1、基于ARP欺騙內網浸透和防范摘要本文從協議欺騙的角度，討論了在內網中進展網絡浸透的方法，研究了基于ARP欺騙的數據包交換技術，以交換EB回復報文中的鏈接信息為例，分析了無破綻浸透技術的原理。在此根底上，討論了基于ARP欺騙的內網浸透的防范措施。關鍵詞ARP欺騙；內網浸透；無破綻浸透防范協議欺騙是指通過對通信雙方使用協議弱點的利用，冒充其中一方與另一方進展通信的行為。對于播送式網絡，只要更改自己網卡的接收形式為混雜形式，理論上就可以截獲所有內網上的通信。對于交換式網絡環境，假如要截獲網絡上不屬于自己的通信，可以通過協議欺騙來實現。內網浸透指的是在網絡內部的浸透，在本地局域網內部對網內的其他系統進

2、展浸透的過程。基于ARP欺騙的內網浸透指網絡攻擊者利用ARP欺騙截獲不屬于自身的通信，并從這一條件中獲取更多利益的行為。1.1ARP協議欺騙ARPAddressReslutinPrtl，地址解析協議是一個位于TP/IP協議棧中的低層協議，負責將局域網中某個IP地址解析成對應的A地址。IP地址到A地址的映射關系主要是靠ARP協議來實現的。對于網絡主機，這個映射關系存放在ARP高速緩存中。ARP協議是這樣工作的：首先，網絡通信源機器向網絡播送ARP懇求包，懇求網絡通信目的機器IP所對應的A地址；然后使用該IP的機器會向懇求方發送一個含有其A地址的ARP回應包，這樣懇求方就知道向哪個A地址目的主機發

3、送數據。ARP協議存在以下平安問題1：無連接、無認證、動態性、播送。利用ARP協議的這些平安問題，可以設計ARP協議欺騙的步驟和方法。主機在不知道目的IP對應的A地址時，進展ARP播送懇求，入侵者可以在接收到該ARP懇求后以自己的A地址應答，進展假冒；由于被假冒機器所發送的ARP應答有可能比入侵者發送的應答晚到達懇求主機，為了確保懇求主機的緩存中絕大部分時間存放的是入侵者的A地址，可以在收到ARP懇求后略微延遲一段時間再發送一遍ARP應答；有些系統會向自己緩存中的地址發送非播送的ARP懇求來更新自己的緩存。在交換網絡環境下，假如懇求主機緩存中已存有正確的主機A地址，入侵者就不能用以上接收懇求然

4、后應答的方法來更換被攻擊主機緩存內容。由ARP弱點分析可知，應答可以隨意發送，不一定要在懇求之后。1.2基于協議欺騙的內網浸透基于協議欺騙的內網浸透技術也稱無破綻浸透技術。無破綻浸透技術是相對于利用軟件破綻進展網絡浸透的技術來說的。在以太網中，只要被浸透機器在網絡中傳輸的數據包經過本地網卡，在本地就可以截獲其數據包中的敏感信息，并可以更改數據包內容、交換數據包中的傳輸實體，使得被浸透機器上的敏感信息泄露，并可以使其在接收到被更改正的數據包之后，產生更多的損失。對內網中的機器進展浸透，不一定需要軟件破綻的存在。將這種不需要軟件破綻進展浸透的技術稱為無破綻浸透技術。在交換型以太網中，所有的主機連接

5、到交換機，交換機知道每臺計算機的A地址信息和與之相連的特定端口，發給某個主機的數據包會被交換機從特定的端口送出，交換機通過數據包中的目的A地址來判斷最終通過自己的哪個端口來傳遞該報文，通過ARP欺騙之后，交換機將無條件地對這些報文進展轉發，從而確保了ARP欺騙報文的正確發送。2.1無破綻浸透技術無破綻浸透技術的研究重點是在欺騙成功之后，對數據包的處理。對數據包處理的方式主要有兩種，敏感信息的截取和傳輸實體的獲取與交換。報文中敏感信息的獲取對于明文傳輸的面向連接和非面向連接的協議，在截獲報文之后，對報文中傳輸的信息進展復原，并提取其中的敏感信息，如非加密EB頁面的用戶名、密碼，TELNET的用戶

6、名、密碼，FTP的用戶名、密碼和與郵件效勞器進展交互時所需要的用戶名、密碼等都可以直接進展嗅探。傳輸實體的獲取與交換明文傳輸的面向鏈接的協議中有很多協議支持文件實體的傳輸。如HTTP協議、FTP協議、STP協議。對文件的實體獲取是相對簡單的，對到達本地網卡的報文進展緩存，當收到連續報文中小于1500Byte2的報文時對報文進展復原，文件實體便可以得到。本文以網頁傳輸為例，來討論傳輸報文中網頁里包含鏈接的交換，分析EB欺騙攻擊3的原理。2.2數據包獲取與分析數據包常規的傳輸途徑依次為網卡、設備驅動層、數據鏈路層、IP層、傳輸層、最后到達應用程序。而包捕獲機制是在數據鏈路層增加一個旁路處理，對發送

7、和接收到的數據包做過濾/緩沖等相關處理，最后直接傳遞到應用程序。值得注意的是，包捕獲機制并不影響操作系統對數據包的網絡棧處理。對用戶程序而言，包捕獲機制提供了一個統一的接口，使用戶程序只需要簡單的調用假設干函數就能獲得所期望的數據包。目前，在Unix下有Libpap開發包、inds下有inpap開發包，都可以輕松地實現數據包的捕獲和分析。2.3數據包內容交換EB懇求截獲通過閱讀器發送EB頁的懇求，經過封裝后形成的以太網數據包不會超過1514Byte，所以，不用擔憂EB懇求報文會出現分片的情況。當實現欺騙之后，就不斷地截獲、轉發兩個被欺騙目的之間的通信報文，并分析每一個小于1514Byte以太包

8、的通信報文。一個HTTP懇求包包含14字節的以太網頭部、20字節的IP頭部和20字節的TP頭部以及HTTP懇求包。其中HTTP協議以HTTP1.1為例包格式4如圖1所示。圖1HTTP懇求包格式一個懇求包括：方法+懇求URI+HTTP版本號。方法有：GET|HEAD|PST|擴展方法；URI=目錄與文件名；HTTP版本為HTTP/1.1。一個完好的URL為協議類型+EB域名+URI。截獲到HTTP懇求包之后，發送以自身為源IP的偽造懇求包到EB效勞器，和EB效勞器交互，以獲取所有懇求的文件內容。注意，在截獲懇求后，需要緩存TP頭部的序號和確認號，以備發送修改后的懇求文件所用。獲取正常EB頁、交換

9、連接復制懇求的內容，根據序號和確認號構造包頭，發送到EB效勞器。緩存頭部信息和獲取的文件內容。并在每收到一次來自EB效勞器的TP包時，即構造并發送一個確認給EB效勞器，直到緩存了所有的頁面文件內容。將獲取的頁面內容進展更改，交換其中的鏈接以交換頁面的所有鏈接為例。這需要對HTTP回應包進展分析。圖2HTTP協議回應包格式如圖2所示，從以太幀中剝離的HTTP回應包格式包含協議版本、狀態碼、效勞器版本、懇求文件相關屬性和懇求的文件內容。緊跟著回應包的下一個傳輸的文件內容直接跟在TP頭部之后。在緩存之前，先對文件內容中的鏈接信息進展更改，將鏈接信息交換成自己想要換成的URL。并將信息存入一個文件，當

10、所有的內容承受完畢形成一個文件之后，需要利用在截獲HTTP懇求時緩存的序號和確認號構造報文發往被欺騙者。發送假裝數據包在構造HTTP回應包時，需要填充整個以太鄭不需要從頭開場去構造整個包，在前面獲取到來自EB效勞器的回應包時，已經將包頭部分進展了緩存，需要修改和構造的部分有：IP頭部校驗和、TP頭部中的序號和確認號、TP頭部校驗和5、HTTP協議回應包中的“狀態碼、“最后修改時間、“文件長度字段、文件信息的填充。2.4實現一次完好的ARP欺騙及浸透過程如圖3所示。圖3EB頁面鏈接交換過程Hst、ine、Gate同在一個交換式局域網內，Gate為局域網網關。通過ARP欺騙，ine截斷Hst與Ga

11、te之間的報文傳輸，當Hst懇求eb頁面時：Hst發送懇求報文；ine截獲并提取出URL，模擬HTTP懇求發送報文到Gate；Gate轉交報文到Internet上的EB效勞器；EB效勞器發送HTTP響應及數據包到ine；緩存了所有文件后，對文件中的鏈接進展交換；將交換后的文件發送到Hst。在被欺騙者接收到一個被篡改的網頁之后，它的網絡行為將完全與預先設計好的虛假站點進展交互，從而可以進展更進一步的浸透。3.1ARP欺騙的防范在交換式網絡中防范ARP欺騙主要有以下幾種方法：使用靜態ARP表在關鍵設備如網關、防火墻和邊界路由器等設置靜態的ARP，不要讓系統刷新設定好的ARP轉換表。在圖3中，在網關

12、Gate中使用靜態ARP表，那么可以防止通過網關進展ARP欺騙。使用ARP效勞器在內部網絡中設置ARP效勞器，通過該效勞器查找自己的ARP轉換表來響應其他機器的ARP播送，而制止其他系統響應ARP懇求。定期輪詢管理員定期輪詢可通過軟件實現網絡內部的IP地址與A地址的對應關系，通過與已有記錄的比擬來發現ARP欺騙。主動出擊主動出擊，用一些平安工具如AntiArpSniffer在網絡中進展檢測，可以檢測到本地網絡上的ARP欺騙報文。3.2無破綻浸透的防范使用加密通信無破綻浸透的報文中敏感信息的獲取和傳輸實體的交換主要針對非加密通信，將內網的通信進展加密可以有效地防止這類攻擊。例如在內部網絡利用共享

13、來傳遞文件時，首先用加密工具如inRAR對文件進展壓縮加密；內部網的系統登錄用SSH交換Telnet；用SFTP交換FTP；內部網站訪問用HTTPS交換HTTP等等。劃分虛擬局域網欺騙攻擊無法跨網段工作，將網絡進展越細致地分段，無破綻浸透成功的可能性就越校將受信任主機設置在同一社區VLAN中，將絕密性主機設置在隔離VLAN中，可以有效地防止無破綻浸透的滲入。進步防范意識目前，很多容易被攻擊者注意的網站如，網絡銀行等，都采用了HTTPS代替了HTTP協議來傳輸網頁和交易數據，已經防止了這類攻擊發生的可能。但對于那些沒有采用加密通信的EB站點來說，EB鏈接交換攻擊仍然有成功的可能。對這種攻擊可以從閱讀器終端用戶的角度來防范，使用一些較為平安的閱讀器來訪問網站，如GreenBrser，可以設置從網頁鏈接跳轉到非本網站網頁