2010年1月6日 星期三

ARP Spoofing (ARP欺騙)

ARP Spoofing 攻擊的根本原理是因為Windows電腦中維護著一個 ARP 快取記憶體(讓你可以使用 arp 命令來查看你自己的ARP快取記憶體),並且這個ARP 快取記憶體是隨著電腦不斷的發出ARP請求和收到ARP回應而不斷的更新的, ARP 快取記憶體的目的是把機器的IP位址和MAC位址相互映射,使得IP資料包在乙太網內得順利而正確找到目的MAC位址,然後正確無誤的傳送。 如果你可以藉由發出標準的ARP請求或ARP回應來擾亂或竄改某電腦或路由器內正常的ARP表,而導致該電腦(或路由器)發出的資料包誤傳目的地,或使OSI的第二層乙太網和第三層無法連接,進而癱瘓網路,我們就稱你使用了ARP欺騙攻擊。
舉例說明: 現在有三部機器分別是機器A:IP1/MAC1、機器B:IP2/MAC2、機器C:IP3/MAC3 。現在機器B上的用戶是位駭客企圖干擾機器A或是監視SNIFFER機器A與C之間的通訊,首先他向機器A發出一個 ARP Reply,其中的目的IP位址為IP1,目的(Destination) MAC 位址為MAC1,而源(Source)IP地址為IP3,源MAC地址為 MAC2 。好了, 現在機器A更新了他的 ARP快取記憶體,並相信了IP3地址的機器的MAC地址是 MAC2 。當機器A上的管理員發出一條FTP命令時---ftp IP3,資料包被送到了Switch,Switch查看資料包中的目的地址,發現MAC為 MAC2 ,於是,他把資料包發到了機器B上,因此成功攻擊機器A。現在如果不想影響A和C之間的通信該怎麼辦?僅是sniffer監視兩者之間的通訊,你可以同時欺騙他們雙方,使用 man-in-middle攻擊,便可以達到效果 。

總之本機在傳送資料包之前,會送出一個關於查詢目的IP位址的MAC乙太網廣播包。正常情況下,只有對應目的IP的主機會以一個自己的48位元MAC主機位址unicast包來做回應,並且將該IP與MAC位址對應更新本機內ARP快取記憶體,以節約不必要的ARP通信。如果有一個中毒的電腦或是網內合法授權進行非法活動的駭客,他們是對本地網路具有寫訪問許可權,極可能這樣一台機器就會發佈虛假的ARP請求或回應通訊,欺騙其他電腦或路由器將所有通信都轉向它自己,然後它就可以扮演某些機器,或對資料流程進行修改。這樣就造成arp欺騙攻擊,影響正常的主機通信。

ARP欺騙攻擊分類基本上可以分為刻意的特定目標攻擊,及因為中毒無意的攻擎。這二種的攻擊本意有所不同,
(一)通常是利用網路下載的工具、例如網路翦刀手netcut程式 然後惡意攻擊他人並將攻擊封包偽裝以駕禍於他人,其危害常是少數特定目標,但是由於攻擊者以Unicast 包方式傳送且善於偽裝,因此網路管理員極難找出問題所在,也由於此類型程式下載容易操作簡單,近期於網路中快速擴散,造成網路管理人員極大負擔,也由於目前尚無完整機制快速偵測出此類型規則來源,因此常會使管理人員處理此類問題時疲於奔命,處理耗費時間同時效果不彰,過程中也讓網路管理人員專業能力受到極大的質疑。
(二)通常是使用者中毒後中毒軟體發送ARP欺騙封包以誤導其他人將封包送往錯誤的路徑,導致變像的攻擊使閘道受害或某用戶的遭炴,其主要的目的是造成部份或整體網路的危害

位置解析協定(Address Resolution Protocol)在區域網路中極其重要,他是屬於區域網路同ㄧ子網段內部主機對主機的傳輸或主機與路由器之間傳輸重要的協定。如果局域網內是屬於中大型網路具有多個子網路,那麼防火牆/IPS入侵偵測設備通常被設置在核心路由交換器之後根本沒有機會接觸ARP封包,因此對ARP攻擊束手無策。即使局域網內只有一個網段,防火牆/IPS入侵偵測設備兼具路由器功能也僅能偵測部分ARP廣播包,且大部分的產品如使用作業系統(如Linux)的TCP/IP Socket就難以偵測ARP數據包,因此目前的防火牆/IPS入侵偵測設備幾乎不具有即時防止「欺騙位置解析協定攻擊(ARP Spoofing Attack)」的功能,就算有也僅止於出口控制無法由網路底層第一時間阻隔此類攻擊。 [1]


解決方式之ㄧ:ARP Inspection(ARP 檢查)[2]
CISCO Dynamic ARP Inspection (DAI)在交換機上提供IP地址和MAC地址的綁定, 並動態建立綁定關系。DAI 以 DHCP Snooping綁定表為基礎,對于沒有使用DHCP的服務器個別機器可以采用靜態添加ARP access-list實現。DAI配置針對VLAN,對于同一VLAN內的接口可以開啟DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數量。所以,我認為,通過這樣的配置,可以解決ARP攻擊問題,更好的提高網絡安全性和穩定性。


References:
[1]http://forum.icst.org.tw/phpbb/viewtopic.php?t=12725
[2]http://big5.xueeu.com/html/information-3/5586tw.html

沒有留言:

張貼留言