|
ARP病毒的攻擊原理分析
(作者未知) 2010/5/19
ARP病毒的攻擊原理分析
摘要:最近校局域網(wǎng)中ARP病毒頻繁發(fā)作,給校內(nèi)用戶造成不便���。本文從ARP協(xié)議入手,深入分析了ARP安全漏洞及病毒攻擊原理,并對ARP欺騙的原理與攻擊方式做了深入的研究,闡明了ARP病毒欺騙的過程,給用戶提出解決這個問題的方法。
關(guān)鍵詞:網(wǎng)絡(luò)協(xié)議 IP地址 ARP病毒
1. 引言
從上半年開始在學校的局域網(wǎng)爆發(fā)了“ARP欺騙”木馬病毒,病毒發(fā)作時其癥狀表現(xiàn)為計算機網(wǎng)絡(luò)連接正常,能登陸成功卻無法打開網(wǎng)頁,極大地影響了局域網(wǎng)用戶的正常使用。
2. ARP協(xié)議的工作原理
在以太網(wǎng)中傳輸?shù)臄?shù)據(jù)包是以太包,而以太包的尋址是依據(jù)其首部的MAC地址��。僅僅知道某主機的IP地址并不能讓內(nèi)核發(fā)送一幀數(shù)據(jù)給此主機,內(nèi)核必須知道目的主機的MAC地址才能發(fā)送數(shù)據(jù)��。ARP協(xié)議的作用就是在于把32位的IP地址變換成48位的以太地址���。
在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址,IP地址與MAC對應(yīng)的關(guān)系依靠ARP緩存表,每臺主機(包括網(wǎng)關(guān))都有一個ARP緩存表。在正常情況下這個緩存表能夠有效保證數(shù)據(jù)傳輸?shù)囊粚σ恍�����。我們可以在命令行窗口?輸入命令A(yù)RP -A,進行查看,輸入命令A(yù)RP -D進行刷新���。
當數(shù)據(jù)源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時,會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址,如果存在,就直接將數(shù)據(jù)包發(fā)送到這個MAC地址;如果不存在,就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包,詢問目的主機的IP所對應(yīng)的MAC地址����。網(wǎng)絡(luò)中所有的主機收到這個ARP請求后,會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致��。如果不一致就不作回應(yīng);如果一致,該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已經(jīng)存在該IP的信息,則將其覆蓋,后給數(shù)據(jù)源主機發(fā)送一個ARP響應(yīng)數(shù)據(jù)包,告訴對方自己是它需要查找的MAC地址;源主機收到這個ARP響應(yīng)數(shù)據(jù)包后,將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息開始數(shù)據(jù)的傳輸���。若數(shù)據(jù)源主機一直沒有收到ARP響應(yīng)數(shù)據(jù)包,表示ARP查詢失敗�����。
3. ARP病毒的欺騙原理和欺騙過程
ARP欺騙的目的就是為了實現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽,大部分的木馬或病毒使用ARP欺騙攻擊也是為了達到這個目的��。
假設(shè)一個只有三臺電腦組成的局域網(wǎng),該局域網(wǎng)由交換機(Switch)連接�。其中一個電腦名叫A,代表攻擊方;一臺電腦叫S,代表源主機,即發(fā)送數(shù)據(jù)的電腦;令一臺電腦名叫D,代表目的主機,即接收數(shù)據(jù)的電腦�����。這三臺電腦的IP地址分別為:192.168.0.2,192.168.0.3,192.168.0.4,MAC地址分別為:MAC-A,MAC-S,MAC-D�����。
現(xiàn)在,S電腦要給D電腦發(fā)送數(shù)據(jù),則要先查詢自身的ARP緩存表,查看里面是否有192.168.0.4這臺電腦的MAC地址,如果有,就將MAC-D封裝在數(shù)據(jù)包的外面,直接發(fā)送出去即可�����。如果沒有,S電腦便向全網(wǎng)絡(luò)發(fā)送一個這樣的ARP廣播包:S的IP是192.168.0.3,硬件地址是MAC-S,要求返回IP地址為192.168.0.4的主機的硬件地址����。而D電腦接受到該廣播,經(jīng)核實IP地址,則將自身的IP地址和MAC-D地址返回到S電腦。現(xiàn)在S電腦可以在要發(fā)送的數(shù)據(jù)包上貼上目的地址MAC-D發(fā)送出去,同時它還會動態(tài)更新自身的ARP緩存表,將192.168.0.4-MAC-D這一條記錄添加進去,這樣,等S電腦下次再給D電腦發(fā)送數(shù)據(jù)的時候,發(fā)送ARP廣播包進行查詢了����。這就是正常情況下的數(shù)據(jù)包發(fā)送過程���。
但是,上述數(shù)據(jù)發(fā)送機制有一個致命的缺陷,即它是建立在對局域網(wǎng)中電腦全部信任的基礎(chǔ)上的,也就是說它的假設(shè)前提是:無論局域網(wǎng)中哪臺電腦,其發(fā)送的ARP數(shù)據(jù)包都是正確的。比如在上述數(shù)據(jù)發(fā)送中,當S電腦向全網(wǎng)詢問后,D電腦也回應(yīng)了自己的正確MAC地址�����。但是當此時,A電腦卻返回了D電腦的IP地址和和自己的硬件地址��。由于A電腦不停地發(fā)送這樣的應(yīng)答數(shù)據(jù)包,則會導致S電腦又重新動態(tài)更新自身的ARP緩存表,這回記錄成:192.168.0.4與MAC-A對應(yīng),我們把這步叫做ARP緩存表中毒��。這樣,就導致以后凡是S電腦要發(fā)送給D電腦,都將會發(fā)送給A主機�����。也就是說,A電腦就劫持了由S電腦發(fā)送給D電腦的數(shù)據(jù)���。這就是ARP欺騙的過程�����。
如果A電腦不冒充D電腦,而是冒充網(wǎng)關(guān),那后果會更加嚴重�����。一個局域網(wǎng)中的電腦要連接外網(wǎng),都要經(jīng)過局域網(wǎng)中的網(wǎng)關(guān)進行轉(zhuǎn)發(fā)�����。在局域網(wǎng)中,網(wǎng)關(guān)的IP地址假如為192.168.0.1���。如果A電腦向全網(wǎng)不停的發(fā)送IP地址是192.168(未完,下一頁)
|