ARP课件

背景在局域网上网，有时候会遇到“断网”或“掉线”的情况。究其原因真是ARP欺骗攻击。如果装有杀毒软件，则会拦截这些攻击，并予以提示，如右图所示。那么，什么是ARP欺骗攻击？让我们慢慢揭开其神秘面纱。ARP欺骗授课内容一、ARP概念二、ARP工作原理(重点)三、ARP欺骗攻击四、ARP防御措施（重点）一、ARP概念中文名称：地址解析协议英文名称：addressresolutionprotocol（ARP）定义：将物理地址翻译成对应的32位IP地址的协议ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据链路层（MAC层，也就是相当于OSI的第二层）的MAC地址ARP的功能以太网设备都有自己全球唯一的MAC地址，它们是以MAC地址来传输数据包的。但以太网设备却无法识别IP数据包中的IP地址，所以要在以太网中IP通信，就需要转换一下协议来建立IP地址与MAC地址的对应关系，使IP数据包能够发送到一个确定的主机上，这种功能是由ARP来实现的。即：用来实现IP地址到MAC地址的映射。二、ARP工作原理紧急事件：一名警察到校寻找某校三年二班周晓晓同学。告知身份广播找人记录位置二、ARP工作原理（重点）192.168.1.1ping192.168.1.21、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）；2、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表；3、如果存在该IP-MAC对应关系，那么跳到步骤7；如果不存在该IP-MAC对应关系，那么接续下面的步骤；二、ARP工作原理（重点）4、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址；5、当192.168.1.2主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址；6、本地获得192.168.1.2主机的IP-MAC地址对应关系，并保存到ARP缓存中；7、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去；二、ARP工作原理（重点）从ARP工作原理我们印证以下几个问题：ARP的概念ARP广播时发送ARP包（request），那么包内容有什么？ARP有回应的包(replay),它的内容是什么？ARP不进行校验正确性，有效性三、ARP欺骗攻击ARP欺骗攻击主机欺骗网关欺骗ARP泛洪攻击ARP扫描攻击IP冲突三、ARP欺骗攻击主机A主机B交换机路由器IP地址：ipaMAC地址：macaIP地址：ipbMAC地址：macbIP地址：ipaMAC地址：maca主机XIP地址：ipxMAC地址：macx1、中间人攻击我是BIP地址：ipbMAC地址：macx我是AIP地址：ipaMAC地址：macx中间人攻击欺骗主机作为“中间人”，被欺骗主机的数据都经它中转，以窃取被欺骗主机间的通讯数据。假设一网络环境中有三台主机分别为A、B、CA-IP:192.168.10.1MAC:AA-AA-AA-AA-AA-AAB-IP:192.168.10.2MAC:BB-BB-BB-BB-BB-BBC-IP:192.168.10.3MAC:CC-CC-CC-CC-CC-CCB给A应答IP是192.168.10.3MAC是BB-BB-BB-BB-BB-BBB给C应答IP是192.168.10.1MAC是AA-AA-AA-AA-AA-AAB对A伪装成C，对C伪装成A，A和C都被欺骗了！三、ARP欺骗攻击主机A主机B交换机路由器IP地址：ipaMAC地址：macaIP地址：ipbMAC地址：macbIP地址：ipaMAC地址：maca主机XIP地址：ipxMAC地址：macx1、中间人攻击我是网关IP地址：ipgMAC地址：macx2、网关欺骗IP地址：ipgMAC地址：macg我是AIP地址：ipaMAC地址：macx网关欺骗伪造网关，欺骗内网计算机，造成断网。建立假网关，让被它欺骗的计算机向该假网关发数据，而不是发给路由器。这样无法通过正常的路由器途径上网，在计算机看来，就是上不了网，即网络掉线或断网了。三、ARP欺骗攻击主机A主机B交换机路由器IP地址：ipaMAC地址：macaIP地址：ipbMAC地址：macbIP地址：ipaMAC地址：maca主机XIP地址：ipxMAC地址：macx1、中间人攻击2、网关欺骗IP地址：ipgMAC地址：macg3、泛洪攻击ipaMacaipbMacbipgmacg…….泛洪攻击MAC泛洪攻击是指攻击者向交换机发送大量伪造的地址,使得交换机的MAC地址表溢出,从而无法完成正常的数据转发。三、ARP欺骗攻击主机A主机B交换机路由器IP地址：ipaMAC地址：macaIP地址：ipbMAC地址：macbIP地址：ipaMAC地址：maca主机XIP地址：ipxMAC地址：macx1、中间人攻击2、网关欺骗IP地址：ipgMAC地址：macg3、泛洪攻击4、ARP扫描5、IP冲突ARP扫描ARP攻击也包括ARP扫描（或称请求风暴）即在网络中产生大量ARP请求广播包，严重占用网络带宽资源，使网络阻塞。ARP扫描一般为ARP攻击的前奏。ARP欺骗危害ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。受到ARP攻击的计算机一般会出现的现象：不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。计算机不能正常上网，出现网络中断的症状。四、ARP防御措施（重点）1、确认攻击访问其它站点断断续续cmd中输入arp–a，每隔几分钟用这个命令，查看本地客户端arp缓存表内容是否有很多条，查看同一个网关IP对应的MAC地址是否有变化（如果有这种现象，则可以确定是针对终端的ARP欺骗攻击，否则很有可能是针对网关的欺骗攻击，或者广播风暴引起的掉线和卡）；运行多次arp–a，列表仍然是空的，ping其它活动的机器，列表仍然是空的；在网关上查看IP—MAC地址表，每隔几十秒，导出完整的IP-MAC地址表，对照两个地址表，其中IP-MAC对应关系经常改变的端口，就是被攻击者；四、ARP防御措施（重点）2、应急处理：在被攻击主机192.168.0.10上清除ARP缓存arp–d，使用arp–s命令静态绑定arp条目，使用ping命令，ping网关，确认被攻击主机能够正常访问网络；Arp–s192.168.0.1000-e0-eb-81-85在交换机上静态绑定ARP条目。1、2是定位问题，并应急处理问题，保证被攻击对象能够正常访问网络。原则：先保证被攻击对象能够正常访问网络，再查看攻击源。四、ARP防御措施（重点）3、定位攻击源MAC（抓包是定位问题的关键，可以确定攻击目标、攻击目的、攻击源）：在相关网段上进行抓包(如iptool)。装有抓包工具的PC接入交换机，定位发送伪网关ARP包的机器，分析攻击者源MAC地址；欺骗攻击数据包特点：ARP攻击数据包为ARP应答包，数据包中的应答的IP和MAC的对应关系是实际不存在的。4、定位攻击源：在交换机上查找MAC表，根据抓包结果，确定攻击者连接的端口，暂时关闭该端口或断开攻击主机的网线；3、4是定位攻击源，确保攻击数据发不再出现在交换机中。四、ARP防御措施（重点）5、清除况交换机ARP缓存交换机快速重新学习正确的ARP，命令：cleararp；清空交换机的mac-address：也让他重新学习，命令：clearmac-addtable；6、清除攻击源清除可疑进程，启动项，可疑程序。使用ARP杀毒软件，在攻击源上查杀ARP攻击工具；7、完成将非法扫描计算机的进程信息、系统日志信息、网络连接状态、帐户、已开启服务、可疑程序等信息采用文本导出、截图等方式保存到移动存储介质中供日后分析参考；5、6是清除攻击源上的攻击程序，彻底查杀攻击源。防范ARP措施的分析1、双绑措施针对攻击目的：针对攻击欺骗有效，对ARP恶意攻击不起作用。双绑是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。缺陷：Arp–d可清空缓存表交换机静态绑定费时费力，流动电脑无法管理ARP攻击任然发出在内网传输，只是终端不接受防范ARP措施的分析2、ARP个人防火墙针对攻击目的：针对攻击欺骗有效，对ARP恶意攻击不起作用。在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。个人防火墙缺陷：它不能保证绑定的网关一定是正确的。2ARP是网络中的问题，ARP既能伪造网关，也能截获数据ARP个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。防范ARP措施的分析3、VLAN和交换机端口绑定针对攻击目的：针对攻击欺骗有效；对ARP恶意攻击不起作用。通过划分VLAN和交换机端口绑定。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。缺陷没有对网关的任何保护，不管如何细分VLAN，网关一旦被攻击，照样会造成全网上网的掉线和瘫痪。把每一台电脑都牢牢地固定在一个交换机端口上，这种管理太死板。实施交换机端口绑定，必定要全部采用高级的网管交换机、三层交换机，整个交换网络的造价大大提高。ARP防御措施总结1.在客户端安装ARP防火墙，手动绑定网关的ARP信息；目的：避免ARP欺骗攻击——伪造网关，截获数据；2.路由器上做IP-MAC表的绑定工作；目的：避免ARP欺骗攻击——截获数据；3.细分VLAN目的：减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响；ARP防御措施总结1、ARP攻击只能有效预防，不能彻底根治，除非找到攻击源；2、所有的防御只是针对ARP欺骗攻击有效，对ARP广播风暴攻击不起作用，如掉线、卡滞等，这些防御措施无能为力（只有找到攻击源，才能彻底解决ARP攻击。所以客户端的防病毒系统非常重要，只有保证了客户端系统的安全，才能保证攻击源的彻底消失）。谢谢听讲