您所在的位置:网络安全 > 黑客攻防 > 黑客专区 > ARP攻击 > 战术攻防之近距离搏击篇(ARP)攻击(1)

战术攻防之近距离搏击篇(ARP)攻击(1)

2010-10-07 20:57 紫天星 博客 字号:T | T
一键收藏,随时查看,分享好友!

SANS公布2001来自于内部入侵攻击虽然只占30%左右,然而产生的危害也最大,因此局域网络的入侵和渗透更具有实足的硝烟气息。利用二层链路上ARP协议漏洞而产生的各种攻击方式无疑是局部网络战争最精妙的特技。

AD:

生活在网络时代里,我们的生活里多了黑客这样一群神秘人物。传说中他们放荡不羁,崇尚自我并行事诡异,搅动着整个网络命脉,使其生机无限。然而现实中,他们超然的生活于我们周围。假想在一间忙碌的Office中,每个员工在自己狭窄的工作空间中埋头于自己手头的事物;能听到的声音是手指在键盘挥舞的呵咔声和此起彼伏的电话铃,有谁有注意到那狭窄的个人空间里,思维的放任超乎寻常。飞快的手指间,各种指令和运作的程序队列般的游行着。表面上似乎一切都正常,然而,或许那里正进行着激烈的电子对抗……。

SANS公布2001来自于内部入侵攻击虽然只占30%左右,然而产生的危害也最大,因此局域网络的入侵和渗透更具有实足的硝烟气息。利用二层链路上ARP协议漏洞而产生的各种攻击方式无疑是局部网络战争最精妙的特技。

一、 基础知识预备

精巧程序的后面藏匿着简单的原理和聪颖的智慧。为了顺利阐述ARP本身的协议漏洞以及后面将要阐述的各种ARP攻击思维(同时,我必须顾及那些初次接触网络的朋友,以致不挫伤他们对网络攻击防御的兴趣),我们将粗浅的概览ARP协议和相关的网络链路层的一些概念。

ARP(Address Resolution Protocol)简称地址解析协议,主要用于把以太网卡硬件地址和IP地址捆绑起来。当主机之间发生通信要求,则ARP协议通过广播请求/单播回应方式建立主机间通信连接。大家熟悉的IP地址采用32位长度,在以太局域网中网卡设备地址是48位长度(也称为MAC地址)。一张称为ARP缓存的表单用于维护MAC地址和其所对应的IP地址的相关性。ARP则提供用于在网络设备间进行地址转换和创造MAC-IP相关性的协议规则。

网络链路层的建立通信关系的准则:网络主机A欲与网络主机C建立通信连接,主机A在网络中广播ARP的请求数据包(REQUEST),如图一:

主机A欲与IP地址为192.168.1.3的目标主机通信,则发送的广播的数据包中包含本身的IP地址、网卡的MAC地址、目标主机的IP地址以及广播MAC地址(FF-FF-FF-FF-FF-FF)。

(注:Mac地址是媒体接入层上使用的地址,直观的概念就是网卡的物理地址,Mac地址一般都采用6字节48bit。)

主机C接收到ARP的REQUEST广播包,发现目标地址中IP地址与自身IP地址一致,接收该数据请求,并作出响应。

从图二中,可以看到主机C发现主A的ARP请求符合要求,在自身ARP缓存表中添加主机A的IP-MAC绑定映像记录,并发送单播ARP回应数据包(RELAY)给主机A。主机A接收到回应数据包,更新其ARP缓存表记录,绑定主机C的IP-MAC映像记录。至此,二层通信关系建立完毕。而网络中其他主机则忽略此请求包。

这种关系可以类似于情景会话↓

主机A:嗨,谁主机的IP地址是192.168.1.3?

主机B:嗨,我主机地址是192.168.1.3,我的门牌号是00-50-56-C0-08,记得来找我啊。

其他主机:NO,这不是我的IP地址。

从原理分析发觉ARP本身是无类协议,本身不能携带任何状态信息。因此ARP协议不能进行任何认证,这样就导致协议本身具有安全威胁性。造成这种安全威胁的历史原因在于:早先的网络创造者们是在一个平和自由的环境中设计ARP协议,因而安全问题在当时几乎是琐碎的事情。然而网络集聚膨胀,破坏性攻击和入侵事件的增加,使得ARP协议脆弱不堪。

了解ARP工作原理之后,可以得出:大部分网络系统中的ARP缓存列表根据所接收的ARP REPLAY数据包动态增加或更新缓存表中IP-MAC映射记录。根据这样一条简单规则,我们将看到各种绚丽的入侵和攻击手法。

内容导航
 第 1 页:基础知识预备  第 2 页:MAC泛洪攻击
 第 3 页:ARP欺骗行为  第 4 页:ARP攻击进阶
 第 5 页:具体入侵实例  第 6 页:安全防御建议



分享到:

热点职位

更多>>

热点专题

更多>>

读书

大师品软件——软件之痛与应对之道
这并不是一本传统的技术专著,因为它并没有包含一行代码,而更像是一部技术评论。作者通过幽默诙谐而又不失辛辣的语言,从程序员

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院