ARP欺騙攻擊原理和防范
 
時間：2009/12/14 15:56:12 來源：administrator

---

ARP欺騙/ MITM(Man-In-The-Middle)攻擊原理和防范 　　MITM(Man-In-The-Middle) 攻擊原理 　　按照 ARP 協議的設計，為了減少網絡上過多的 ARP 數據通信，一個主機，即使收到的 ARP 應答并非自己請求得到的，它也會將其插入到自己的 ARP 緩存表中，這樣，就造成了“ ARP 欺騙”的可能。如果黑客想探聽同一網絡中兩臺主機之間的通信（即使是通過交換機相連），他會分別給這兩臺主機發送一個 ARP 應答包，讓兩臺主機都“誤”認為對方的 MAC 地址是第三方的黑客所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內容，另一方面，只需要更改數據包中的一些信息，成功地做好轉發工作即可。在這種嗅探方式中，黑客所在主機是不需要設置網卡的混雜模式的，因為通信雙方的數據包在物理上都是發送給黑客所在的中轉主機的。 　　這里舉個例子，假定同一個局域網內，有 3 臺主機通過交換機相連： 　　A 主機： IP 地址為 192.168.0.1 ， MAC 地址為 01:01:01:01:01:01 ； 　　B 主機： IP 地址為 192.168.0.2 ， MAC 地址為 02:02:02:02:02:02 ； 　　C 主機： IP 地址為 192.168.0.3 ， MAC 地址為 03:03:03:03:03:03 。 　　B 主機對 A 和 C 進行欺騙的前奏就是發送假的 ARP 應答包，如圖 所示 1.jpg (59.07 KB) 2009-8-28 10:07 　　在收到 B主機發來的ARP應答后，A主機應知道： 　　到 192.168.0.3 的數據包應該發到 MAC 地址為 020202020202 的主機； C 主機也知道：到 192.168.0.1 的數據包應該發到 MAC 地址為 020202020202 的主機。這樣， A 和 C 都認為對方的 MAC 地址是020202020202 ，實際上這就是 B 主機所需得到的結果。當然，因為 ARP 緩存表項是動態更新的，其中動態生成的映射有個生命期，一般是兩分鐘，如果再沒有新的信息更新， ARP 映射項會自動去除。所以， B 還有一個“任務”，那就是一直連續不斷地向 A 和 C 發送這種虛假的 ARP 響應包，讓其 ARP緩存中一直保持被毒害了的映射表項。 　　現在，如果 A 和 C 要進行通信，實際上彼此發送的數據包都會先到達 B 主機，這時，如果 B 不做進一步處理， A 和 C 之間的通信就無法正常建立， B 也就達不到“嗅探”通信內容的目的，因此， B 要對“錯誤”收到的數據包進行一番修改，然后轉發到正確的目的地，而修改的內容，無非是將目的 MAC 和源 MAC 地址進行替換。如此一來，在 A 和 C 看來，彼此發送的數據包都是直接到達對方的，但在 B 來看，自己擔當的就是“第三者”的角色。這種嗅探方法，也被稱作“ Man-In-The-Middle ”的方法。如圖 所示。 2.jpg (48.06 KB) 2009-8-28 10:07 　　攻擊實例 　　目前利用 ARP原理編制的工具十分簡單易用，這些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超過30種應用的密碼和傳輸內容。 下面是測試時利用工具捕獲的 TELNET 過程，捕獲內容包含了 TELNET 密碼和全部所傳的內容 ： 3.jpg (94.9 KB) 2009-8-28 10:07 　　不僅僅是以上特定應用的數據，利用中間人攻擊者可將監控到數據直接發給 SNIFFER等嗅探器，這樣就可以監控所有被欺騙用戶的數據。 　　還有些人利用 ARP原理 開發出網管工具，隨時切斷指定用戶的連接。這些工具流傳到搗亂者手里極易使網絡變得不穩定，通常這些故障很難排查。