1 ARP協(xié)議概述
IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送,但是以太網(wǎng)設(shè)備并不識別32位IP地址,它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的���。因此�,IP驅(qū)動器必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)網(wǎng)目的地址�����。在這兩種地址之間存在著某種靜態(tài)的或算法的映射�����,常常需要查看一張表����。地址解析協(xié)議(Address Resolution Protocol,ARP)就是用來確定這些映射關(guān)系的協(xié)議,位于TCP/IP協(xié)議棧中的低層�����,是 TCP/IP設(shè)計者利用以太網(wǎng)的廣播性質(zhì)設(shè)計出來的,主要特性和優(yōu)點(diǎn)是它的位址對應(yīng)關(guān)系是動態(tài)的﹐以查詢的方式來獲得 IP地址和MAC地址的對應(yīng)���。
2
ARP工作原理
2.1 ARP工作過程
1)
首先﹐每一臺主機(jī)都會在 ARP
Cache中建立一個
ARP表格﹐用來記錄 IP地址和MAC地址的對應(yīng)關(guān)系����。這個
Table的每一條信息會根據(jù)自身的存活時間遞減而最終消失﹐以確保信息的真實性。
2)
當(dāng)發(fā)送主機(jī)有一個封包要傳送給目的主機(jī)并且獲得目的主機(jī)的 IP
地址的時候﹐發(fā)送主機(jī)會先檢查自己的
ARP表格中有沒有與該
IP地址對應(yīng)的MAC地址��。如果有﹐就直接使用此地址來傳送封包﹔如果沒有﹐則向網(wǎng)絡(luò)發(fā)出一個 ARP Request廣播封包﹐查詢目的主機(jī)的MAC地址�����。這個封包會包含發(fā)送端的 IP地址和MAC地址信息����。
3)
這時﹐網(wǎng)絡(luò)上所有的主機(jī)都會收到這個廣播封包﹐會檢查封包的
IP 欄位是否和自己的 IP
地址一致��。如果不是則忽略﹔如果是則會先將發(fā)送端的MAC地址和 IP資料更新到自己的 ARP表格去﹐如果已經(jīng)有該 IP的對應(yīng)﹐則用新的信息覆蓋原來的﹔然后再回應(yīng)一個 ARP Reply封包給對方﹐告知發(fā)送主機(jī)關(guān)于自己的MAC地址﹔
4)當(dāng)發(fā)送端接到 ARP Reply之后﹐也會更新自己的 ARP表格﹔然后就可以用此記錄進(jìn)行傳送了���。
5)
如果發(fā)送端沒有得到 ARP Reply
﹐則宣告查詢失敗。
如圖1所示�����,描述了ARP廣播過程����。
2.2
ARP 的查詢過程
前面說的 ARP表格﹐只有在 TCP/IP協(xié)議被載入內(nèi)核之后才會建立﹐如果
TCP/IP協(xié)議被卸載或關(guān)閉機(jī)器﹐那么表格就會被清空﹔到下次協(xié)議載入或開機(jī)的時候再重新建立﹐而同時會向網(wǎng)絡(luò)發(fā)出一個
ARP廣播﹐告訴其它機(jī)器它的當(dāng)前地址﹐以便所有機(jī)器都能保持最正確的資料。
然而﹐ARP cache
的大小是有所限制的﹐如果超過了界限﹐那么越長時間沒被使用過渡資料就必須清理掉﹐以騰出空間來儲存更新的資料。所以﹐當(dāng)機(jī)器收到 ARP equest
封包時﹐如果查詢對象不是自己﹐則不會根據(jù)發(fā)送端位址資料來更新自己的 ARP 表格﹐而是完全忽略該封包����。同時﹐每筆存在 cache
中的資料﹐都不是永久保存的﹕每筆資料再更新的時候﹐都會被賦予一個存活倒數(shù)計時值﹐如果在倒數(shù)時間到達(dá)的時候﹐該資料就會被清掉����。然而﹐如果該資料在倒數(shù)時間到達(dá)之前被使用過﹐則計時值會被重新賦予����。
當(dāng)然了﹐ARP尚有一套機(jī)制來處理當(dāng) ARP表格資料不符合實際地址資料的狀況(例如﹐在當(dāng)前連接尚未結(jié)束前﹐收到目的端的地址資料更新消息)﹔或是目的主機(jī)太忙碌而未能回答 ARP請求等狀況����。
2.3 ARP報文格式
ARP報文被封裝在以太網(wǎng)幀頭部中傳輸�,如圖2所示,是ARP協(xié)議報文頭部格式����。
2.4 ARP高速緩存
ARP高效運(yùn)行的關(guān)鍵是由于每個主機(jī)上都有一個ARP高速緩存�,這個高速緩存放了最近Internet地址到硬件地址之間的映射記錄,高速緩存中每一項的生存時間一般為20分鐘,起始時間從被創(chuàng)建時開始算起。我們可以通過arp
-a或show arp來顯示高速緩存中所有的內(nèi)容
注意:ARP不能通過IP路由器發(fā)送廣播��,所以不能用來確定遠(yuǎn)程網(wǎng)絡(luò)設(shè)備的MAC地址�����。對于目標(biāo)主機(jī)位于遠(yuǎn)程網(wǎng)絡(luò)的情況���,IP利用ARP確定默認(rèn)網(wǎng)關(guān)(路由器)的MAC地址�,并將數(shù)據(jù)包發(fā)到默認(rèn)網(wǎng)關(guān)���,由路由器按它自己的方式轉(zhuǎn)發(fā)數(shù)據(jù)包���。
3 反向ARP
反向ARP(Reverse ARP����,RARP)用于把物理地址(MAC地址)轉(zhuǎn)換到對應(yīng)的 IP
地址�。例如�����,在無盤工作站啟動的時候����,因為無法從自身的操作系統(tǒng)獲得自己的IP地址配置信息���。這時����,無盤工作站可發(fā)送廣播請求獲得自己的IP地址信息,而RARP服務(wù)器則響應(yīng)IP請求消息-為無盤工作站分配1個未用的IP地址(通過發(fā)送RARP應(yīng)答包)���?! ?/span>
RARP在很大程度上已被BOOTP����、DHCP所替代,后面這兩種協(xié)議對RARP的改進(jìn)是可以提供除了IP地址外的其它更多的信息�,如默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器的IP地址等信息��?�!?/span>
RARP的查詢過程
首先是查詢主機(jī)向網(wǎng)絡(luò)送出一個 RARP Request廣播封包﹐向別的主機(jī)查詢自己的 IP�����。在時候﹐網(wǎng)絡(luò)上的 RARP服務(wù)器就會將發(fā)送端的 IP 地址用 RARP
Reply封包回應(yīng)給查詢者��。這樣查詢主機(jī)就獲得自己的
IP地址了�����。
不過與ARP不同的是﹐查詢主機(jī)將 RARP Request封包發(fā)送之后﹐可能得到的 RARP Reply會不止一個。因為網(wǎng)絡(luò)上可能存在不止一臺 RARP服務(wù)器(基于備份和分擔(dān)考量﹐極有可能如此設(shè)計)﹐那么﹐所有收到 RARP請求的服務(wù)器都會嘗試向查詢主機(jī)作出 RARP Reply 回應(yīng)��。如果這樣的話﹐網(wǎng)絡(luò)上將充斥這種 RARP回應(yīng)﹐做成額外的負(fù)荷。這時候﹐我們有兩種方法來解決RARP的回應(yīng)問題�����。
第一種方法﹐為每一個做 RARP 請求的主機(jī)分配一主服務(wù)器﹐正常來說﹐只有主服務(wù)器才回做出 RARP 回應(yīng)﹐其它主機(jī)只是記錄下接收到 RARP
請求的時間而已�����。假如主服務(wù)器不能順利作出回應(yīng)﹐那么查詢主機(jī)在等待逾時再次用廣播方式發(fā)送 RARP
請求﹐其它非主服務(wù)器假如在接到第一個請求后很短時間內(nèi)再收到相同請求的話﹐才會作出回應(yīng)動作�����。
第二種方法也很類似﹕正常來說﹐主服務(wù)器當(dāng)收到 RARP 請求之后﹐會直接作出回應(yīng)﹔為避免所有非主服務(wù)器同時傳回 RARP
響應(yīng)﹐每臺非主服務(wù)器都會隨機(jī)等待一段時間再作出回應(yīng)。如果主服務(wù)器未能作出回應(yīng)的話﹐查詢主機(jī)會延遲一段時間才會進(jìn)行第二次請求﹐以確保這段時間內(nèi)獲得非主服務(wù)器的回應(yīng)��。當(dāng)然﹐設(shè)計者可以精心的設(shè)計延遲時間至一個合理的間隔�。
4 代理ARP
代理ARP(PROXY
ARP)也被稱作混雜ARP(Promiscuous ARP)(RFC
925����、1027)一般被像路由器這樣的設(shè)備使用--用來代替處于另一個網(wǎng)段的主機(jī)回答本網(wǎng)段主機(jī)的ARP請求�。
下面是代理ARP的應(yīng)用之一���,如圖5所示�,主機(jī)PC1(192.168.20.66/24)需要向主機(jī)PC2(192.168.20.20/24)發(fā)送報文�����,因為主機(jī)PC1不知道子網(wǎng)的存在且和目標(biāo)主機(jī)PC2在同一主網(wǎng)絡(luò)網(wǎng)段���,所以主機(jī)PC1將發(fā)送ARP請求廣播報文請求192.168.20.20的MAC地址���。這時,路由器將識別出報文的目標(biāo)地址屬于另一個子網(wǎng)(注意�����,路由器的接口IP地址配置的是28位的掩碼)�,因此向請求主機(jī)回復(fù)自己的硬件地址(0004.dd9e.cca0)。之后��,PC1將發(fā)往PC2的數(shù)據(jù)包都發(fā)往MAC地址0004.dd9e.cca0(路由器的接口E0/0),由路由器將數(shù)據(jù)包轉(zhuǎn)發(fā)到目標(biāo)主機(jī)PC2��。(接下來路由器將為PC2做同樣的代理發(fā)送數(shù)據(jù)包的工作)��。這種ARP使得子網(wǎng)化網(wǎng)絡(luò)拓?fù)鋵τ谥鳈C(jī)來說時透明的(或者可以說是路由器以一個不真實的PC2的MAC地址欺騙了源主機(jī)PC1)���。
5 無故ARP(免費(fèi)ARP)
無故(Gratuitous
ARP�����,GARP)ARP也稱為無為ARP。主機(jī)有時會使用自己的IP地址作為目標(biāo)地址發(fā)送ARP請求�����。這種ARP請求稱為無故ARP����,GARP,主要有兩個用途:
?��。?)檢查重復(fù)地址(如果收到ARP響應(yīng)表明存在重復(fù)地址)���?���! ?br> ?。?)用于通告一個新的數(shù)據(jù)鏈路標(biāo)識。當(dāng)一個設(shè)備收到一個arp請求時��,發(fā)現(xiàn)arp緩沖區(qū)中已有發(fā)送者的IP地址���,則更新此IP地址的MAC地址條目�。
6. 應(yīng)用舉例
這里進(jìn)行的操作是在linux系統(tǒng)下進(jìn)行的,Windows環(huán)境基本相同,可以在命令窗口下輸入arp直接進(jìn)行查詢.
基本命令
arp -a [
ip-address ]:表示顯示ARP映射表�����。如果在arp -a命令中沒有指定IP地址�����,則缺省顯示全部ARP映射表��。
arp -d ip-address
: 表示刪除ARP映射項�����。
arp -s ip-address
ether-address [ temp ] :表示增加ARP映射項���。ip-address為ARP映射項的IP地址����,為點(diǎn)分十進(jìn)制格式。 ether-address為ARP映射項的以太網(wǎng)MAC地址�����,格式為XX-XX-XX-XX-XX-XX�����,其中XX為十六進(jìn)制數(shù)���。temp表示增加的映射項為臨時,有效時間為20ms���,否則將在路由器工作時間內(nèi)永遠(yuǎn)有效(可選)���。如果配置靜態(tài)映射項時沒有指定temp選項,則缺省為永遠(yuǎn)有效�。
需要注意arp靜態(tài)條目與動態(tài)條目的區(qū)別。在不同的系統(tǒng)中�����,手工設(shè)置的arp靜態(tài)條目是有區(qū)別的。在linux和win2000中�����,靜態(tài)條目不會因為偽造的arp響應(yīng)包而改變����,而動態(tài)條目會改變。而在win98中���,手工設(shè)置的靜態(tài)條目會因為收到偽造的arp響應(yīng)包而改變.
一般情況下�����,ARP映射表由動態(tài)ARP協(xié)議維護(hù)�,在特殊情況下����,才需要手工配置。另外ARP映射表只用于局域網(wǎng)內(nèi)�����,對于廣域網(wǎng)的地址解析,有其它的配置或獲取方法(如幀中繼的逆向地址解析)�����。
clear
arp-cache:清空ARP映射表����。在某些情況下,需要清空并更新ARP映射表����,這時可以用arp -d逐條刪除,也可以用clear arp-cache命令一次清空��。
show arp
:顯示ARP映射表����。
7. ARP欺騙
在實現(xiàn)TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境下,一個ip包走到哪里���,要怎么走是靠路由表定義,但是��,當(dāng)ip包到達(dá)該網(wǎng)絡(luò)后,哪臺機(jī)器響應(yīng)這個ip包卻是靠該ip包中所包含的硬件mac地址來識別�����。也就是說�,只有機(jī)器的硬件mac地址和該ip包中的硬件mac地址相同的機(jī)器才會應(yīng)答這個ip包,因為在網(wǎng)絡(luò)中�����,每一臺主機(jī)都會有發(fā)送ip包的時候���,所以�,在每臺主機(jī)的內(nèi)存中����,都有一個 arp--> 硬件mac 的轉(zhuǎn)換表。通常主機(jī)在發(fā)送一個ip包之前�,它要到該轉(zhuǎn)換表中尋找和ip包對應(yīng)的硬件mac地址,如果沒有找到��,該主機(jī)就發(fā)送一個ARP廣播包��,于是�,主機(jī)刷新自己的ARP緩存。然后發(fā)出該ip包。
了解這些常識后�,現(xiàn)在就可以談在以太網(wǎng)絡(luò)中如何實現(xiàn)ARP欺騙了.
7.1同一網(wǎng)段的ARP欺騙
如圖所示,三臺主機(jī)
A:
ip地址
192.168.0.1硬件地址 AA:AA:AA:AA:AA:AA
B:
ip地址 192.168.0.2
硬件地址
BB:BB:BB:BB:BB:BB
C: ip地址
192.168.0.3 硬件地址
CC:CC:CC:CC:CC:CC
一個位于主機(jī)B的入侵者想非法進(jìn)入主機(jī)A���,可是這臺主機(jī)上安裝有防火墻���。通過收集資料他知道這臺主機(jī)A的防火墻只對主機(jī)C有信任關(guān)系(開放23端口(telnet))�。而他必須要使用telnet來進(jìn)入主機(jī)A�����,這個時候他應(yīng)該如何處理呢?
我們這樣考慮�,入侵者必須讓主機(jī)A相信主機(jī)B就是主機(jī)C,如果主機(jī)A和主機(jī)C之間的信任關(guān)系是建立在ip地址之上的�。如果單單把主機(jī)B的ip地址改的和主機(jī)C的一樣,那是不能工作的�,至少不能可靠地工作。如果你告訴以太網(wǎng)卡設(shè)備驅(qū)動程序����,自己IP是192.168.0.3,那么這只是一種純粹的競爭關(guān)系����,并不能達(dá)到目標(biāo)。我們可以先研究C這臺機(jī)器,如果我們能讓這臺機(jī)器暫時當(dāng)?shù)?���,競爭關(guān)系就可以解除,這個還是有可能實現(xiàn)的。在機(jī)器C當(dāng)?shù)舻耐瑫r�,將機(jī)器B的ip地址改為192.168.0.3,這樣就可以成功的通過23端口telnet到機(jī)器A上面,而成功的繞過防火墻的限制.
上面的這種想法在這種情況下是無效的����,如果主機(jī)A和主機(jī)C之間的信任關(guān)系是建立在硬件地址的基礎(chǔ)上。這個時候還需要用ARP欺騙的手段讓主機(jī)A把自己的ARP緩存中的關(guān)于192.168.0.3映射的硬件地址改為主機(jī)B的硬件地址.
我們可以人為的制造一個arp_reply的響應(yīng)包,發(fā)送給想要欺騙的主機(jī),這是可以實現(xiàn)的,因為協(xié)議并沒有規(guī)定必須在接收到arp_echo后才可以發(fā)送響應(yīng)包.這樣的工具很多,我們也可以直接用snifferpro抓一個arp響應(yīng)包,然后進(jìn)行修改.也人為地制造這個包����。可以指定ARP包中的源IP����、目標(biāo)IP、源MAC地址����、目標(biāo)MAC地址.
這樣你就可以通過虛假的ARP響應(yīng)包來修改主機(jī)A上的動態(tài)ARP緩存達(dá)到欺騙的目的
下面是具體的步驟:
他先研究192.0.0.3這臺主機(jī),發(fā)現(xiàn)這臺主機(jī)的漏洞����。
1)
根據(jù)發(fā)現(xiàn)的漏洞使主機(jī)C當(dāng)?shù)?���,暫時停止工作����。
2)
這段時間里,入侵者把自己的ip改成192.0.0.3
3)
他用工具發(fā)一個源ip地址為192.168.0.3源MAC地址為BB:BB:BB:BB:BB:BB的包給主機(jī)A����,要求主機(jī)A更新自己的arp轉(zhuǎn)換表
4)
主機(jī)更新了arp表中關(guān)于主機(jī)C的ip-->mac對應(yīng)關(guān)系
5)
防火墻失效了,入侵的ip變成合法的mac地址����,可以telnet了
上面就是一個ARP的欺騙過程,這是在同網(wǎng)段發(fā)生的情況����,但是,提醒注意的是����,在B和C處于不同網(wǎng)段的時候,上面的方法是不起作用的.
7.2
不同網(wǎng)段的ARP欺騙
圖所示A����、C位于同一網(wǎng)段而主機(jī)B位于另一網(wǎng)段����,三臺機(jī)器的ip地址和硬件地址如下:
A: ip地址
192.168.0.1硬件地址 AA:AA:AA:AA:AA:AA
B:
ip地址
192.168.1.2硬件地址 BB:BB:BB:BB:BB:BB
C:
ip地址
192.168.0.3硬件地址 CC:CC:CC:CC:CC:CC
在這種下����,位于192.168.1網(wǎng)段的主機(jī)B如何冒充主機(jī)C欺騙主機(jī)A呢�?顯然用上面的辦法的話,即使欺騙成功�����,那么由主機(jī)B和主機(jī)A之間也無法建立telnet會話����,因為路由器不會把主機(jī)A發(fā)給主機(jī)B的包向外轉(zhuǎn)發(fā),路由器會發(fā)現(xiàn)地址在192.168.0.這個網(wǎng)段之內(nèi).
現(xiàn)在就涉及到另外一種欺騙方式―ICMP重定向����。把ARP欺騙和ICMP重定向結(jié)合在一起就可以基本實現(xiàn)跨網(wǎng)段欺騙的目的.
ICMP重定向報文是ICMP控制報文中的一種。在特定的情況下����,當(dāng)路由器檢測到一臺機(jī)器使用非優(yōu)化路由的時候,它會向該主機(jī)發(fā)送一個ICMP重定向報文����,請求主機(jī)改變路由����。路由器也會把初始數(shù)據(jù)報向它的目的地轉(zhuǎn)發(fā).
我們可以利用ICMP重定向報文達(dá)到欺騙的目的.
下面是結(jié)合ARP欺騙和ICMP重定向進(jìn)行攻擊的步驟:
1)
為了使自己發(fā)出的非法ip包能在網(wǎng)絡(luò)上能夠存活長久一點(diǎn)����,開始修改ip包的生存時間ttl為下面的過程中可能帶來的問題做準(zhǔn)備。把ttl改成255. (ttl定義一個ip包如果在網(wǎng)絡(luò)上到不了主機(jī)后����,在網(wǎng)絡(luò)上能存活的時間,改長一點(diǎn)在本例中有利于做充足的廣播)
2)
下載一個可以自由制作各種包的工具(例如hping2)
3)
然后和上面一樣����,尋找主機(jī)C的漏洞按照這個漏洞當(dāng)?shù)糁鳈C(jī)C。
4)
在該網(wǎng)絡(luò)的主機(jī)找不到原來的192.0.0.3后����,將更新自己的ARP對應(yīng)表。于是他發(fā)送一個原ip地址為192.168.0.3硬件地址為BB:BB:BB:BB:BB:BB的ARP響應(yīng)包����。
5)
現(xiàn)在每臺主機(jī)都知道了,一個新的MAC地址對應(yīng)192.0.0.3,一個ARP欺騙完成了����,但是����,每臺主機(jī)都只會在局域網(wǎng)中找這個地址而根本就不會把發(fā)送給192.0.0.3的ip包丟給路由����。于是他還得構(gòu)造一個ICMP的重定向廣播����。
6)
自己定制一個ICMP重定向包告訴網(wǎng)絡(luò)中的主機(jī):到192.0.0.3的路由最短路徑不是局域網(wǎng),而是路由����,請主機(jī)重定向你們的路由路徑,把所有到192.0.0.3的ip包丟給路由�����。
7)
主機(jī)A接受這個合理的ICMP重定向���,于是修改自己的路由路徑����,把對192.0.0.3的通訊都丟給路由器.
8)
入侵者終于可以.在路由外收到來自路由內(nèi)的主機(jī)的ip包了,他可以開始telnet到主機(jī)的23口
其實上面的想法只是一種理想化的情況����,主機(jī)許可接收的ICMP重定向包其實有很多的限制條件,這些條件使ICMP重定向變的非常困難.
TCP/IP協(xié)議實現(xiàn)中關(guān)于主機(jī)接收ICMP重定向報文主要有下面幾條限制:
1)
新路由必須直達(dá)
2)
重定向包必須來自屈枉目標(biāo)的當(dāng)前路由
3)
重定向包不能通知主機(jī)用自己作路由
4) 被改變的路由必須是一條間接路由
由于有這些限制����,所以ICMP欺騙實際上很難實現(xiàn)。
7.3
ARP欺騙的防御
知道了ARP欺騙的方法和危害����,我們給出一些初步的防御方法:
1)
不要把安全信任關(guān)心建立在ip地址或者mac地址的基礎(chǔ)上(RARP同樣存在欺騙問題),理想的關(guān)系應(yīng)該是ip+mac;
2)
設(shè)置靜態(tài)的mac->ip映射,不要讓主機(jī)刷新設(shè)置好的arp轉(zhuǎn)換表.
3)
停止使用arp,將arp作為永久條目保存在對應(yīng)表中.linux下可以用ifconfig –arp使得網(wǎng)卡驅(qū)動停用arp.
4)
使用代理網(wǎng)關(guān)發(fā)送上行數(shù)據(jù).
5)
修改系統(tǒng)配置拒收ICMP重定向報文.
在linux下可以通過在防火墻上拒絕ICMP重定向報文或者是修改內(nèi)核選項重新編譯內(nèi)核來拒絕接收ICMP重定向報文.
在win2000下可以通過防火墻和IP策略拒絕接收ICMP報文.
