IDC中心的ARP攻击与防御解决方案20121236185045625.docVIP

IDC中心的ARP攻击与防御解决方案1 引言 　　ARP攻击在各大数据中心(IDC中心)泛滥,使得国内众多机房或网络运营商深恶痛绝。由于其攻击的特性,它可以导致被攻击网站或服务器的无法访问,或者使访问者访问其他错误网址或接收到错误信息,直接危害着企业的利益。因此,ARP欺骗攻击严重影响了IDC中心的正常运行和信息安全,如何进行防范及清楚ARP病毒已成为网络管理者迫切需要解决的问题。 　　 　　2 ARP工作原理 　　ARP(Address Resolution Protocol)是地址解析协议,提供了从IP地址到物理地址的映射。即通过已知的网络层(IP层,也就是相当于OSI的第三层)地址获得数据链路层(MAC层,也就是相当于OSI的第二层)的MAC地址。 　　ARP工作原理:主机A向主机B发送报文,会首先查询本地的ARP缓存表,通过B的IP地址找到对应的MAC地址后,就会进行数据传输。如果未找到,则A会广播一个 ARP请求报文(此报文中包含主机A的IP地址到物理地址的映射及主机B的IP地址),请求主机B回答其物理地址。网上所有主机包括B都收到该ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。 　　 　　3 IDC中常见ARP欺骗攻击方式 　　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP地址到MAC地址映射。如果IDC的托管主机受到 ARP 病毒感染或是被黑客控制了,就可能出现了 ARP 欺骗攻击 。通常,被感染或被控制的主机会向本网段广播伪造的 ARP 信息,这会导致同网段的其它托管主机或是网关的 ARP 表出现混乱,会造成这些主机无法进行正常通信,更有甚者则会导致这些主机上的通信被监听或窃取事件的发生等等问题。 　　3.1 欺骗攻击 　　这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机。便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由。 　　(1)相同网段ARP欺骗 　　此种欺骗攻击通常会伪造一个ARP_REPLY的响应包发送给欲欺骗主机,人为指定该数据包中的源IP,目标IP,源MAC地址,目标MAC地址。通过此虚假的ARP响应包修改欲欺骗主机的ARP缓存,达到欺骗目的。以图1为例说明相同网段间ARP欺骗过程。 　　主机C欲非法入侵主机B,下面是具体的步骤: 　　主机C首先研究与主机B正常通信的主机A,发现主机A漏洞。 　　根据主机A的漏洞,使其暂时停止工作。 　　主机C将自己IP地址改为。 　　主机C向主机B发送一个ARP响应包,其中源IP地址为,源MAC地址为CC:CC:CC:CC:CC:CC,要求主机B更新ARP缓存中IP地址到MAC地址的映射表. 　　主机B更新了自己的ARP缓存。 　　主机C成功入侵主机B。 　　以上为一个在同网段内的ARP欺骗过程。 　　(2)不同网段ARP欺骗 　　 如主机A与主机C在不同网段,上面的方法则不起作用。以图2为例说明不同网段间ARP欺骗过程。 　　在现在的情况下,位于192.168.1网段的主机C如何冒充主机B欺骗主机A呢?显然用上面的办法的话,即使欺骗成功,那么由主机C和主机A之间也无法建立telnet会话,因为路由器不会把主机A发给主机B的包向外转发,路由器会发现地址在192.168.0.这个网段之内。 　　现在就涉及到另外一种欺骗方式——ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。 　　ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤: 　　主机C需将自己发出的非法IP包的存活时间改成最大。 　　寻找主机B的漏洞使其暂时停止工作。 　　当主机A找不到原来的后,将更新自己的ARP对应表。此时,主机C发送一个原IP地址为,MAC地址为CC:CC:CC:CC:CC:CC的ARP响应包。 　　现在每台主机都知道了,一个新的MAC地址对应,一个A