朱凱

昆明理工大學津橋?qū)W院 云南 650106

0 前言

人為實施通常是指使用一些黑客的工具對網(wǎng)絡(luò)進行掃描和嗅探，獲取管理賬戶和相關(guān)密碼，在網(wǎng)絡(luò)上安插木馬，從而進行進一步竊取機密文件。攻擊和欺騙過程往往比較隱蔽和安靜，但對于信息安全要求高的企業(yè)危害是極大的。而來自木馬或者病毒及蠕蟲的攻擊和往往會偏離攻擊和欺騙本身的目的，現(xiàn)象有時非常直接，會帶來網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過高、二層生成樹環(huán)路直至網(wǎng)絡(luò)癱瘓。

目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用，而目前企業(yè)在部署這方面的防范還存在很多不足，有很多工作要做。

下面部分主要針對目前非常典型的二層攻擊和欺騙說明如何在思科交換機上組合運用和部署 Dynamic ARP Inspection (DAI)技術(shù)，從而實現(xiàn)防止在交換環(huán)境中實施“中間人”攻擊、地址欺騙等，更具意義的是通過Dynamic ARP Inspection (DAI)技術(shù)的部署可以簡化地址管理，直接跟蹤用戶IP和對應的交換機端口；防止IP地址沖突。同時對于大多數(shù)對二層網(wǎng)絡(luò)造成很大危害的具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。

1 MITM(Man-In-The-Middle)攻擊原理

按照ARP協(xié)議的設(shè)計，為了減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，一個主機，即使收到的ARP應答并非自己請求得到的，它也會將其插入到自己的ARP緩存表中，這樣，就造成了“ ARP 欺騙”的可能。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機之間的通信(即使是通過交換機相連)，他會分別給這兩臺主機發(fā)送一個ARP應答包，讓兩臺主機都“誤”認為對方的MAC地址是第三方的黑客所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。在這種嗅探方式中，黑客所在主機是不需要設(shè)置網(wǎng)卡的混雜模式的，因為通信雙方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機的。

這里舉個例子，假定同一個局域網(wǎng)內(nèi)，有3臺主機通過交換機相連，通過ipconfig /all查看配置如下：

A 主機：IP 地址為 192.168.0.1，MAC 地址為 01：01：01：01：01：01；

B 主機：IP 地址為 192.168.0.2，MAC 地址為 02：02：02：02：02：02；

C 主機：IP 地址為 192.168.0.3，MAC 地址為 03：03：03：03：03：03。

B主機對A和C進行欺騙的前奏就是發(fā)送假的ARP應答包，如圖1所示。在收到B主機發(fā)來的ARP應答后，A主機應知道。

圖1 MITM攻擊示意圖

到 192.168.0.3的數(shù)據(jù)包應該發(fā)到 MAC地址為020202020202的主機；C主機也知道：到192.168.0.1的數(shù)據(jù)包應該發(fā)到MAC地址為020202020202的主機。這樣，A和C都認為對方的MAC地址是020202020202，實際上這就是B主機所需得到的結(jié)果。當然，因為ARP緩存表項是動態(tài)更新的，其中動態(tài)生成的映射有個生命期，一般是兩分鐘，如果再沒有新的信息更新，ARP映射項會自動去除。所以，B還有一個“任務”，那就是一直連續(xù)不斷地向A和C發(fā)送這種虛假的ARP響應包，讓其ARP緩存中一直保持被毒害的映射表項。

現(xiàn)在，如果A和C要進行通信，實際上彼此發(fā)送的數(shù)據(jù)包都會先到達B主機，這時，如果B不做進一步處理，A和C之間的通信就無法正常建立，B也就達不到“嗅探”通信內(nèi)容的目的，因此，B要對“錯誤”收到的數(shù)據(jù)包進行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的內(nèi)容，無非是將目的MAC和源MAC地址進行替換。如此一來，在A和C看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達對方的，但在B來看，自己擔當?shù)木褪恰暗谌摺钡慕巧?。這種嗅探方法，也被稱作“Man-In-The-Middle”的方法(如圖2所示)。

圖2 嗅探方法示意圖

2 攻擊實例

目前利用ARP原理編制的工具十分簡單易用，這些工具可以直接嗅探和分析 FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超過30種應用的密碼和傳輸內(nèi)容。下面是測試時利用工具捕獲的TELNET過程，捕獲內(nèi)容包含了TELNET密碼和全部所傳的內(nèi)容：

不僅僅是以上特定應用的數(shù)據(jù)，利用中間人攻擊者可將監(jiān)控到數(shù)據(jù)直接發(fā)給 SNIFFER等嗅探器，這樣就可以監(jiān)控所有被欺騙用戶的數(shù)據(jù)。

還有些人利用ARP原理開發(fā)出網(wǎng)管工具，隨時切斷指定用戶的連接。這些工具流傳到搗亂者手里極易使網(wǎng)絡(luò)變得不穩(wěn)定，通常這些故障很難排查(圖3)。

圖3 攻擊實例

3 防范方法

思科 Dynamic ARP Inspection (DAI)在交換機上提供IP地址和 MAC地址的綁定，并動態(tài)建立綁定關(guān)系。DAI以DHCP Snooping綁定表為基礎(chǔ)，對于沒有使用DHCP的服務器個別機器可以采用靜態(tài)添加ARP access-list實現(xiàn)。DAI配置針對VLAN，對于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉。通過DAI可以控制某個端口的ARP請求報文數(shù)量。通過這些技術(shù)可以防范“中間人”攻擊。

4 配置示例

本文中的信息創(chuàng)建于一個特定實驗室環(huán)境中的設(shè)備。本文檔中使用的所有的設(shè)備開始使用一個缺省(默認)配置。

[1]王倩.高校機房ARP病毒的攻擊與防范[J].電子制作.2013.

[2]楊建平.SSL中間人攻擊對策研究[J].電腦知識與技術(shù).2012.

[3]王京智,洪觀甫.IP偽裝技術(shù)分析[J].信息安全與技術(shù).2012.

[4]孫莉.淺談構(gòu)建中小規(guī)模無線網(wǎng)絡(luò)解決方案[J]科技經(jīng)濟市場.2011.

[5]陶松.試探網(wǎng)絡(luò)攻擊常用手段[J].電腦編程技巧與維護.2010.

[6]曹振麗,張海峰,井閩,馬濤,趙軍偉.計算機網(wǎng)絡(luò)安全及其防范技術(shù)[J].中國教育信息化.2008.

[7]趙磊.淺談網(wǎng)絡(luò)安全中“蜜罐”技術(shù)的應用[J].科技咨詢導報.2006.

[8]鄭文兵.李成忠.ARP欺騙原理及一種防范算法[J]江南大學學報.2003.