用 man-in-middle攻击,便可以达到效果 。
总之本机在传送数据包之前,会送出一个关于查询目的IP地址的MAC以太网广播包。正常情况下,只有对应目的IP的主机会以一个自己的48位MAC主机地址unicast包来做响应,并且将该IP与MAC地址对应更新本机内ARP高速缓存,以节约不必要的ARP通信。如果有一个中毒的计算机或是网内合法授权进行非法活动的黑客,他们是对本地网络具有写访问权限,极可能这样一台机器就会发布虚假的ARP请求或响应通讯,欺骗其它计算机或路由器将所有通信都转向它自己,然后它就可以扮演某些机器,或对数据流进行修改。这样就造成arp欺骗攻击,影响正常的主机通信。
Internet潜藏着许许多多的威胁如病毒、木马等,随时困扰着个人计算机的安全。近年来由于网络安全设备的进步有效的阻隔了大多数外在攻击,而虽然如此,由于使用者习惯的改变及入侵与病毒的传播技术日新月异,近年来的信息及网络安全威胁开始来自于企业内部。本文以技术角度说明ARP欺骗攻击对企业(机关)内部使用者造成的信息安全问题,以及为何ARP欺骗攻击是现阶段病毒攻击网络最喜欢的攻击工具,也是现阶段黑客最喜欢使用的入侵工具之一,有了这些了解后,网络管理者将可更有效布署或整合适当的网络与信息安全设备,检测出网络与信息威胁来源。
什么是ARP、RARP
位置解析协议( Address Resolution Protocol -简称ARP)是地址转换协议,RARP被称为反向地址转换协议,他们负责把IP地址和MAC地址进行相互转换对应。ARP主要被设计用于以OSI model 第三层地址(IP address)求得第二层地址(MAC 地址),这是由于IP数据包常通过以太网传送,而以太网设备本身并不识别第三层32个位的IP地址,而是以第二层48个位的以太网地址(MAC地址)传输以太网数据包的。因此,必须把IP目的地址转换成以太网地目的地址。在这两种地址之间存在着某种静态的映像,这是就是所为的ARP表。
ARP封包只会在同一个子网内传送,它很少透过路由器传送至不同的网络。主机的操作系统会依照封包目地IP地址与本机之子网屏蔽(subnet mask)的值进行运算,以判断封包目地IP是否与本机同属于一个子网络,如果封包的源IP地址与目的IP地址不属于同一子网络则封包必然须要传送至路由器,而ARP则正可以让本机获得路由器以太网设备网卡MAC地址,而让封包可以透过本机以太网设备网卡传送至路由器。ARP、RARP是一个非常重要且使用频繁的协议,在任何一个TCP/IP的连接被建立前,必需经由位置解析协议(Address Resolution Protocol)取得目地主机的实体网络地址(MAC),在局域网(Local area network)中,两部计算机要彼此互相通讯,首先必须彼此知道彼此网卡的MAC地址才能将封包送往对方;例如: 如果某ㄧ计算机 (ip1/ mac1) 得到另一台计算机 (ip2/mac2) 错误的 MAC地址 ( ip2/mac3), 那么这台计算机 (ip1/mac1) 将无法传送数据包到 Ip2 计算机。
什么是ARP欺骗
ARP Spoofing(ARP欺骗)攻击的根本原理是因为Windows计算机中维护着一个 ARP 高速缓存(让你可以使用 arp 命令来查看你自己的ARP高速缓存),并且这个ARP 高速缓存是随着计算机不断的发出ARP请求和收到ARP回应而不断的更新的, ARP 高速缓存的目的是把机器的IP地址和MAC地址相互映像,使得IP数据包在以太网内得顺利而正确找到目的MAC地址,然后正确无误的传送。 如果你可以藉由发出标准的ARP请求或ARP响应来扰乱或窜改某计算机或路由器内正常的ARP表,而导致该计算机(或路由器)发出的数据包误传目的地,或使OSI的第二层以太网和第三层无法连接,进而瘫痪网络,我们就称你使用了ARP欺骗攻击。
举例说明: 现在有三部机器分别是机器A:IP1/MAC1、机器B:IP2/MAC2、机器C:IP3/MAC3 。现在机器B上的用户是位黑客企图干扰机器A或是监视SNIFFER机器A与C之间的通讯,首先他向机器A发出一个 ARP Reply,其中的目的IP地址为IP1,目的(Destination) MAC 地址为MAC1,而源(Source)IP地址为IP3,源MAC地址为 MAC2 。好了, 现在机器A更新了他的 ARP高速缓存,并相信了IP3地址的机器的MAC地址是 MAC2 。当机器A上的管理员发出一条FTP命令时---ftp IP3,数据包被送到了Switch,Switch查看资料包中的目的地址,发现MAC为 MAC2 ,于是,他把数据包发到了机器B上,因此成功攻击机器A。现在如果不想影响A和C之间的通信该怎么办?仅是sniffer监视两者之间的通讯,你可以同时欺骗他们双方,使用 man-in-middle攻击,便可以达到效果 。
总之本机在传送数据包之前,会送出一个关于查询目的IP地址的MAC以太网广播包。正常情况下,只有对应目的IP的主机会以一个自己的48位MAC主机地址unicast包来做响应,并且将该IP与MAC地址对应更新本机内ARP高速缓存,以节约不必要的ARP通信。如果有一个中毒的计算机或是网内合法授权进行非法活动的黑客,他们是对本地网络具有写访问权限,极可能这样一台机器就会发布虚假的ARP请求或响应通讯,欺骗其它计算机或路由器将所有通信都转向它自己,然后它就可以扮演某些机器,或对数据流进行修改。这样就造成arp欺骗攻击,影响正常的主机通信。
2008-5-20 15:17
龙吻倾城
[b]ARP欺骗被使用的目的和攻击的特色[/b] 不管是中毒无特定目标的攻击或是黑客进行特定标的非法监听、窃取活动,ARP欺骗是主要攻击的一种手法也是目的。事实上很多的知名的黑客使用的工具就是使用ARP欺骗为手法的。最有名黑客攻击的手法如中间人攻击(Man-in-the-Middle attack) 与联机劫夺(Session Hijacking) 就是采取ARP spoofing等攻击手法达到欺骗主机、反追踪或是避开交换器访问安全存取的安全机制的防护。联机劫夺(Session Hijacking) 利用ARP欺骗将使用者正常的联机抢过来;中间人攻击则利用ARP同时欺骗使用者(Client)与服务器(Server)两边使所有两边的交谈都要透过入侵人的转述,达到欺骗、侧录、窜改数据的目的。
另外中毒的计算机发送ARP欺骗封包,或是市面上也有些软件如网?剪刀手(NetCut),利用制造ARP欺骗封包,它则是以攻击为目的,使得特定或不特定的目标瘫痪,并嫁祸于人。网络剪刀手(NetCut)它的原理是负责假造ARP封包,提供给目标主机假的实体网络地址(MAC)信息,通讯网关(Gateway)收到后,将错误的实体网络地址(MAC)记到ARP 表内,伺服端(Client)的返回封包就无法送达,也就无法上网,达到攻击的目的。
ARP欺骗手法最大的特色是隐密难以侦测,和过去黑客或中毒攻击手法 - DsS攻击或洪水攻击(Flooding)不同,DoS或洪水攻击所造成的网络危害明显,但是容易被查觉;而ARP欺骗则是以欺骗为目的,并且为了维持持续的欺骗效果,必须持续发送ARP欺骗包,这些ARP欺骗包长度短但是为数可能颇多,因此造成的网络危害不仅是可能的数据侧录、窃取,也可以是对网络特定目标的攻击,甚至大量ARP广播包也可造成整个或部份网络的瘫痪。
[b]ARP攻击分类、手法;为何IPS难以辨识及防御ARP的攻击?[/b]
ARP欺骗攻击分类基本上可以分为刻意的特定目标攻击,及因为中毒无意的攻擎。这二种的攻击本意有所不同,(一)通常是利用网络下载的工具、例如网络翦刀手netcut程序 然后恶意攻击他人并将攻击封包伪装以驾祸于他人,其危害常是少数特定目标,但是由于攻击者以Unicast 包方式传送且善于伪装,因此网络管理员极难找出问题所在,也由于此类型程序下载容易操作简单,近期于网络中快速扩散,造成网络管理人员极大负担,也由于目前尚无完整机制快速侦测出此类型规则来源,因此常会使管理人员处理此类问题时疲于奔命,处理耗费时间同时效果不彰,过程中也让网络管理人员专业能力受到极大的质疑。〈二〉通常是使用者中毒后中毒软件发送ARP欺骗封包以误导其它人将封包送往错误的路径,导致变像的攻击使网关受害或某用户的遭炴,其主要的目的是造成部份或整体网络的危害。
位置解析协议(Address Resolution Protocol)在区域网?中极其重要,他是属于局域网络同ㄧ子网段内部主机对主机的传输或主机与路由器之间传输重要的协议。如果局域网内是属于中大型网络具有多个子网络,那么防火墙/IPS入侵侦测设备通常被设置在核心路由交换器之后根本没有机会接触ARP封包,因此对ARP攻击束手无策。即使局域网内只有一个网段,防火墙/IPS入侵侦测设备兼具路由器功能也仅能侦测部分ARP广播包,且大部分的产品如使用操作系统(如Linux)的TCP/IP Socket就难以侦测ARP数据包,因此目前的防火墙/IPS入侵侦测设备几乎不具有实时防止「欺骗位置解析协议攻击(ARP Spoofing Attack)」的功能,就算有也仅止于出口控制无法由网络底层第一时间阻隔此类攻击。
[b]ARP攻击的防御需要依赖安全交换器 - 介绍NBADswitch、 NBADsensor[/b]
既然ARP欺骗攻击是属于局域网络内部的攻击手法,而且又是许多病毒、蠕虫、黑客攻击(如Session Hijacking联机劫夺、Man-in-The-Middle中间人攻击)经常使用的基本工具。因此,如果是可以由二层交换器来侦测及阻挡防御最为恰当,一方面可以不需要支付昂贵的IPS入侵侦测器的成本,而且可从网络最底层从事非法ARP的侦测及阻挡防御,根本解决ARP衍伸的负面攻击。
[align=center][img]http://net.it365.com/imagelist/2008/084/56j0t0zy09nds.jpg[/img][/align]
NBAD switch是目前笔者了解市面上具备有ARP攻击防卫较完整的[url=http://solution.it365.com/][color=#03399b]解决方案[/color][/url]。NBAD switch设计上是属于二层的交换器,主要应用在局域网络底层的布署,一方面提供正常网络封包的基本交换功能,另ㄧ方面也同时解决网络攻击或流量异常的侦测,以实时反应边际端的异常状况,并减轻负荷、保护企业核心网络。NBAD switch基本上提供了ARP扫描侦测 (xarp scan detection)、ARP异常侦测 (xarp anomaly detection) 及ARP攻击侦测 (xarp attack detection)三种防护装置。ARP扫描侦测主要目的是侦测LAN内部arp扫描行为,ARP异常侦测- 则是侦测LAN内部哪些用户送一些不合法封包,ARP攻击侦测- 主要目的是侦测出哪些用户遭受攻击,并找出攻击来源。藉由利用这些侦测(detection), NBAD switch 可以检测出PC开始攻击前的异常行为,并送出通知让PC了解可能是因为中毒正准备蓄意对外攻击。如果该PC正式对外攻击,NBAD switch会立即侦测到并通知管理者攻击者、被攻击者是谁,因此可以采取快速反应的动作。
NBAD sensor设计的目的、布署的方式与NBAD switch不同,NBAD switch 主要布署于新建或者是全面更新的局域网络上,而NBAD sensor则是布署于暨有已存在的局域网络上侧听的侦测器,主要目的除了可以映像(mirror)方式侧听(sniffer)网络上是否有异常ARP 欺骗攻击的封包之外,也可收集、侦测、防御MAC/IP绑定的管理,有效解决局域网络内IP冲突与病毒攻击问题。
结语
ARP Spoofing Attack确实在局域网中具有极大的威胁,而且ARP攻击的手法也越来越精湛,由broadcast 转向Unicast 使得一般的侦测器或防火墙无法做出有效而广泛的侦测,而如果想要扫描整体网络ARP的攻击显然就必须要依赖交换器基础的解决方案,在局域网建立的时候,依赖交换器主动侦测是否又异常ARP讯息,经由内建芯片过滤一旦发现异常ARP封包便可自动封锁并通知网络管理者,有效处理「欺骗位置解析协议攻击(ARP Spoofing Attack)」造成的局域网瘫痪这一棘手的问题。
另外中毒的计算机发送ARP欺骗封包,或是市面上也有些软件如网?剪刀手(NetCut),利用制造ARP欺骗封包,它则是以攻击为目的,使得特定或不特定的目标瘫痪,并嫁祸于人。网络剪刀手(NetCut)它的原理是负责假造ARP封包,提供给目标主机假的实体网络地址(MAC)信息,通讯网关(Gateway)收到后,将错误的实体网络地址(MAC)记到ARP 表内,伺服端(Client)的返回封包就无法送达,也就无法上网,达到攻击的目的。
ARP欺骗手法最大的特色是隐密难以侦测,和过去黑客或中毒攻击手法 - DsS攻击或洪水攻击(Flooding)不同,DoS或洪水攻击所造成的网络危害明显,但是容易被查觉;而ARP欺骗则是以欺骗为目的,并且为了维持持续的欺骗效果,必须持续发送ARP欺骗包,这些ARP欺骗包长度短但是为数可能颇多,因此造成的网络危害不仅是可能的数据侧录、窃取,也可以是对网络特定目标的攻击,甚至大量ARP广播包也可造成整个或部份网络的瘫痪。
[b]ARP攻击分类、手法;为何IPS难以辨识及防御ARP的攻击?[/b]
ARP欺骗攻击分类基本上可以分为刻意的特定目标攻击,及因为中毒无意的攻擎。这二种的攻击本意有所不同,(一)通常是利用网络下载的工具、例如网络翦刀手netcut程序 然后恶意攻击他人并将攻击封包伪装以驾祸于他人,其危害常是少数特定目标,但是由于攻击者以Unicast 包方式传送且善于伪装,因此网络管理员极难找出问题所在,也由于此类型程序下载容易操作简单,近期于网络中快速扩散,造成网络管理人员极大负担,也由于目前尚无完整机制快速侦测出此类型规则来源,因此常会使管理人员处理此类问题时疲于奔命,处理耗费时间同时效果不彰,过程中也让网络管理人员专业能力受到极大的质疑。〈二〉通常是使用者中毒后中毒软件发送ARP欺骗封包以误导其它人将封包送往错误的路径,导致变像的攻击使网关受害或某用户的遭炴,其主要的目的是造成部份或整体网络的危害。
位置解析协议(Address Resolution Protocol)在区域网?中极其重要,他是属于局域网络同ㄧ子网段内部主机对主机的传输或主机与路由器之间传输重要的协议。如果局域网内是属于中大型网络具有多个子网络,那么防火墙/IPS入侵侦测设备通常被设置在核心路由交换器之后根本没有机会接触ARP封包,因此对ARP攻击束手无策。即使局域网内只有一个网段,防火墙/IPS入侵侦测设备兼具路由器功能也仅能侦测部分ARP广播包,且大部分的产品如使用操作系统(如Linux)的TCP/IP Socket就难以侦测ARP数据包,因此目前的防火墙/IPS入侵侦测设备几乎不具有实时防止「欺骗位置解析协议攻击(ARP Spoofing Attack)」的功能,就算有也仅止于出口控制无法由网络底层第一时间阻隔此类攻击。
[b]ARP攻击的防御需要依赖安全交换器 - 介绍NBADswitch、 NBADsensor[/b]
既然ARP欺骗攻击是属于局域网络内部的攻击手法,而且又是许多病毒、蠕虫、黑客攻击(如Session Hijacking联机劫夺、Man-in-The-Middle中间人攻击)经常使用的基本工具。因此,如果是可以由二层交换器来侦测及阻挡防御最为恰当,一方面可以不需要支付昂贵的IPS入侵侦测器的成本,而且可从网络最底层从事非法ARP的侦测及阻挡防御,根本解决ARP衍伸的负面攻击。
[align=center][img]http://net.it365.com/imagelist/2008/084/56j0t0zy09nds.jpg[/img][/align]
NBAD switch是目前笔者了解市面上具备有ARP攻击防卫较完整的[url=http://solution.it365.com/][color=#03399b]解决方案[/color][/url]。NBAD switch设计上是属于二层的交换器,主要应用在局域网络底层的布署,一方面提供正常网络封包的基本交换功能,另ㄧ方面也同时解决网络攻击或流量异常的侦测,以实时反应边际端的异常状况,并减轻负荷、保护企业核心网络。NBAD switch基本上提供了ARP扫描侦测 (xarp scan detection)、ARP异常侦测 (xarp anomaly detection) 及ARP攻击侦测 (xarp attack detection)三种防护装置。ARP扫描侦测主要目的是侦测LAN内部arp扫描行为,ARP异常侦测- 则是侦测LAN内部哪些用户送一些不合法封包,ARP攻击侦测- 主要目的是侦测出哪些用户遭受攻击,并找出攻击来源。藉由利用这些侦测(detection), NBAD switch 可以检测出PC开始攻击前的异常行为,并送出通知让PC了解可能是因为中毒正准备蓄意对外攻击。如果该PC正式对外攻击,NBAD switch会立即侦测到并通知管理者攻击者、被攻击者是谁,因此可以采取快速反应的动作。
NBAD sensor设计的目的、布署的方式与NBAD switch不同,NBAD switch 主要布署于新建或者是全面更新的局域网络上,而NBAD sensor则是布署于暨有已存在的局域网络上侧听的侦测器,主要目的除了可以映像(mirror)方式侧听(sniffer)网络上是否有异常ARP 欺骗攻击的封包之外,也可收集、侦测、防御MAC/IP绑定的管理,有效解决局域网络内IP冲突与病毒攻击问题。
结语
ARP Spoofing Attack确实在局域网中具有极大的威胁,而且ARP攻击的手法也越来越精湛,由broadcast 转向Unicast 使得一般的侦测器或防火墙无法做出有效而广泛的侦测,而如果想要扫描整体网络ARP的攻击显然就必须要依赖交换器基础的解决方案,在局域网建立的时候,依赖交换器主动侦测是否又异常ARP讯息,经由内建芯片过滤一旦发现异常ARP封包便可自动封锁并通知网络管理者,有效处理「欺骗位置解析协议攻击(ARP Spoofing Attack)」造成的局域网瘫痪这一棘手的问题。
页: [1]
查看完整版本: ARP攻击手段详解以及整体预防防治方案
Powered by Discuz! Archiver 5.5.0 © 2001-2006 Comsenz Inc.