[原创]ARP攻击与防范初探

yzz163

原文（附图）：
http://zxdz.8800.org/htmldata/5/ ... gFanChuTan76_1.html

http://zxdz.8800.org  欢迎访问振兴电子网站

ARP攻击与防范初探
作者：yzz163  
E-mail:yuzhenzhong@tom.com

一、常用攻击方法分析

1、用伪造源MAC地址发送ARP请求包，造成IP地址冲突或系统崩溃
　　网卡驱动程序发送以太帧时不检查源MAC地址是否和网卡EEPOROM里的MAC地址相同。因此，攻击者可以修改系统的MAC地址，还可以发送伪造源MAC地址的ARP包，使跟踪者无法利用源MAC地址找到攻击者。
　　（注：有些网卡可用程序烧录EEPOROM，修改MAC地址。如一些RTL8139网卡）
　　用winarp1.50分别对Win98和WinXP进行ARP Flood攻击测试，Win98立即崩溃重启，另一台WinXP(2G 512MB)在2分钟以后停止响应，停止攻击1分钟后系统逐渐恢复正常。
　　通过对winarp1.50、局域网终结者1.0等抓包观察，发现都是向网络发送以下格式的ARP请求包（广播包）进行攻击的。



图1

　　该包对192.168.0.1的主机进行IP地址冲突攻击，目标主机收到后即弹出“IP地址冲突”对话框，当包发送量达到一定数值后会使目标崩溃或停止响应。
　　其中，局域网终结者1.0伪造的源地址MAC以0006开头，winarp1.50是010101010101。有篇文章介绍只要将被攻击主机的MAC地址改为伪造的源MAC地址即可避开攻击，如果这样做了，那整个网段主机的MAC地址就都是相同的了！

2、用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击
　　每个主机都用一个A R P高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。高速缓存中的每一条记录（条目）的生存时间一般为20分钟，起始时间从被创建时开始算起。
　　默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。
　　因此，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
　　用Sniffer Pro对网络执法官抓包可发现其阻断a、b两台主机网络通信的方法是：不断向a 、b两台主机发送伪造源地址的虚假的响应包，从而使a、 b主机arp高速缓存中对应与的IP-MAC条目改变（将原来正确的MAC地址改为不存在的MAC地址），致使两台主机无法通信。
　　下面是网络执法官冒充a主机向b主机发送伪造的ARP响应包，它使b主机的ARP缓存由正确的192.168.0.1 00e04cf28001修改为错误的192.168.0.1 00e04cf28090条目，致使b主机无法和a主机通信。

a、b主机的真实地址：

a= 192.168.0.1 00e04cf28001       b=192.168.0.2  00e01890e2d3



图2

同时网络执法官还冒充b主机向a主机发送伪造的ARP响应包,使a、b两个主机中都保存了对方错误(伪造)的ARP条目。通过观察发现网络执法官伪造的源地址和真实MAC地址十分接近，它只修改了后面三个字节。
　　网络执法官为了“管理”网络，有规律的发出ARP请求包来询问网络上存活的主机或从应答中找出是否有主机不匹配先前的IP-MAC。因此，我们可以从这些请求包的源MAC地址(大量的源MAC地址相同，目的IP为本网段)来定位安装了网络执法官的机器，以避免滥用。

二、防范

1、使用静态ARP缓存（应急办法）
　　用arp -s命令在各主机上绑定网关的IP和MAC地址，同时在网关上绑定各主机的IP和MAC地址的方法。
　　如果是WIN主机可编写一个批处理文件rarp.bat内容如下：（其中192.168.16.254 00-22-aa-00-22-aa是网关的IP和MAC地址）
　　@echo off
　　arp -d
　　arp -s 192.168.16.254 00-22-aa-00-22-aa
　　将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
　　将这个批处理软件拖到“windows--开始--程序--启动”中。

arp 命令简介：
　　arp –a ：显示ARP高速缓存中所有的内容
　　arp –d [IP地址 MAC地址]：删除指定的IP-MAC条目，若不指定就清空ARP高速缓存
　　arp –s [IP地址 MAC地址] ：手工设置IP-MAC静态条目
　　（注：在不同的系统中，手工设置的arp静态条目是有区别的。在linux和win2000中，静态条目不会因为伪造的arp响应包而改变，而动态条目会改变。而在win98中，手工设置的静态条目会因为收到伪造的arp响应包而改变。）
　　使用静态ARP缓存增大了网络维护量，在较大的网络或经常移动主机的网络中这样做更为困难。使用静态ARP缓存只能防止ARP欺骗，对IP地址冲突、Flood攻击仍然没有办法阻止，因此不推荐这样做。

2、用可防ARP攻击的交换机（彻底防治，推荐）
　　使用三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。

[ 本帖最后由 yzz163 于 2006-5-29 16:52 编辑 ]

yzz163

已加入图片。

老老鼠

这2个方法都有其不完善的地方

yzz163

这2个方法都有其不完善的地方
-----------------

你有什么好方法？

个人认为用交换机是最有效的方法，一可以查到源头；二可已自动限制ARP流量，阻止该端口访问网络；三划分VLAN将APR广播包限定在虚拟子网内。

[ 本帖最后由 yzz163 于 2006-6-1 00:43 编辑 ]

老老鼠

原帖由 yzz163 于 2006-6-1 00:41 发表
这2个方法都有其不完善的地方
-----------------

你有什么好方法？

个人认为用交换机是最有效的方法，一可以查到源头；二可已自动限制ARP流量，阻止该端口访问网络；三划分VLAN将APR广播包限定在虚拟子网内。

就是没好方法啊，我问过cisco和foundry的厂家工程师，看看能不能有IOS升级来做些防范，暂时看来是做不到。
交换机限制在小一点的网络内还可以，可是几百台以上级别的交换机来做MAC管理，你想象一下那工作量吧……

yzz163

可是几百台以上级别的交换机来做MAC管理，你想象一下那工作量吧……
----------------------------------

我看了一些管理型交换机的资料，不需要手工设MAC，它和普通交换机一样有学习功能，并且能自动限制APR包流量。

bug_4ever

根本就做不到防范
现在都是 darp协议
照抄7年前的文章，呵呵

yzz163

照抄7年前的文章，呵呵
-----------------------

照抄的那里的？

以上的测试是我在家里两台机器测试的。

测试的工具：网络执法官、局域网终结者、winarp、网络剪刀手等都是在小凤居下的。

这些测试和这篇文章的初稿在半年前开始的，由于时间问题没有发表，也许和大虾们以前的文章有类似的。

欢迎访问我的小站。
http://zxdz.8800.org

rainyuers

不错的文章

hejiajun

我照樓主的方法一做了，不起作用啊，局域網內有人不停的制造IP沖突，估計也是用了網絡執法官的軟件，看到IP沖突的提示就煩啊，大伙救救我吧，我快要跳樓了