以太网中利用NBNS协议的一个漏洞进行ARP拒绝服务攻击

《计算机网络安全与应用》贺思德申浩如科学出版社ISBN978-7-03-019711-5版权所有网络安全实践与案例分析1以太网以太网以太网以太网中利用中利用中利用中利用NBNSNBNSNBNSNBNS协议的一个协议的一个协议的一个协议的一个漏洞漏洞漏洞漏洞进行进行进行进行ARPARPARPARP拒绝服务攻击拒绝服务攻击拒绝服务攻击拒绝服务攻击的的的的案例案例案例案例分析分析分析分析近年来，有很多大中学校的校园网和单位的局域网经常出现阵发性的网络拥塞，用户上网的速度有时会突然变慢，甚至完全不能上网，而过一段时间后网络又自动恢复正常。此文中，作者以在某大学校园网中采集的一段约60秒钟的网络数据流作为样本进行分析。对此数据流的分析可看出，网络中出现了多次广播数据流量的猛增，每次网络数据流量冲击产生的原因各不相同。本文对其中一次数据流冲击做了较详细的分析，以此为例具体地剖析什么是以太网中的ARP拒绝服务攻击，以及此例中产生ARP攻击的原因在于NBNS（NetBIOSNameService）协议的一个漏洞，并提出解决这种ARP攻击的方法。在附件的数据样本中还有另外几次网络数据流的冲击未做分析，有兴趣的读者可下载后做进一步的研究。（注：ARP:AddressResolutionProtocol地址解析协议，用于在网络计算机中建立MAC地址与IP地址的对照表）本文讨论内容的技术背景知识、网络数据采集方法和网络流量的统计分析方法，参看教材《计算机网络安全与应用》（科学出版社ISBN978-7-03-019711-5）中的第7章第2节。以下文中简称“教材”。本案例的分析步骤是：（1）当网络出现异常情况时，按照教材7.2.2节的介绍，将计算机接入网络的适当的监测点，启动网络协议分析软件Wireshark捕获一段网络数据流，并将其保存为.pcap文件，（2）对此数据文件包含的网络数据流先进行宏观的统计分析，（3）找到网络数据流冲击浪涌的时间范围，（4）对此范围中的可疑数据帧进行定位和解剖，（5）找出问题的原因，（6）提出网络诊断的解决方案。1．．．．拒绝服务攻击的类型拒绝服务攻击的类型拒绝服务攻击的类型拒绝服务攻击的类型网络安全管理中常见的拒绝服务攻击有两种类型：一种是利用TCP协议中通信双方建立连接过程的SYN泛洪攻击，它通过耗尽Web服务器的内存资源，使其不能正常工作而实现对Web服务器的“拒绝服务攻击”（详细参看教材152页和167页）。本文讨论的案例则是在以太网中恶意程序利用了NetBIOSNameService协议中的一个漏洞，诱导同一个局域网中大量的第三方计算机同时广播发送ARP请求报文，造成网络数据流量的突然猛增，使网络传输能力产生短时拥塞，形成另一种局域网的拒绝服务攻击现象。本案例的网络数据样本采集时间：2007年11月20日。数据采集方法参看教材7.2节。网络数据采集地点：某大学校园网中的一个用户端，采集的时候关闭本计算机的浏览器等上网工具，这样捕获到的数据较单纯，主要是导致网络拥塞的非正常广播数据流。该局域网的网络号202.203.44.0网络数据采集工具：网络协议分析软件Wireshark（原名Ethereal），详细使用方法见教材7.2节。本文以及网络数据采集样本：NBNSattacksample.pcap，下载网址。2222．．．．网络数据流量的变化网络数据流量的变化网络数据流量的变化网络数据流量的变化监测监测监测监测从上述网站下载数据样本文件后，利用Wireshark主界面中文件菜单file中的open（参看教材238页）打开附件的数据样本文件NBNSattacksample.pcap。显示数据帧界面如图1所示。图1网络数据样本NBNSattacksample.pcap的前几个数据包《计算机网络安全与应用》贺思德申浩如科学出版社ISBN978-7-03-019711-5版权所有网络安全实践与案例分析2此数据文件中包含了捕获的387个以太网帧，从第1号帧到第387号帧之间历时59.705560秒。为了显示网络广播数据流量随时间的变化情况，点击Wireshark主界面上的统计菜单StatisticsIOGraphs，显示出网络数据流的变化情况如图2所示，其中横坐标是时间，纵坐标是每个取样期间（1sec）收到的数据帧数量（Packets/Tick），也可在Unit菜单中选择显示为每个取样区间收到的字节数（Bytes/Tick）。图2网络广播数据流的浪涌变化情况从图2中可直观地看出，在历时59.7秒的捕获时间里，网络广播数据流共发生了7次浪涌（图中的峰点编号是作者所加），对网络冲击最严重的是第4、5、6、7号峰值。通过调整图2中XAxis（X轴）的Tickinterval（横坐标时间间隔），可以较准确地定位第7号浪涌的产生时刻在第55.5秒，如图3所示。图3将图2中的X轴时间间隔展开可确定产生第7号浪涌冲击的准确时刻《计算机网络安全与应用》贺思德申浩如科学出版社ISBN978-7-03-019711-5版权所有网络安全实践与案例分析33333．．．．以太网以太网以太网以太网广播广播广播广播数据流数据流数据流数据流中构成中构成中构成中构成第第第第7777号号号号浪涌浪涌浪涌浪涌的数据帧的数据帧的数据帧的数据帧情况情况情况情况从图3中可看出产生第7号浪涌的时段约为第55.5秒，然后在图1中的上窗格右侧移动下拉滚动条，找出第55.5秒附近的数据帧序列，如图4所示。分析图4中显示的数据帧的情况可以看出以下现象：（1）形成第7号网络数据流浪涌冲击的是第345号～366号数据帧，共有20个全局广播的ARP协议的查询请求包（目的地址为Broadcast）。关于ARP的工作原理参看教材第82页图3.12。ARP协议的查询请求帧的目的地址是以太网内的广播地址，而返回的ARP响应帧目的地址则是以太网内的单播地址。图4通过时段定位找到形成第7号浪涌冲击的数据帧序列（2）这些ARP的广播查询请求帧来自同一个局域网内的20台不同的网络主机，它们的MAC地址和IP地址完全不同，但是广播查询内容相同：whohas202.203.44.112？Tell202.203.44.*（*的值见图右边）。（3）这20个ARP广播查询帧的发送时间几乎是同时的，例如，在图4的下窗口展开的是第347号以太网帧，此帧与前一个346号帧的时间间隔仅为0.000015秒（图中汉字为作者加注）。从第345号ARP广播帧到第366号ARP广播帧之间历时仅为55.574872－55.571226＝0.003646秒，在如此短暂的时间里有20台计算机同时广播ARP查询帧，由此造成了网络的短暂浪涌冲击。4444．．．．此例中此例中此例中此例中大量大量大量大量的以太网的以太网的以太网的以太网主机同时广播主机同时广播主机同时广播主机同时广播ARPARPARPARP查询帧的诱因查询帧的诱因查询帧的诱因查询帧的诱因分析分析分析分析从图4中第55.5秒期间的网络广播数据流中可判断，在同一个局域网中的20台计算机同时广播发送内容相同的ARP查询请求帧，可能是这20台计算机都受到同一个外来诱因的触发。因此应当分析产生浪涌时刻之前一段时间的网络数据信息，从中寻找可疑的蛛丝马迹。在图4中可看出，值得怀疑的是第344号帧，因为它的源IP地址正是后续20台主机同时广播ARP查询的IP地址。第344号数据帧的发送时刻为55.571139秒，源IP地址为202.203.44.112，目的地址为202.203.44.255（即在局域网202.203.44.0中的广播地址，参看教材第4章）。这说明主机202.203.44.112在局域网202.203.44.*的范围内广播了第344号帧，立刻导致了同一局域网中的20台主机几乎在同一时刻广播发送了20个ARP查询请求帧（即从第345号到366号帧），这些帧的目的地址是以太网的广播地址Broadcast（ff:ff:ff:ff:ff:ff）。因此，应当对第344号数据帧进行详细的分析。《计算机网络安全与应用》贺思德申浩如科学出版社ISBN978-7-03-019711-5版权所有网络安全实践与案例分析45555．．．．解剖解剖解剖解剖第第第第344344344344号数据帧的号数据帧的号数据帧的号数据帧的详细内容详细内容详细内容详细内容在图4中可以看出第344号帧的简要情况：源IP地址202/203.44.112，目的IP地址202.203.44.255，协议为NBNS（即NetworkBasicInput/OutputSystem，NameService），帧中所含信息概况info的内容是NamequeryNBWORKGROUP1e（请注意，此info的关键点在于1e）。在Wireshark界面上点击第344号帧，将其内容展开如图5所示，由此得到该帧的协议结构如图6。图5将第344号帧的结构展开以太网II头部IP包头部UDP头部应用层NBNS内容图6第344号帧内的协议结构为了得到第344号帧的更详细信息，可按照教材266页介绍的方法，先将捕获的所有数据帧的内容输出保存为.text文本文件，再取出其中第344号数据帧的内容展开如下（其中的汉字为分析注解）：No.TimeSourceDestinationProtocolInfo34455.571139202.203.44.112202.203.44.255NBNSNamequeryNBWORKGROUP1e（以下为物理帧概况）Frame344(92bytesonwire,92bytescaptured)帧序号（此帧的线路字节数，捕获字节数）ArrivalTime:Nov20,200716:44:18.044192000此帧的捕获日期和时间[Timedeltafrompreviouspacket:0.367237000seconds]此帧与前一帧之间的时间间隔[Timesincereferenceorfirstframe:55.571139000seconds]此帧与参考帧（1号帧）的时间间隔FrameNumber:344此帧的序号PacketLength:92bytes此帧的长度CaptureLength:92bytes此帧捕获到的实际长度[Frameismarked:False]此帧是否做了标记：否[Protocolsinframe:eth:ip:udp:nbns]此帧的结构：数据链路层，网络层，传输层，应用层的协议[ColoringRuleName:SMB]此帧在Wireshark显示中的颜色标识[ColoringRuleString:smb||nbss||nbns||nbipx||ipxsap||netbios]同色显示的协议（以下为数据链路层以太网II协议头部信息，请参看教材第70页图3.2）EthernetII,Src:Intel_73:a9:36(00:19:d1:73:a9:36),Dst:Broadcast(ff:ff:ff:ff:ff:ff)数据链路层的协议（以太网II），源地址（源网卡厂商Intel），目的地址（以太网广播地址）《计算机网络安全与应用》贺思德申浩如科学出版社ISBN978-7-03-019711-5版权所有网络安全实践与案例分析5（以下为互联网层IP协议头部信息，请参看教材119页图4.15）InternetProtocol,Src:202.203.44.112(202.203.44.112),Dst:202.203.44.255(202.203.44.255)此帧在网络层中的源地址和目的地址（IP子网中的广播地址）（以下为数据链路层UDP协议头部信息，请参看教材143页图5.3）UserDatagramProtocol,SrcPort:netbios-ns(137),DstPort:netbios-ns(137)传输层的源和目的端口Sourceport:netbios-ns(137)源端口号为137