ARP协议及ARP欺骗

  TCP/IP协议实现中关于主机接收ICMP重定向报文重要有下面几条限定：
  1. 新路由必须是中转的
  2. 重定向包必须来自去往目标的当前路由
  3. 重定向包不克不及通知主机用本身做路由
  4. 被改变的路由必须是一条间接路由
  由于有这些限定，所以ICMP欺骗实际上很难实现。但是我们也可以主动的凭据下面的头脑寻找一些其他的要领。更为紧张的是我们晓得了这些欺骗要领的危害性，我们就可以采取相应的防备办法。
  ARP欺骗的防备
  晓得了ARP欺骗的要领和危害，我们给出一些开端的防备要领：
  1. 不要把你的网络宁静信任关系创建在ip地点的基础上或硬件mac地点基础上，（rarp异样存在欺骗的问题），抱负的关系应该创建在ip+mac基础上。
  2. 设置静态的mac-->ip对应表，不要让主机革新你设定好的转换表。
  3. 除非很有须要，否则停止使用ARP，将ARP做为永世条款生存在对应表中。在linux下可以用ifconfig -arp可以使网卡驱动程序停止使用ARP。
  4. 使用署理网关发送外出的通讯。
  5. 修改系统拒收ICMP重定向报文 在linux下可以经过在防火墙上回绝ICMP重定向报文大概是修改内核选项重新编译内核来回绝接收ICMP重定向报文。 在win2000下可以经过防火墙和IP计谋回绝接收ICMP报文。
  署理ARP的应用
  署理ARP有两大应用,一个是有利的便是我们在防火墙实现中常说的通明形式的实现,另一个是无害的便是经过它可以到达在交换环境中举行嗅探的目标.由此可见异样一种技能被应用于不同的目标,效果是不一样的.
  我们先来看交换环境中局域网的嗅探.
  通常在局域网环境中，我们都是经过交换环境的网打开彀的。在交换环境中使用NetXray大概NAI Sniffer一类的嗅探东西除了抓到本身的包以外，是不克不及看到其他主机的网络通信的。
  但是我们可以经过利用ARP欺骗可以实现Sniffer的目标。
  ARP协议是将IP地点解析为MAC地点的协议，局域网中的通信都是基于MAC地点的。
  图4 交换网络中的ARP欺骗
  如图4所示，三台主机位于一个交换网络的环境中，其中A是网关：
  A: ip地点 192.168.0.1 硬件地点 AA:AA:AA:AA:AA
  B: ip地点 192.168.0.2 硬件地点 BB:BB:BB:BB:BB
  C：ip地点 192.168.0.3 硬件地点 CC:CC:CC:CC:CC
  在局域网中192.168.0.2和192.168.0.3都是经过网关192.168.0.1上彀的，假定攻击者的系统为192.168.0.2，他希望听到192.168.0.3的通信，那么我们就可以利用ARP欺骗实现。
  这种欺骗的中间准绳便是arp署理的应用.主机A是局域网中的署理办事器,局域网中每个节点的向外的通信都要经过它.主机B想要听主机C的通信,它必要先使用ARP欺骗,让主机C认为它便是主机A,这个工夫它发一个IP地点为192.168.0.1,物理地点为BB:BB:BB:BB:BB:BB的ARP响应包给主机C,如许主机C会把发往主机A的包发往主机B.同理,还要让网关A信赖它便是主机C,向网关A发送一个IP地点为192.168.0.3,物理地点为BB:BB:BB:BB:BB:BB的包。
  下面这一步的操纵和后面的ARP欺骗的原理是一样的,但是还是有问题,过一段工夫主机B会发明本身无法上彀.所以下面另有一个步骤便是必要在主机B上转发从主机A到主机C的包,并且转发从主机C到主机A的包.现在我们可以看到其实主机B在主机A和主机C的通讯中起到了一个署理的作用,这便是为什么叫做ARP署理的缘故原由。
  详细实现要用到两个东西dsniff和fragrouter,dsniff用来实现ARP欺骗,fragroute用来举行包的转发。
  首先利用dsniff中的arpspoof来实现ARP欺骗,dsniff软件可以在下面的网址下载:
  http://naughty.monkey.org/~dugsong/dsniff
  安置这个软件包之前先要下载安置libnet。
  欺骗192.168.0.3，告诉这台机器网关192.168.0.1的MAC地点是192.168.0.2的MAC地点.
  [root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.3 192.168.0.1
  欺骗192.168.0.1，告诉192.168.0.1主机192.168.0.3的MAC地点是192.168.0.2的MAC地点。
  [root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.3
  现在我们曾经完成了第一步的欺骗,这个欺骗是经过arpspoof来完成的,当然您也可以使用另外东西甚至本身发包来完成.现在我们可以看到在主机A和主机C的arp列表里面都完成了我们必要的工作.在背面的通明署理中我们将使用另外一种不同的理念。
  下面我们先打开linux系统中的转发包的选项:
  [root@sound /root]# echo "1" >/proc/sys/net/ipv4/ip_forward
  下面我们可以下载大名鼎鼎的dugsong的另外一个东西fragroute,这个东西以前叫做fragrouter(仅有1字的差别)重要用于实现入侵检测系统处理分片的ip和tcp包功能的检测,本身自代包转发的功能.可以到下面的网站下载:
  http://monkey.org/~dugsong/fragroute/
  安置这个软件包之前先要下载安置libpcap和libevent.
  当然我们也可以使用fragrouter来完成:
  http://www.packetstormsecurity.org/groups/%20w00w00/sectools/fragrouter/
  [root@sound fragrouter-1.6]# ./fragrouter -B1
  fragrouter: base-1: normal IP forwarding
  现在就可以实现在交换局域网中嗅探的目标.当然下面这些只是一些原理性的先容,在真正的使用中会遇到很多的问题,比如怎样实现对网关A和主机C的欺骗,以及怎样处理大概出现的播送风暴问题,这些可以在理论中学习.另有一个叫arpsniff的东西能够很方便的完成这一功能,很多网站都提供下载,界面比较友爱,由于和下面的原理一样,只是东西使用上的不同并且添加了一些附加的功能,所以这里不在举行先容。
  署理ARP的另外一个应用便是防火墙的通明署理的实现.我们都晓得早期的防火墙多数是基于路由形式,也便是防火墙要完成一个路由的作用.这种接入方法必要在局域网内的主机上设置防火墙的IP为署理,并且必要在外部路由器的路由表中参加一条指向防火墙的路由.这种方法的缺点在于不通明,必要举行过多的设置,并且破坏了原有的网络拓扑.所以现在几乎全部的防火墙都实现了一种通明接入的功能,用户的路由器和客户端不消做任何修改,用户甚至感觉不到通明接入方法防火墙的存在.这种通明接入的原理便是ARP署理。
  我们现在看怎样设置装备摆设一台主机作为通明接入形式的防火墙(通明接入的防火墙不用要IP)：
  图5
  如图5所示,一台防火墙连接内部网段和DMZ网段到外部路由.我们在这台用作防火墙的主机上使用linux操纵系统,如许我们可以方便的使用iptables防火墙.假定三块网卡为eth0,eth1和eth2,eth0和路由器相连,eth1和内网相连.eth2和外网相连.假定DMZ区有2台办事器.
  内网地点:192.168.1.0/24
  DMZ地点:192.168.1.2---192.168.1.3
  路由器的ip地点:192.168.1.1
  eth0:AA:AA:AA:AA:AA:AA
  eth1:BB:BB:BB:BB:BB:BB
  eth2:CC:CC:CC:CC:CC:CC
  和后面差未几,第一步必要实现ARP欺骗,这次我们有个简单的实现.我们把路由器的IP地点和防火墙的eth1和eth2的网卡物理地点绑定,将内网和DMZ网段的IP地点和eth0的网卡绑定,在linux系统上我们用arp下令实现:
  arp -s 192.168.1.1 BB:BB:BB:BB:BB:BB
  arp -s 192.168.1.1 CC:CC:CC:CC:CC:CC
  arp -s 192.168.1.0/24 AA:AA:AA:AA:AA:AA
  第二步我们必要在基于linux的防火墙上设置路由,把目标地点是外部路由的包转发到eth0,把目标地点为内网的包转发到eth1,把目标地点是DMZ网段办事器的包转发到eth2.在linux下面用route下令实现
  route add 192.168.1.1 dev eth0
  ROUTE ADD -NET 192.168.1.0/24 DEV ETH1
  route add 192.168.1.2 dev eth2
  route add 192.168.1.3 dev eth3
  (针对DMZ网段里面的每台办事器都要增长一条独自的路由) 现在我们就曾经实现了一个简单的arp署理的通明接入,当然对应于防火墙的iptables部分要另外设置装备摆设,iptables的设置装备摆设不在本文范畴之内。
  小结
  本文先容了ARP协议以及与其相干的宁静问题。一个紧张的宁静问题便是ARP欺骗，我们讲到了统一网段的ARP欺骗以及跨网段的ARP欺骗和ICMP重定向相联合的要领。由于有这些宁静问题的存在，我们给出一些最基本的解决办法。末了谈到了利用署理ARP实现在交换网络中嗅探和防火墙的通明接入。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：