ARP欺骗的深入研究.docx

??

?

??

ARP欺骗的深入研究

?

?

?

?

?

??

?

?

?

徐国天（中国刑警学院，辽宁沈阳110854）

摘要：本文阐述了普通ARP欺骗攻击的原理和防御方法，详细介绍了针对网关实施的“halfarpspoof，攻击，阐述了这种攻击所能导致的危害。深入分析了基于“halfarpsp。。f攻击的“即时通信监听”和“DNS欺骗”。深入分析了中间人攻击是如何盗取网上银行账户信息的。

关键词：ARP;监听；中间人；网上银行

TP393.08：A：1671-1122(2010)12-0022-03

近年来ARP欺骗给局域网的安全管理工作造成了严重的危害，断网、泄密和挂马事件时有发生。为了预防ARP欺骗，局域网管理员通常会在每台主机上预先绑定网关的lP地址和MAC地址，这种方法确实在一定程度上保护了局域网安全，断网等事件不在发生。但网络并没有彻底安全，仍面临着“HalfArpSpoof”攻击威胁，本文将对这种攻击进行深入分析。ARP欺骗对网上银行的数字证书安全机制构成威胁，攻击者可以在局域网内利用ARP欺骗，破解网上银行的加密通信数据，从中获得客户的帐户信息。本文也将对这类攻击进行深入分析。

1通常针对网关实施的ARP欺骗攻击及其防御方法

ARP欺骗攻击对局域网安全构成严重威胁，下面以图1所示的网络环境为例对这种攻击进行说明，黑客和主机l通过一台交换机与网关连接，网关与外部因特网直接连接，图1给出了网关、黑客和主机1的IP地址和MAC地址。

首先，黑客对主机l实施ARP欺骗，修改主机l的ARP缓存表，使得网关的IP()映射为黑客的MAC(OO-Of-e2-le-3a-d0)。接着，黑客对网关实施ARP欺骗、修改网关的ARP缓存表，使得主机1的lP()映射为黑客的MAC（OO-Of-e2-Ie-3a-d0）。这样一来，主机1与外部因特网之间的通信数据都要经过黑客主机中转，通信面临着泄露隐私、被恶意篡改，等等风险。

为了防御针对网关实施的ARP欺骗攻击，通常局域网管理员会在主机端进行静态地址绑定，以图1为例，在主机l的ARP缓存表中添加一条静态绑定记录，将网关的lP()映射为正确的MAC（00-0。-29-d9-48-90）。这样一来，主机1在受到ARP欺骗时不会产生错误的网关IP和MAC映射关系。这种措施可以在一定程度上防御ARP欺骗攻击，但是针对网关实施的“HalfArpSpoof”攻击仍然可以突破这种防御、对网络发起攻击。

2针对网关实施的“HalfArpSpoof”攻击

以图l为例，由于主机1预先绑定了网关的lP和MAC，因此黑客对主机1的ARP欺骗没有成功，但对网关的ARP欺骗却成功进行了，攻击导致网关的ARP缓存表中主机l的IP映射为黑客的MAC。下面具体分析这种攻击带来的结果。

由于主机1未受到ARP欺骗攻击，因此主机1发给因特网的通信数据正常提交给网关，由网关向外界转发。当因特网返回的数据到达网关时，由于网关的ARP缓存表记录的是错误的映射关系，网关误认为主机1的MAC地址是OO-Of-e2-le-3a-d0（黑客的MAC地址），因此返回数据被提交给黑客。黑客可以恶意修改返回数据或从中提取出敏感信息，然后将返回数据转发给主机1。整个攻击过程主机1没有任何察觉，发出的数据正常经过网关转发，但返回数据要经过黑客主机中转，这就是针对网关实施的“HalfArpSpoof”攻击。通过分析我们发现主机端虽然进行了静态地址绑定，但“HalfArpSpoof”攻击仍然可以实施。

3“HalfArpSpoof”攻击导致的危害

利用“HalfArpSpoof”攻击可以达到以下目的。(1)信息窃取：黑客可以从中转的通信数据中提取出敏感信息，例如用户的邮件内容、聊天信息，等等。(2)DNS欺骗：攻击者修改DNS响应报文的lP地址，将用户引导至某个恶意站点，这个站点可能含有木马、病毒、恶意广告等有害信息。(3)信息篡改：信息篡改就是在一次正常的通信过程中，入侵者作为第三方参与到其中，入侵者可以冒充一方主机，插入会话，传送虚假篡改后数据。下面举例分析“HalfArpSpoof”攻击导致的危害。

3.1监听即时通信

以图1为例，主机1与主机2通过MSN进行聊天。黑客对网关实施了“HalfArpSpoof”攻击，进而可以监听主机2返回给主机1的MSN通信数据。图2是黑客截获的MSN通信报文。该报文的源MAC地址(OO-Oc-29-d9-48-90)是网关的MAC地址，目的MAC（OO-Of-e2-le-3a-d0）是黑客的MAC地址，这使得该报文能够被交换机正常转发给黑客。报文的源IP地址(03)是MSN服务器的IP，目的IP()是主机1的IP，从