朱凱

昆明理工大學(xué)津橋?qū)W院 云南 650106

0 前言

人為實(shí)施通常是指使用一些黑客的工具對(duì)網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理賬戶和相關(guān)密碼，在網(wǎng)絡(luò)上安插木馬，從而進(jìn)行進(jìn)一步竊取機(jī)密文件。攻擊和欺騙過(guò)程往往比較隱蔽和安靜，但對(duì)于信息安全要求高的企業(yè)危害是極大的。而來(lái)自木馬或者病毒及蠕蟲的攻擊和往往會(huì)偏離攻擊和欺騙本身的目的，現(xiàn)象有時(shí)非常直接，會(huì)帶來(lái)網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過(guò)高、二層生成樹環(huán)路直至網(wǎng)絡(luò)癱瘓。

目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用，而目前企業(yè)在部署這方面的防范還存在很多不足，有很多工作要做。

下面部分主要針對(duì)目前非常典型的二層攻擊和欺騙說(shuō)明如何在思科交換機(jī)上組合運(yùn)用和部署 Dynamic ARP Inspection (DAI)技術(shù)，從而實(shí)現(xiàn)防止在交換環(huán)境中實(shí)施“中間人”攻擊、地址欺騙等，更具意義的是通過(guò)Dynamic ARP Inspection (DAI)技術(shù)的部署可以簡(jiǎn)化地址管理，直接跟蹤用戶IP和對(duì)應(yīng)的交換機(jī)端口；防止IP地址沖突。同時(shí)對(duì)于大多數(shù)對(duì)二層網(wǎng)絡(luò)造成很大危害的具有地址掃描、欺騙等特征的病毒可以有效的報(bào)警和隔離。

1 MITM(Man-In-The-Middle)攻擊原理

按照ARP協(xié)議的設(shè)計(jì)，為了減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信，一個(gè)主機(jī)，即使收到的ARP應(yīng)答并非自己請(qǐng)求得到的，它也會(huì)將其插入到自己的ARP緩存表中，這樣，就造成了“ ARP 欺騙”的可能。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信(即使是通過(guò)交換機(jī)相連)，他會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè)ARP應(yīng)答包，讓兩臺(tái)主機(jī)都“誤”認(rèn)為對(duì)方的MAC地址是第三方的黑客所在的主機(jī)，這樣，雙方看似“直接”的通信連接，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。在這種嗅探方式中，黑客所在主機(jī)是不需要設(shè)置網(wǎng)卡的混雜模式的，因?yàn)橥ㄐ烹p方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機(jī)的。

這里舉個(gè)例子，假定同一個(gè)局域網(wǎng)內(nèi)，有3臺(tái)主機(jī)通過(guò)交換機(jī)相連，通過(guò)ipconfig /all查看配置如下：

A 主機(jī)：IP 地址為 192.168.0.1，MAC 地址為 01：01：01：01：01：01；

B 主機(jī)：IP 地址為 192.168.0.2，MAC 地址為 02：02：02：02：02：02；

C 主機(jī)：IP 地址為 192.168.0.3，MAC 地址為 03：03：03：03：03：03。

B主機(jī)對(duì)A和C進(jìn)行欺騙的前奏就是發(fā)送假的ARP應(yīng)答包，如圖1所示。在收到B主機(jī)發(fā)來(lái)的ARP應(yīng)答后，A主機(jī)應(yīng)知道。

圖1 MITM攻擊示意圖

到 192.168.0.3的數(shù)據(jù)包應(yīng)該發(fā)到 MAC地址為020202020202的主機(jī)；C主機(jī)也知道：到192.168.0.1的數(shù)據(jù)包應(yīng)該發(fā)到MAC地址為020202020202的主機(jī)。這樣，A和C都認(rèn)為對(duì)方的MAC地址是020202020202，實(shí)際上這就是B主機(jī)所需得到的結(jié)果。當(dāng)然，因?yàn)锳RP緩存表項(xiàng)是動(dòng)態(tài)更新的，其中動(dòng)態(tài)生成的映射有個(gè)生命期，一般是兩分鐘，如果再?zèng)]有新的信息更新，ARP映射項(xiàng)會(huì)自動(dòng)去除。所以，B還有一個(gè)“任務(wù)”，那就是一直連續(xù)不斷地向A和C發(fā)送這種虛假的ARP響應(yīng)包，讓其ARP緩存中一直保持被毒害的映射表項(xiàng)。

現(xiàn)在，如果A和C要進(jìn)行通信，實(shí)際上彼此發(fā)送的數(shù)據(jù)包都會(huì)先到達(dá)B主機(jī)，這時(shí)，如果B不做進(jìn)一步處理，A和C之間的通信就無(wú)法正常建立，B也就達(dá)不到“嗅探”通信內(nèi)容的目的，因此，B要對(duì)“錯(cuò)誤”收到的數(shù)據(jù)包進(jìn)行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的內(nèi)容，無(wú)非是將目的MAC和源MAC地址進(jìn)行替換。如此一來(lái)，在A和C看來(lái)，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對(duì)方的，但在B來(lái)看，自己擔(dān)當(dāng)?shù)木褪恰暗谌摺钡慕巧?。這種嗅探方法，也被稱作“Man-In-The-Middle”的方法(如圖2所示)。

圖2 嗅探方法示意圖

2 攻擊實(shí)例

目前利用ARP原理編制的工具十分簡(jiǎn)單易用，這些工具可以直接嗅探和分析 FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超過(guò)30種應(yīng)用的密碼和傳輸內(nèi)容。下面是測(cè)試時(shí)利用工具捕獲的TELNET過(guò)程，捕獲內(nèi)容包含了TELNET密碼和全部所傳的內(nèi)容：

不僅僅是以上特定應(yīng)用的數(shù)據(jù)，利用中間人攻擊者可將監(jiān)控到數(shù)據(jù)直接發(fā)給 SNIFFER等嗅探器，這樣就可以監(jiān)控所有被欺騙用戶的數(shù)據(jù)。

還有些人利用ARP原理開發(fā)出網(wǎng)管工具，隨時(shí)切斷指定用戶的連接。這些工具流傳到搗亂者手里極易使網(wǎng)絡(luò)變得不穩(wěn)定，通常這些故障很難排查(圖3)。

圖3 攻擊實(shí)例

3 防范方法

思科 Dynamic ARP Inspection (DAI)在交換機(jī)上提供IP地址和 MAC地址的綁定，并動(dòng)態(tài)建立綁定關(guān)系。DAI以DHCP Snooping綁定表為基礎(chǔ)，對(duì)于沒有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加ARP access-list實(shí)現(xiàn)。DAI配置針對(duì)VLAN，對(duì)于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉。通過(guò)DAI可以控制某個(gè)端口的ARP請(qǐng)求報(bào)文數(shù)量。通過(guò)這些技術(shù)可以防范“中間人”攻擊。

4 配置示例

本文中的信息創(chuàng)建于一個(gè)特定實(shí)驗(yàn)室環(huán)境中的設(shè)備。本文檔中使用的所有的設(shè)備開始使用一個(gè)缺省(默認(rèn))配置。

[1]王倩.高校機(jī)房ARP病毒的攻擊與防范[J].電子制作.2013.

[2]楊建平.SSL中間人攻擊對(duì)策研究[J].電腦知識(shí)與技術(shù).2012.

[3]王京智,洪觀甫.IP偽裝技術(shù)分析[J].信息安全與技術(shù).2012.

[4]孫莉.淺談構(gòu)建中小規(guī)模無(wú)線網(wǎng)絡(luò)解決方案[J]科技經(jīng)濟(jì)市場(chǎng).2011.

[5]陶松.試探網(wǎng)絡(luò)攻擊常用手段[J].電腦編程技巧與維護(hù).2010.

[6]曹振麗,張海峰,井閩,馬濤,趙軍偉.計(jì)算機(jī)網(wǎng)絡(luò)安全及其防范技術(shù)[J].中國(guó)教育信息化.2008.

[7]趙磊.淺談網(wǎng)絡(luò)安全中“蜜罐”技術(shù)的應(yīng)用[J].科技咨詢導(dǎo)報(bào).2006.

[8]鄭文兵.李成忠.ARP欺騙原理及一種防范算法[J]江南大學(xué)學(xué)報(bào).2003.