反擊ARP欺騙　我與網(wǎng)絡(luò)執(zhí)法官的戰(zhàn)斗

作為一名校園網(wǎng)管理員， 筆者近期接二連三地接到用戶不能正常上網(wǎng)的舉報(bào)， 使得我們焦頭爛額。 經(jīng)過進(jìn)一步調(diào)查， 終于發(fā)現(xiàn)了故障的真相。

　　首先說明一下我校的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：在一臺(tái)三層主交換機(jī)上劃分了VLAN， VLAN1使用普通的二層交換機(jī)， 連接學(xué)生宿舍的網(wǎng)絡(luò)。 使用192.168.0.0作為網(wǎng)絡(luò)地址， 并在主交換機(jī)上做了MAC地址與IP地址的綁定， 避免學(xué)生自行修改IP地址造成地址沖突。 學(xué)生的計(jì)算機(jī)全部連接到普通的二層交換機(jī)上。

　　故障現(xiàn)象

　　某臺(tái)計(jì)算機(jī)會(huì)突然不能連接到服務(wù)器或其他客戶機(jī)， 重啟后恢復(fù)正常， 短時(shí)間后， 又出現(xiàn)該狀況。 查看本地連接狀態(tài)發(fā)現(xiàn)只有發(fā)出的數(shù)據(jù)包而沒有返回的數(shù)據(jù)包。 根據(jù)以往的經(jīng)驗(yàn)， 該癥狀與MAC地址綁定錯(cuò)誤相同， 于是在交換機(jī)上查看， 發(fā)現(xiàn)一切正常， 只是該IP地址沒有數(shù)據(jù)流量。 同時(shí)， 在網(wǎng)絡(luò)中的網(wǎng)管軟件監(jiān)聽到大量未知MAC地址的數(shù)據(jù)包出現(xiàn)。

　　故障分析

　　綜合考慮， 我們認(rèn)為有偽造MAC地址的情況出現(xiàn)。 我們重點(diǎn)查找Windows系統(tǒng)下的嗅探軟件， 并以著名的Winpcap和Libpcap為重點(diǎn)， 最終的焦點(diǎn)定位在一款叫做“網(wǎng)絡(luò)執(zhí)法官”的軟件上。

　　我們立即下載該軟件進(jìn)行安裝， 發(fā)現(xiàn)其基于Winpcap。 因?yàn)閃inpcap的資料相對(duì)較多， 我們沒有試圖對(duì)該軟件進(jìn)行反編譯， 而只對(duì)其基本功能進(jìn)行了測(cè)試， 發(fā)現(xiàn)其工作方式有三種， 并進(jìn)行了基本測(cè)試：

　　1． 生成IP地址沖突

　　在該模式下， 軟件產(chǎn)生一個(gè)虛擬的MAC地址， 并利用這個(gè)MAC地址偽造和被攻擊機(jī)器的IP地址相同的數(shù)據(jù)包， 從而使被攻擊機(jī)器不斷出現(xiàn)IP地址沖突對(duì)話框， 但由于該MAC地址是偽造的， 所以被攻擊機(jī)器無法發(fā)現(xiàn)是哪個(gè)機(jī)器進(jìn)行了攻擊。

　　2． 斷開被攻擊機(jī)器與網(wǎng)關(guān)的聯(lián)系

　　在該模式下， 軟件對(duì)被攻擊機(jī)和網(wǎng)關(guān)機(jī)都產(chǎn)生一個(gè)ARP的“欺騙”， 使得兩者不能正確獲知對(duì)方的MAC地址， 從而不能正常通訊。 但被攻擊機(jī)器和局域網(wǎng)內(nèi)其他主機(jī)可以進(jìn)行通訊。

　　3． 斷開被攻擊機(jī)器與所有其他主機(jī)的聯(lián)系

　　在該模式下， 軟件對(duì)被攻擊機(jī)器和局域網(wǎng)內(nèi)所有主機(jī)（包括網(wǎng)關(guān)）都進(jìn)行“ARP欺騙”， 被攻擊機(jī)器不能和任何機(jī)器通訊。 但本主機(jī)不能和被攻擊機(jī)斷開聯(lián)系（該軟件不會(huì)欺騙本身主機(jī)）， 所以如果該軟件如果安裝在網(wǎng)關(guān)機(jī)上， 就失去了網(wǎng)絡(luò)管理功能。

　　明顯的， 這是一種“ARP欺騙”的攻擊。 而ARP協(xié)議位于TCP/IP協(xié)議中的網(wǎng)絡(luò)層， 主要功能是將廣域網(wǎng)的IP地址尋址轉(zhuǎn)換成局域網(wǎng)中的MAC地址尋址。 所以， 如果我們破壞了IP/MAC地址的轉(zhuǎn)換， 被攻擊的主機(jī)就不能在局域網(wǎng)中進(jìn)行通訊了（因?yàn)闆]有其他主機(jī)“認(rèn)識(shí)”它了）。

　　故障解決

　　那么， 我們能不能避免ARP“欺騙”攻擊呢？很遺憾的是：鑒于ARP協(xié)議的“自治”性， 除非全部使用靜態(tài)ARP， 否則是不能的。

　　用什么辦法對(duì)抗網(wǎng)絡(luò)執(zhí)法官呢？我們從查、躲、殺三個(gè)角度進(jìn)行了試驗(yàn)。

　　1． 如何得知自己是否受到“ARP欺騙”的攻擊呢？

　　您可以檢測(cè)自己的網(wǎng)卡工作狀態(tài)， 如果只發(fā)數(shù)據(jù)而不能接收到數(shù)據(jù)的話， 很可能就受到了攻擊。 您也可以在命令行狀態(tài)下使用ARP -A命令， 來查看本機(jī)的ARP緩存狀態(tài)， 正常情況下除了網(wǎng)關(guān)外不會(huì)有太多的記錄， 您需要查看網(wǎng)關(guān)的MAC地址是否和正常的一樣。 如果不同， 那么或者網(wǎng)關(guān)換了網(wǎng)卡， 或者您受到了“ARP欺騙”的攻擊。

　　同樣， 如果沒有記錄或者有過多的ARP記錄， 您也可能受到了攻擊（不同版本的網(wǎng)絡(luò)執(zhí)法官的攻擊方式有所不同）。

　　2． 如何在局域網(wǎng)中查找該主機(jī)

　　因?yàn)樵撥浖�是基于Winpcap驅(qū)動(dòng)的， 其工作起來必然需要將該主機(jī)網(wǎng)卡工作于“混雜”模式下， 原理類似于常見的嗅探軟件， 所以， 反嗅探的軟件可以對(duì)其進(jìn)行查找。 經(jīng)常使用的有Antisniffer、ARPkiller等。 利用反嗅探軟件查找局域網(wǎng)內(nèi)處于“混雜”模式的網(wǎng)卡， 基本可以確定進(jìn)行攻擊的主機(jī)的IP地址。

　　注：被查找到的主機(jī)也可能沒有使用“ARP欺騙”， 而只進(jìn)行了竊聽。 但總之處于“混雜”狀態(tài)的主機(jī)肯定是不正常的。

　　同樣的， 您還可以安裝網(wǎng)絡(luò)執(zhí)法官的檢測(cè)版本來檢測(cè)本網(wǎng)中運(yùn)行該軟件的主機(jī)。

　　3． 躲過“ARP欺騙”的攻擊

　　如果您的網(wǎng)絡(luò)里沒有在網(wǎng)關(guān)綁定MAC地址和IP地址的話， 您可以針對(duì)被攻擊的類型不同選擇不同的方式躲避攻擊：

　�。�1）產(chǎn)生IP地址沖突的攻擊

　　如果產(chǎn)生地址沖突， 您可以看見類似“系統(tǒng)檢測(cè)到IP地址和硬件地址00-50-FC-1F-4C-9E發(fā)生沖突”的對(duì)話框。 您可以將您的MAC地址設(shè)置為該硬件地址， 就可以避免再次出現(xiàn)該對(duì)話框。

　�。�2）斷開被攻擊機(jī)器與網(wǎng)關(guān)的聯(lián)系和斷開被攻擊機(jī)器與所有其他主機(jī)的聯(lián)系的攻擊

　　您可以自行修改MAC地址， 修改后， 可以在短時(shí)間內(nèi)避開被攻擊， 但是如果攻擊者在網(wǎng)絡(luò)執(zhí)法官中設(shè)置了“發(fā)現(xiàn)用戶上網(wǎng)即進(jìn)行管理”后， 不久會(huì)再次受到攻擊。

　　總之， 利用修改MAC地址來躲避并不是有效的辦法。 況且很多局域網(wǎng)中還進(jìn)行的MAC地址和IP地址的綁定， 就算避過了網(wǎng)絡(luò)執(zhí)法官的攻擊， 也同樣不能正常上網(wǎng)。

　　4． “殺”實(shí)際上是一種“對(duì)攻”

　　因?yàn)锳RP緩存具有一定的生命周期， 所以網(wǎng)絡(luò)執(zhí)法官會(huì)在幾秒內(nèi)產(chǎn)生一個(gè)新的ARP數(shù)據(jù)包。 首先我們可以利用靜態(tài)ARP在本機(jī)注冊(cè)網(wǎng)關(guān)正確的MAC地址， 然后利用ARPkiller等軟件不停地向網(wǎng)絡(luò)中發(fā)布本機(jī)的正確IP和MAC數(shù)據(jù)， 使得網(wǎng)關(guān)的ARP緩存中始終保持有關(guān)本機(jī)的正確數(shù)據(jù)， 這樣就可以保持和網(wǎng)關(guān)的通訊， 也就可以正常上網(wǎng)了。 甚至， 我們同樣可以發(fā)動(dòng)“反擊”， 使得對(duì)方“掉網(wǎng)”。