[原创]ARP攻击与防范初探

lsym

呵呵,偶一直在等待这个问题的比较有效的方法,顶了,希望大家有什么意见都能发出来

hejiajun

頂上去，期待好的解決方法，同樓的不知那個sb一直在搞IP沖突。

lsym

转自  http://www.dvbbs.net/news/4/2006042553319.asp我不想对此发表任何意见,因为偶搜索到太多一样内容不一样作者的版本了,弄得不知道谁是真正的作者,郁闷......
一、理论前提

本着“不冤枉好人，不放过一个坏人的原则”，先说说我的一些想法和理论依据。首先，大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊，废话！)。这就假设，如果犯罪嫌疑人没有启动这个破坏程序的时候，网络环境是正常的，或者说网络的ARP环境是正常的，如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间，一开始就发现了他的犯罪活动，那么就是人赃俱在，不可抵赖了，因为刚才提到，前面网络正常的时候证据是可信和可依靠的。好，接下来我们谈论如何在第一时间发现他的犯罪活动。

ARP欺骗的原理如下：

假设这样一个网络，一个Hub接了3台机器

HostA HostB HostC 其中

A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情况下 C:\arp -a

Interface: 192.168.10.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

现在假设HostB开始了罪恶的ARP欺骗：

B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3（C的IP地址）和无效的DD-DD-DD-DD-DD-DD mac地址，没有和犯罪分子B相关的证据，哈哈，这样犯罪分子岂不乐死了。

现在A机器的ARP缓存更新了：

C:\>arp -a

Interface: 192.168.10.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

这可不是小事。局域网的网络流通可不是根据IP地址进行，而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192.168.10.3，网卡递交的MAC地址是DD-DD-DD-DD-DD-DD，结果是什么呢？网络不通，A根本不能Ping通C！！

所以，局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包，NND，严重的网络堵塞就开始了！网吧管理员的噩梦开始了。我的目标和任务，就是第一时间，抓住他。不过从刚才的表述好像犯罪分子完美的利用了以太网的缺陷，掩盖了自己的罪行。但其实，以上方法也有留下了蛛丝马迹。尽管，ARP数据包没有留下HostB的地址，但是，承载这个ARP包的ethernet帧却包含了HostB的源地址。而且，正常情况下ethernet数据帧中，帧头中的MAC源地址/目标地址应该和帧数据包中ARP信息配对，这样的ARP包才算是正确的。如果不正确，肯定是假冒的包，可以提醒！但如果匹配的话，也不一定代表正确，说不定伪造者也考虑到了这一步，而伪造出符合格式要求，但内容假冒的ARP数据包。不过这样也没关系，只要网关这里拥有本网段所有MAC地址的网卡数据库，如果和Mac数据库中数据不匹配也是假冒的ARP数据包。也能提醒犯罪分子动手了。


二、防范措施

1. 建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

2. 建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

3. 网关机器关闭ARP动态刷新的过程，使用静态路邮，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。

网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：

192.168.2.32 08:00:4E:B0:24:47

然后再/etc/rc.d/rc.local最后添加：

arp -f 生效即可

4. 网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警，查这些数据包（以太网数据包）的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

5. 偷偷摸摸的走到那台机器，看看使用人是否故意，还是被任放了什么木马程序陷害的。如果后者，不声不响的找个借口支开他，拔掉网线(不关机,特别要看看Win98里的计划任务)，看看机器的当前使用记录和运行情况，确定是否是在攻击。


出几点加强安全防范的措施。环境是主机或者网关是基于Linux/BSD的。

[ 本帖最后由 lsym 于 2006-6-5 16:53 编辑 ]

yzz163

1. 建立DHCP服务器
------------------------------

这有用吗?用户自己填IP就会造成IP冲突.

2.2. 建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。
--------------------------------------
这个不错,但在无网管的交换机里只能是一个"记录单","以便以后查询"。
如果你有一个网管型交换机,就可用它做IP+MAC+端口绑定,从此安静了...但是工作量太大,如果你的网里有好多本本走来走去,你只有不停的绑来绑去...

3. 网关机器关闭ARP动态刷新的过程，使用静态路
-----------------------------
同上，可起到保护网关的作用，但工作量太大

4. 网关监听网络安全。
-----------------------------
意义不大。
当然对传奇倒号等想冒充网关的木马是可以查处的，因为冒充网关的机器必须发送自己真实的MAC。
对纯粹用ARP搞破坏的来说无用，因为他没必要发送自己真实的MAC，源MAC全是伪造的。
详细细节看我的抓包分析。

5. 偷偷摸摸的走到那台机器，看看使用人是否故意，还是被任放了什么木马程序陷害的。如果后者，不声不响的找个借口支开他，拔掉网线(不关机,特别要看看Win98里的计划任务)，看看机器的当前使用记录和运行情况，确定是否是在攻击。
-------------------
很好笑，但很实用。
另补充一点：看交换机的灯，如果你发现一台平常流量不大（交换机的灯闪亮不频繁）的机器，突然连续几天交换机的灯都长时间不停的闪，可能有问题。（我用这个方法找到了几台中毒的机器）

小结一下：
1、在小的、流动性不大的网络里用网管型交换机绑定IP+MAC+端口，开启交换机端口静态MAC表，拒绝所有未在静态MAC表里登记的帧的转发，开启包流量限制，阻止过量的ARP广播包在网内转发。
2、在大型网络里，对关键机器（服务器）参考上述方法。对普通用户采用多种方式：如PPPoE认证+Vlan(可每用户一个虚拟子网)。

yzz163

回九楼：

我照樓主的方法一做了，不起作用啊，局域網內有人不停的制造IP沖突，估計也是用了網絡執法官的軟件，看到IP沖突的提示就煩啊，大伙救救我吧，我快要跳樓了
-----------------------------------------------------------
通过观察发现网络执法官伪造的源地址和真实MAC地址十分接近，它只修改了后面三个字节。
　　网络执法官为了“管理”网络，有规律的发出ARP请求包来询问网络上存活的主机或从应答中找出是否有主机不匹配先前的IP-MAC。因此，我们可以从这些请求包的源MAC地址(大量的源MAC地址相同，目的IP为本网段)来定位安装了网络执法官的机器，以避免滥用。

上面这段你看了吗？如果你会抓包，应该不难发现内网里谁在用网络执法官。当然你要有真实的MAC+IP表来比对，应该很快找到他。

ddcrystal

有篇文章介绍只要将被攻击主机的MAC地址改为伪造的源MAC地址即可避开攻击，如果这样做了，那整个网段主机的MAC地址就都是相同的了！

这样的arp攻击一次只能攻击一台机器吧

bingosek

原帖由 老老鼠 于 2006-6-1 12:18 发表



就是没好方法啊，我问过cisco和foundry的厂家工程师，看看能不能有IOS升级来做些防范，暂时看来是做不到。
交换机限制在小一点的网络内还可以，可是几百台以上级别的交换机来做MAC管理，你想象一下那工作量 ...

谁说不可以的，你用pvlan或mac filter就可以做！只不过对网关的攻击比较麻烦点，要使用cisco的ip source guard

rainren

没用！

一般简单的arp攻击使用antiarp绑网关能防， 但如果对方每秒非常多的假ARP给你，可直接让你断网。

我试过arpfree攻击自己另一台机， 一开始就让它上不了网。除非它断网改MAC后才能上网！

yzz163

般简单的arp攻击使用antiarp绑网关能防， 但如果对方每秒非常多的假ARP给你，可直接让你断网。
--------------------------------
的确是这样。
我看到一些网管型交换机上有防ARP和限制广播包转发功能，可能有用，但最近还没有时间测试。

george_young

已经看到有狂人在内网建立PPPOE SERVER，分配用户名，密码用，PPPOE  CLIENT 拨号了。
据说效果明显。完全根治。