91精品国产福利在线观看雪梨 ,亚洲欧美日韩国产精品一区

您當(dāng)前所在位置：首頁 → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → Arp反欺騙策略

Arp反欺騙策略 時(shí)間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評(píng)論(0): ??? 近來與Arp相關(guān)惡意軟件越來越猖獗，受害者的也不少，國內(nèi)的各大殺毒廠商也紛紛推出Arp防火墻。但大部分防火墻虛有其表，原因下面會(huì)具體介紹。這篇文章不是科普，主要是思路，更想起到拋磚引玉的作用。讓世界清靜一點(diǎn)。此外，從從未接觸到熟悉Arp協(xié)議到寫出Arp欺騙和反欺騙的test code，前前后后也不過一個(gè)星期多一點(diǎn)的時(shí)間。經(jīng)驗(yàn)有限，疏漏之處，再所難免，各位見諒。

??? Arp協(xié)議和Arp欺騙這里就不做介紹了。網(wǎng)絡(luò)這方面的文章比比皆是。

??? 為了便于理解，下面構(gòu)造一些名詞：

??? 假如局域網(wǎng)內(nèi)，有網(wǎng)關(guān)，發(fā)起欺騙的主機(jī)(以下簡稱欺騙主機(jī))，受騙主機(jī)

??? 雙向欺騙：欺騙主機(jī)使得網(wǎng)關(guān)認(rèn)為欺騙主機(jī)是受騙主機(jī)同時(shí)讓受騙主機(jī)認(rèn)為欺騙主機(jī)是網(wǎng)關(guān);

??? 單向欺騙網(wǎng)關(guān)：欺騙主機(jī)只使網(wǎng)關(guān)認(rèn)為欺騙主機(jī)是受騙主機(jī);

??? 單向欺騙目標(biāo)主機(jī)：欺騙主機(jī)只使受騙主機(jī)認(rèn)為它是網(wǎng)關(guān);

??? Arp除了能sniffer之外，現(xiàn)在比較流行的做法就是利用Arp進(jìn)行HTTP掛馬的情況了。所以下面考慮的影響基本以這個(gè)角度的方面來衡量。

??? 由于環(huán)境不同，繼續(xù)往下分，一個(gè)機(jī)房被Arp欺騙的情，機(jī)房一般以服務(wù)器為主，對(duì)外發(fā)的數(shù)據(jù)多以http應(yīng)答包為主，此時(shí)單向欺騙目標(biāo)主機(jī)的危害比較大。另外一個(gè)普通的公司，家庭，及網(wǎng)吧之類的局域網(wǎng)環(huán)境，對(duì)外發(fā)的數(shù)據(jù)多以http請求為主，接收的數(shù)據(jù)多以http應(yīng)答包為主，此時(shí)單向欺騙網(wǎng)關(guān)危害比較大。

??? 還有的就是和網(wǎng)關(guān)有關(guān)了，網(wǎng)關(guān)簡單的先分兩種：

??? 1、支持IP和mac綁定的;

??? 2、不支持IP和mac綁定。

??? 支持IP和mac綁定的網(wǎng)關(guān)都好辦，所以這里就不討論這種情況了，主要討論不支持IP和mac綁定的情況：

??? 下面舉的例子都是Arp雙向欺騙已經(jīng)存在的情況，裝上Arp FW后FW將處理情況。

??? 第一種情況——普通公司，家庭，及網(wǎng)吧之類局域網(wǎng)環(huán)境下，網(wǎng)關(guān)不支持IP和mac綁定：

??? 先說欺騙策略，說到這里不得不提Arpspoof(以下簡稱as)，最近流行這個(gè)工具，并且開源，好分析，也確實(shí)寫的不錯(cuò)。我手頭拿到的3.1版本的源代碼。若不修改as代碼，在當(dāng)前情況下，并處在雙向欺騙時(shí)，只要把配置文件稍微改改，就能夠?qū)崿F(xiàn)利用ARP掛馬。但如果受騙主機(jī)綁定了正確網(wǎng)關(guān)的mac，就不靈了。但如果有人修改了as代碼，使其能支持gzip解碼，并且把本應(yīng)發(fā)給受害主機(jī)的包，重組并解碼然后再發(fā)給受害主機(jī)。就又能欺騙了。

??? 然后再回來看看現(xiàn)在國內(nèi)的Arp FW。比較弱的，F(xiàn)W一進(jìn)去，連正確的網(wǎng)關(guān)mac都檢測不出來，需要手動(dòng)填。好點(diǎn)的能自動(dòng)檢測正確的網(wǎng)關(guān)的mac。一般步驟是：

??? 1. 獲取當(dāng)前網(wǎng)關(guān)mac(如利用sendARP函數(shù)等等);

??? 2. 利用網(wǎng)關(guān)IP發(fā)一個(gè)廣播包，獲取網(wǎng)關(guān)的mac;

??? 3. 抓包對(duì)比，如果第一步和第二步獲得網(wǎng)關(guān)的mac相同，則認(rèn)為網(wǎng)關(guān)mac不是偽造的。如過第二步獲得兩個(gè)Arp reply，則把這兩個(gè)包與第一步的mac對(duì)比，相同的說明是偽造的。如果第二步只獲得一個(gè)Arp reply，以第二步獲得mac為準(zhǔn)。

??? 檢測到正確網(wǎng)關(guān)mac后，就靜態(tài)的綁定網(wǎng)關(guān)IP和mac，防止別人偽造網(wǎng)關(guān)。

??? 基本上都這么搞，這個(gè)思路是有缺陷的。沒錯(cuò)，是可以防的住現(xiàn)在的as。因?yàn)閍s發(fā)Arp欺騙包間隔是3s，如果不改源代碼的話。在這個(gè)的時(shí)間間隔下，這三步是有能力獲得正確的網(wǎng)關(guān)，但是如果把間隔設(shè)短，甚至沒有間隔發(fā)Arp欺騙包的話?，F(xiàn)在國內(nèi)市面上的Arp FW幾乎全都倒下。礙于面子這里就不詳細(xì)說明那些廠商。

??? 先說為什么間隔3s的話，能檢測到正確網(wǎng)關(guān)mac，在執(zhí)行第二步時(shí)，在發(fā)廣播包之前必須先發(fā)一個(gè)Arp reply給網(wǎng)關(guān)，告訴網(wǎng)關(guān)自己正確的mac，然后網(wǎng)關(guān)才能把它本身的mac發(fā)給受騙主機(jī)。這個(gè)過程必須在3s內(nèi)完成。因此如果as的spoof不設(shè)間隔的話。那么網(wǎng)關(guān)在接收了你的ip和mac之后。發(fā)起欺騙的主機(jī)馬上就去網(wǎng)關(guān)那把它改回來。這樣受騙主機(jī)雖然發(fā)了廣播包，但是網(wǎng)關(guān)根據(jù)mac，會(huì)把它本身的mac發(fā)給欺騙主機(jī)而不是發(fā)給受騙主機(jī)，這樣受騙主機(jī)依然得不到正確網(wǎng)關(guān)的mac。另外，哪怕受騙主機(jī)得到了正確的網(wǎng)關(guān)mac，也只能保證自己對(duì)外發(fā)包不受欺騙，但是收到的包還是會(huì)被欺騙的。當(dāng)然FW可以和as玩拉鋸，二者都爭先恐后的去網(wǎng)關(guān)那邊刷自己的mac。但是這樣導(dǎo)致是容易丟包。

??? 其實(shí)這種狀況還是有一個(gè)相對(duì)的解決方案。就是徹底的改頭換面掉。同時(shí)改自己的IP和mac，不論FW用什么添加ndis虛擬網(wǎng)卡，或者通過代碼直接就把當(dāng)前IP和mac替掉。獲得正確網(wǎng)關(guān)mac才有保證，否則連正確網(wǎng)關(guān)mac都拿不到。其它的就更不用說了(至于什么手動(dòng)填網(wǎng)關(guān)mac之類的。就先不討論了。知道網(wǎng)關(guān)是什么東西的用戶原沒有想象中的那么多)。

??? 說這是一個(gè)相對(duì)的解決方案，是因?yàn)榍疤崾蔷钟蚓W(wǎng)內(nèi)得有富余的IP資源。另外它還有一些弊端。就是如果有些機(jī)器關(guān)機(jī)的話，而受害者替換了它的IP之后，以后將造成沖突。當(dāng)然也是有解決方案了。比較多，這里就先不討論了。

??? 因此，先要確定哪些IP是未被使用的，可以廣播Arp request 局域網(wǎng)各個(gè)IP的mac，如果有人應(yīng)答的話說明這個(gè)IP被用，沒人應(yīng)答的話，就是富余的IP了。

??? 只要把自己的IP和mac一改,改了之后，迅速刷新網(wǎng)關(guān)，獲得正確網(wǎng)關(guān)的mac之后，可以詢問用戶是否改回來，改回來，因?yàn)闊o法避免丟包。網(wǎng)速也容易受影響。

??? 第二種關(guān)于機(jī)房Arp欺騙的情況這里就不多說，參考上面文字。有幾點(diǎn)要說明的是，機(jī)房里，外網(wǎng)IP和內(nèi)網(wǎng)IP是映射的，同時(shí)改IP和mac是會(huì)導(dǎo)致斷網(wǎng)的，有一定危險(xiǎn)性。另外獲得正確網(wǎng)關(guān)的mac后，IP和mac必須改回來。也就是說在機(jī)房這種情況下，丟包是免不了的。
關(guān)鍵詞標(biāo)簽：策略,欺騙,網(wǎng)關(guān),mac,主

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>