ARP欺骗和防御手段.docx

ARP 欺骗与防御手段神州数码网络公司目录1. ARP 欺骗 31.1. ARP 协议工作原理 31.2. ARP 协议的缺陷 31.3. ARP 协议报文格式 41.4. ARP 攻击的种类 51.4.1. ARP 网关欺骗 51.4.2. ARP 主机欺骗 61.4.3. 网段扫描 81.ARP 欺骗在与用户的沟通过程中，感觉到用户的网络管理人员最头痛也是频繁出现的问题就是 ARP的病毒攻击问题在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重 的，会造成网络丢包、不能访问网关、IP地址冲突等等多台设备短时间内发送大量ARP 报文还会引起设备的 CPU 利用率上升，严重时可能会引起核心设备的宕机如何解决ARP攻击的问题呢？首先要从ARP攻击的原理开始分析1.1. ARP协议工作原理在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址而在 以太网中数据包是靠48位MAC地址（物理地址）寻址的因此，必须建立IP地址与MAC 地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目 标IP对应的MAC地址，如果找不到，就发一个ARP request广播包，请求具有该IP地址 的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cache。

ARP cache 有老化机制1.2・ARP协议的缺陷ARP 协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全它是 无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答， 只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply）, 都会接受并缓存这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影 响网内结点的通信，甚至可以做“中间人”1.3・ARP协议报文格式66222目地MAC地址源MAC地址帧类型硬件类型协议类型11264硬件地址长度协议地址长度类型发送端MAC地址发送端IP地址64接收端MAC地址接收端IP地址报文的前两个字段分别为目地MAC地址和源MAC地址，长度共12个字节当报文 中，目地MAC地址为全1 （FF:FF:FF:FF:FF:FF）时候，代表为二层广播报文同一个广播 域的主机均会收到第三个字段是帧类型，长度2个字节对于ARP报文，这个字段的值为“0806” 接下来两个2字节的字段表示硬件地址类型和对应映射的协议类型硬件地址类型值为“0001”代表以太网地址。

协议类型值为“0800”代表IP地址 后跟两个 1 字节的字段表示硬件地址长度和协议地址长度这两个字段具体数值分别为 “6”和“4”代表硬件地址长度使用6字节表示和协议地址长度使用4字节表示类型字段，长度2个字节这个字段的值表示出ARP报文属于那种操作ARP请求（值 为“01”，ARP应答（值为“02”），RARP请求（值为“03”）和RARP应答（值为“04”）最后四个字段为发送端MAC地址、发送端IP地址、接收端MAC地址、接收端IP地 址其中，发送端MAC地址与字段2的源MAC地址重复1.4・ARP攻击的种类针对ARP攻击的不同目地，可以把ARP攻击分为网关欺骗、主机欺骗、MAC地址扫 描几类下面分析一下每种ARP攻击使用的方法和报文格式1.4.1. ARP 网关欺骗在ARP的攻击中，网关欺骗是一种比较常见的攻击方法通过伪装的ARP Request报 文或Reply报文到修改PC机网关的MAC-IP对照表的目地造成PC机不能访问网关，将 本应发向网关的数据报文发往被修改的MAC地址网关欺骗的报文格式：主要参数：（被欺骗主机的 MAC 地址）（网关更改的虚假MAC地址）ARP 的请求报文）Destination Address ：00:0B:CD:61:C1:26Source Address ：00:01:01:01:01:01Type ： 1Source Physics ：00:01:01:01:01:01Source IP ：211.68.199.1Destination Physics ：00:0B:CD:61:C1:26Destination IP ：211.68.99.101按上面的格式制作的数据包会对MAC地址为00:0B:CD:61:Cl:26的主机发起网关欺骗,将这台PC机的网关211.68.199.1对应的MAC地址修改为00:01:01:01:01:01这个伪装的MAC 地址。

可以看到，上面这个网关欺骗的报文为单播ARP请求报文（Reply类同，在此不做详 细介绍）直接针对目地主机对于这样的报文，唯有将它在进入端口的时候丢弃，才能保 证网络当中的PC机不会受到这样的攻击1.4.2. ARP 主机欺骗ARP主机欺骗的最终目地是修改PC机或交换机设备的MAC表项将原本正确的表项 修改为错误的MAC地址最终导致PC机不能访问网络ARP主机欺骗可以使用单播报文实现也可以使用广播报文实现 使用单播报文：藪数据包列表数据包編号时间差源目标丈小摘要20.10000000:01:01:01:01:0100：10：C6：DD：A6：28AR.F1E斗211.68.199.101 is at 00:01:01:01:01:01详细解码编辑Packet 工nfo:P ack et- Ni-unti e r:Packet. Leni^t.hzC apture L engt-h: 时间差Ethernet-工工 Hea.derMSjDe st inat- i on Addre s s:■国目 Sui.irce Address:P x- ut u c u 1:MLP - address ResolutionProtocol国占占SHardwar e 七yp e :P r ■:■ t ■:■ c ■:■ 1 Typ e：:■■ © Hardware Address Letiijrt-li： © Prot■:■ c■:■ 1 Address Let114t.l1: Type：:…團目 Sourcp Physics:…g Sourcp IP:…蜀目 D est mat i on Phy si c s:…g Destination IP:Extra. Data.:00000264600.100000 秒[0/14]00:10:C6:DD:A6:28[0/6]00:01:01:01:01:01[6/6]0x0806[1Z/Z][14/ZS]iEtherneti [14/Z]OkOQOO[16/E]6[18/1]4[iy/i]ZCARP Respond)[ZO/Z]001 oii 01： m： m： m[22/6]211.68.199.101[2S/4]00:10:C6:DD:A6:ZS[3Z/6]211.68.199.103[38/4][42/18]18 bytes [42/1 ]FCS - Frame Check Sequence:•掙 FCS:0x01.51Al.56 (匚 alculated)（被欺骗主机的MAC地址）（ 101 更改的虚假 MAC 地址）ARP 的应答报文）主要参数：Destination Address ：00:10:C6:DD:A6:28Source Address ：00:01:01:01:01:01Type ： 2Source Physics ：00:01:01:01:01:01Source IP ：211.68.199.101Destination Physics ：00:10:C6:DD:A6:28Destination IP ：211.68.99.103这个单播报文会导致211.68.199.103这台PC机将本机MAC表中的211.68.199.101对应的MAC地址更改为00:01:01:01:01:01这个错误的IP地址。

导致103发往101的数据包发到一个错误的地址广播报文：Packet-工nf o :Packet er:Packet Lsngt.li:Capture Lemjt-h: 时I可差Ethernet-工工 Hea.der期Dm st-ination Address:Source Address:1^^ P rot□c o1:ARP - Address Resolution.Protocol;Hardi.Tare t-ype ::F r ot o c o 1 Typm:\••…回 Hardwax-e Address Lenijt-h: …一㈢ Protoc■:■ 1 Address Lenizrt-h: p'1#1 Type：::■S®1 Source Pl±ysics:…“W Source IP:：■§0I Destination Physics:…” W Dest inat ion IP :Extra. Da.ta.:=■■■■{^ Muiiilier o f Eyt es:/ FCS - Frame Check Seg71en.ce:1掙Fi阳：00000464600.100000 秒[0/14]FF:FF:FF:FF:FF:FF00:10: C6:I：'D:A6: Z8 0k0806[14/28]r°00i10:C61DD1A6:£8Zll.68.199.10100:00:00:00:00:00211.68.199.103[42/18]18 t^rr.es [4Z/18][0/fe][6/6][12/E]1： Ethernet：! [14/2][16/Z][18/1][19/1](AP.P P.e-T-iest ：i [EO/Z][22/6][Z8/4][32/6][38/4]0k97858C29 (Calculated)主要参数：Destination Address ：FF:FF:FF:FF:FF:FFSource Address ：00:01:01:01:01:01Type ： 1Source Physics ：00:01:01:01:01:01Source IP ：211.68.199.101Destination Physics ：00:00:00:00:00:00Destination IP ：211.68.99.103（全 FF 的广播地址）（广播的虚假MAC地址）ARP 的请求报文）这个数据包表面上类似于正常的 ARP 请求报文，目地地址为全 F 的广播，接收端的绥数据包列表数据包編号时间差源目标协议大小摘要斗0.10000000：10：C6：DD：A6：28FF：FF：FF：FF。