ARP协议及欺骗原理

　　3.2 不同网段的ARP欺骗

图3 不同网段之间的ARP欺骗

　　如图3所示A、C位于同一网段而主机B位于另一网段，三台机器的ip地址和硬件地址如下：

　　A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA

　　B: ip地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB

　　C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC

　　在现在的情况下，位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢？显然用上面的办法的话，即使欺骗成功，那么由主机B和主机A之间也无法建立telnet会话，因为路由器不会把主机A发给主机B的包向外转发，路由器会发现地址在192.168.0.这个网段之内。

　　现在就涉及到另外一种欺骗方式―ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

　　什么是ICMP重定向呢？

　　ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发。

　　我们可以利用ICMP重定向报文达到欺骗的目的。

　　下面是结合ARP欺骗和ICMP重定向进行攻击的步骤：

　　1.为了使自己发出的非法ip包能在网络上能够存活长久一点，开始修改ip包的生存时间ttl为下面的过程中可能带来的问题做准备。把ttl改成255. (ttl定义一个ip包如果在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充足的广播)

　　2.下载一个可以自由制作各种包的工具（例如hping2）

　　3.然后和上面一样，寻找主机C的漏洞按照这个漏洞当掉主机C。

　　4.在该网络的主机找不到原来的192.0.0.3后，将更新自己的ARP对应表。于是他发送一个原ip地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。

　　5.好了，现在每台主机都知道了，一个新的MAC地址对应192.0.0.3,一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。

　　6.自己定制一个ICMP重定向包告诉网络中的主机："到192.0.0.3的路由最短路径不是局域网，而是路由，请主机重定向你们的路由路径，把所有到192.0.0.3的ip包丢给路由。"

　　7.主机A接受这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3的通讯都丢给路由器。

　　8.入侵者终于可以在路由外收到来自路由内的主机的ip包了，他可以开始telnet到主机的23口。

　　其实上面的想法只是一种理想话的情况，主机许可接收的ICMP重定向包其实有很多的限制条件，这些条件使ICMP重定向变的非常困难。

　　TCP/IP协议实现中关于主机接收ICMP重定向报文主要有下面几条限制：

　　1.新路由必须是直达的

　　2.重定向包必须来自去往目标的当前路由

　　3.重定向包不能通知主机用自己做路由

　　4.被改变的路由必须是一条间接路由

　　由于有这些限制，所以ICMP欺骗实际上很难实现。但是我们也可以主动的根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性，我们就可以采取相应的防御办法。

　　3.3 ARP欺骗的防御

　　知道了ARP欺骗的方法和危害，我们给出一些初步的防御方法：

　　1.不要把你的网络安全信任关系建立在ip地址的基础上或硬件mac地址基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。

　　2.设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。

　　3.除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。在linux下可以用ifconfig -arp可以使网卡驱动程序停止使用ARP。

　　4.使用代理网关发送外出的通讯。

　　5.修改系统拒收ICMP重定向报文

　　在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。

　　在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。

　　4 代理ARP的应用

　　代理ARP有两大应用,一个是有利的就是我们在防火墙实现中常说的透明模式的实现,另一个是有害的就是通过它可以达到在交换环境中进行嗅探的目的.由此可见同样一种技术被应用于不同的目的,效果是不一样的.

　　我们先来看交换环境中局域网的嗅探.

　　通常在局域网环境中，我们都是通过交换环境的网关上网的。在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外，是不能看到其他主机的网络通信的。

　　但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。

　　ARP协议是将IP地址解析为MAC地址的协议，局域网中的通信都是基于MAC地址的。

图4 交换网络中的ARP欺骗

　　如图4所示，三台主机位于一个交换网络的环境中，其中A是网关：

　　A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA

　　B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB

　　C：ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC

　　在局域网中192.168.0.2和192.168.0.3都是通过网关192.168.0.1上网的，假定攻击者的系统为192.168.0.2，他希望听到192.168.0.3的通信，那么我们就可以利用ARP欺骗实现。

　　这种欺骗的中心原则就是arp代理的应用.主机A是局域网中的代理服务器,局域网中每个节点的向外的通信都要通过它.主机B想要听主机C的通信,它需要先使用ARP欺骗,让主机C认为它就是主机A,这个时候它发一个IP地址为192.168.0.1,物理地址为BB:BB:BB:BB:BB:BB的ARP响应包给主机C,这样主机C会把发往主机A的包发往主机B.同理,还要让网关A相信它就是主机C,向网关A发送一个IP地址为192.168.0.3,物理地址为BB:BB:BB:BB:BB:BB的包.

　　上面这一步的操作和前面的ARP欺骗的原理是一样的,但是还是有问题,过一段时间主机B会发现自己无法上网.所以下面还有一个步骤就是需要在主机B上转发从主机A到主机C的包,并且转发从主机C到主机A的包.现在我们可以看到其实主机B在主机A和主机C的通讯中起到了一个代理的作用,这就是为什么叫做ARP代理的原因.

　　具体实现要用到两个工具dsniff和fragrouter,dsniff用来实现ARP欺骗,fragroute用来进行包的转发.

　　首先利用dsniff中的arpspoof来实现ARP欺骗,dsniff软件可以在下面的网址下载:

　　http://naughty.monkey.org/~dugsong/dsniff

　　安装这个软件包之前先要下载安装libnet.

　　欺骗192.168.0.3，告诉这台机器网关192.168.0.1的MAC地址是192.168.0.2的MAC地址.

　　[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.3 192.168.0.1

　　欺骗192.168.0.1，告诉192.168.0.1主机192.168.0.3的MAC地址是192.168.0.2的MAC地址。

　　[root@sound dsniff-2.3]# ./arpspoof -i eth0 -t 192.168.0.1 192.168.0.3

　　现在我们已经完成了第一步的欺骗,这个欺骗是通过arpspoof来完成的,当然您也可以使用别的工具甚至自己发包来完成.现在我们可以看到在主机A和主机C的arp列表里面都完成了我们需要的工作.在后面的透明代理中我们将使用另外一种不同的理念.

　　下面我们先打开linux系统中的转发包的选项:

　　[root@sound /root]# echo "1" >/proc/sys/net/ipv4/ip_forward

　　下面我们可以下载大名鼎鼎的dugsong的另外一个工具fragroute,这个工具以前叫做fragrouter(仅有1字的差别)主要用于实现入侵检测系统处理分片的ip和tcp包功能的检测,本身自代包转发的功能.可以到下面的网站下载:

　　安装这个软件包之前先要下载安装libpcap和libevent.

　　当然我们也可以使用fragrouter来完成:

　　http://www.packetstormsecurity.org/groups/w00w00/sectools/fragrouter/

　　[root@sound fragrouter-1.6]# ./fragrouter -B1

　　fragrouter: base-1: normal IP forwarding

　　现在就可以实现在交换局域网中嗅探的目标.当然上面这些只是一些原理性的介绍,在真正的使用中会遇到很多的问题,比如如何实现对网关A和主机C的欺骗,以及如何处理可能出现的广播风暴问题,这些可以在实践中学习.还有一个叫arpsniff的工具能够很方便的完成这一功能,很多网站都提供下载,界面比较友好,由于和上面的原理一样,只是工具使用上的不同并且添加了一些附加的功能,所以这里不在进行介绍.

　　代理ARP的另外一个应用就是防火墙的透明代理的实现.我们都知道早期的防火墙大都是基于路由模式,也就是防火墙要完成一个路由的作用.这种接入方式需要在局域网内的主机上设置防火墙的IP为代理,而且需要在外部路由器的路由表中加入一条指向防火墙的路由.这种方式的缺点在于不透明,需要进行过多的设置,并且破坏了原有的网络拓扑.所以现在几乎全部的防火墙都实现了一种透明接入的功能,用户的路由器和客户端不用做任何修改,用户甚至感觉不到透明接入方式防火墙的存在.这种透明接入的原理就是ARP代理.

　　我们现在看如何配置一台主机作为透明接入模式的防火墙(透明接入的防火墙不需要IP),

图5

　　如图5所示,一台防火墙连接内部网段和DMZ网段到外部路由.我们在这台用作防火墙的主机上使用linux操作系统,这样我们可以方便的使用iptables防火墙.假设三块网卡为eth0,eth1和eth2,eth0和路由器相连,eth1和内网相连.eth2和外网相连.假设DMZ区有2台服务器.

　　内网地址:192.168.1.0/24

　　DMZ地址:192.168.1.2---192.168.1.3

　　路由器的ip地址:192.168.1.1

　　eth0:AA:AA:AA:AA:AA:AA

　　eth1:BB:BB:BB:BB:BB:BB

　　eth2:CC:CC:CC:CC:CC:CC

　　和前面差不多,第一步需要实现ARP欺骗,这次我们有个简单的实现.我们把路由器的IP地址和防火墙的eth1和eth2的网卡物理地址绑定,将内网和DMZ网段的IP地址和eth0的网卡绑定,在linux系统上我们用arp命令实现:

　　arp -s 192.168.1.1 BB:BB:BB:BB:BB:BB

　　arp -s 192.168.1.1 CC:CC:CC:CC:CC:CC

　　arp -s 192.168.1.0/24 AA:AA:AA:AA:AA:AA

　　第二部我们需要在基于linux的防火墙上设置路由,把目标地址是外部路由的包转发到eth0,把目标地址为内网的包转发到eth1,把目标地址是DMZ网段服务器的包转发到eth2.在linux下面用route命令实现

　　route add 192.168.1.1 dev eth0

　　route add -net 192.168.1.0/24 dev eth1

　　route add 192.168.1.2 dev eth2

　　route add 192.168.1.3 dev eth3

　　(针对DMZ网段里面的每台服务器都要增加一条单独的路由) 现在我们就已经实现了一个简单的arp代理的透明接入,当然对应于防火墙的iptables部分要另外配置,iptables的配置不在本文范畴之内.

　　小结

　　本文介绍了ARP协议以及与其相关的安全问题。一个重要的安全问题就是ARP欺骗，我们讲到了同一网段的ARP欺骗以及跨网段的ARP欺骗和ICMP重定向相结合的方法。由于有这些安全问题的存在，我们给出一些最基本的解决办法。最后谈到了利用代理ARP实现在交换网络中嗅探和防火墙的透明接入。