如何解决企业同网段ARP欺骗分析及防御问题？

ZDNET安全频道 09月17日 综合消息： 在实现TCP/IP协议的网络环境下，一个IP包走到哪里、要怎么走是靠路由表定义的，但是，当IP包到达该网络后，哪台机器响应这个IP包却是靠 该IP包中所包含的硬件MAC地址来识别的。也就是说，只有机器的硬件MAC地址和该IP包中的硬件MAC地址相同的机器才会应答这个IP包，因为在网络 中，每一台主机都会有发送IP包的时候，所以，在每台主机的内存中，都有一个arp--〉硬件MAC的转换表。通常是动态的转换表(该arp表可以手工添 加静态条目)。也就是说，该对应表会被主机在一定的时间间隔后刷新。这个时间间隔就是ARP高速缓存的超时时间。通常主机在发送一个IP包之前，它要到该 转换表中寻找和IP包对应的硬件MAC地址，如果没有找到，该主机就发送一个ARP广播包，于是，主机刷新自己的ARP缓存。然后发出该IP包。

了解这些常识后，现在就可以介绍在以太网络中ARP欺骗是如何产生了，可以看看如下一个例子。

同网段ARP欺骗分析

如下所示，三台主机的IP地址和MAC地址分布如下：

A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA;

B: IP地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB;

C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC。

一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系(开放23端口(telnet))。而他必须要使用telnet来进入主机A，这个时候他应该如何处理呢?

入侵者必须让主机A相信主机B就是主机C，如果主机A和主机C之间的信任关系是建立在IP地址之上的。如果单单把主机B的IP地址改的和主机C的一 样，那是不能工作的，至少不能可靠地工作。如果你告诉以太网卡设备驱动程序，自己IP是192.168.0.3，那么这只是一种纯粹的竞争关系，并不能达 到目标。我们可以先研究C这台机器，如果我们能让这台机器暂时当掉，竞争关系就可以解除，这个还是有可能实现的。在机器C宕掉的同时，将机器B的IP地址 改为192.168.0.3，这样就可以成功的通过23端口telnet到机器A上面，而成功的绕过防火墙的限制。

上面的这种想法在下面的情况下是没有作用的，如果主机A和主机C之间的信任关系是建立在硬件地址的基础上。这个时候还需要用ARP欺骗的手段，让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址。

我们可以人为地制造一个arp_reply的响应包，发送给想要欺骗的主机，这是可以实现的，因为协议并没有规定必须在接收到arp_echo后才可以发送响应包。这样的工具很多，我们也可以直接用Wireshark抓一个arp响应包，然后进行修改。

可以人为地制造这个包。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址。这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的。

下面是具体的步骤：

他先研究192.0.0.3这台主机，发现这台主机的漏洞。

根据发现的漏洞使主机C宕掉，暂时停止工作。

这段时间里，入侵者把自己的IP改成192.0.0.3。

他用工具发一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A，要求主机A更新自己的ARP转换表。

主机更新了ARP表中关于主机C的IP-->MAC对应关系。

防火墙失效了，入侵的IP变成合法的MAC地址，可以telnet了。

上面就是一个ARP的欺骗过程，这是在同网段发生的情况，但是，提醒注意的是，在B和C处于不同网段的时候，上面的方法是不起作用的。