偽造IP的Mac的ARP攻擊搜索

ARP 攻擊就以攻擊方法簡單、攻擊速度快、攻擊效果好而深受越來越多惡作劇者的青睞， 從而導(dǎo)致在近 1 年多的時(shí)間里， 網(wǎng)絡(luò)中的 ARP 攻擊無處不在， 各大論壇從未停止過 ARP 攻擊的討論， 一些遭受過 ARP 攻擊的用戶甚至到了談“ARP”色變的程度。

    根據(jù)攻擊者的真實(shí)性， ARP 攻擊可以分為三類：

    1.  攻擊者的 IP 和 MAC 都是真實(shí)的；

    2.  攻擊者的 IP 更改， MAC 是真實(shí)的；

    3.  攻擊者的 IP 和 MAC 均更改， 甚至偽造。

    對(duì)于前兩種情況， 我們知道借助科來網(wǎng)絡(luò)分析系統(tǒng)的智能診斷功能， 可以輕松地定位攻擊源。 但第 3 種情況， 這種方法則不能有效定位攻擊源， 而這種情況的 ARP 攻擊， 正日漸增多， 所以對(duì)這種同時(shí)更改 IP 和 MAC 的 ARP 攻擊的排查， 成為了目前 ARP 攻擊排查工作的重中之重。

    下面我們對(duì)同時(shí)更改 IP和 MAC 的 ARP 攻擊進(jìn)行討論（第 1 種和第 2 種 ARP 攻擊不此討論范圍之內(nèi)）， 并給出這種情況下的解決方案。

    我們以一個(gè)實(shí)例的方式進(jìn)行分析， 首先請(qǐng)看網(wǎng)絡(luò)拓?fù)洹?

    網(wǎng)絡(luò)非常簡單， A、B、C、D 四臺(tái)機(jī)器同時(shí)連接到一個(gè)交換機(jī)， 再通過一個(gè)路由器連接到 Internet， 同時(shí)將安裝科來的分析用筆記本， 接在交換機(jī)的鏡像端口。

    在圖 1 所示的網(wǎng)絡(luò)中， 假設(shè) A發(fā)起 ARP 攻擊， 但卻將攻擊數(shù)據(jù)包的源 MAC 和源 IP 均改為機(jī)器 D 的。 在這種情況下， 如果我們直接使用圖 1 的方式進(jìn)行抓包， 那么我們分析后， 將會(huì)認(rèn)為機(jī)器 D 存在 ARP 攻擊， 而這樣的結(jié)果將會(huì)使用D 蒙冤而 A卻逍遙法外。 接下來， 我們就來看， 如何查找到元兇

    這種情況下， 我們的解決方案是：科來網(wǎng)絡(luò)分析系統(tǒng)＋分路器。

    在這種解決方案中， 科來網(wǎng)絡(luò)分析系統(tǒng)用于捕獲數(shù)據(jù)， 分路器（TAP）用于物理單向鏡像數(shù)據(jù)。 二者結(jié)合使用， 可實(shí)現(xiàn)物理單向的數(shù)據(jù)捕獲。 針對(duì)前面的網(wǎng)絡(luò)拓?fù)洌?以單端口分路器為例， 部署后的拓?fù)淙鐖D 2 所示。

    從圖 2 可知， 我們將 4 臺(tái)機(jī)器分成了兩部分， 其中兩臺(tái)（這里是 A 和 B）首先通過一個(gè)二層交換機(jī)到分路器， 然后再連接到中心交換機(jī)， 同時(shí)將安裝科來的筆記本接到分路器上進(jìn)行數(shù)據(jù)捕獲。

    我們?cè)賮矸治鰟偛潘�舉的例子， 即 A發(fā)起 ARP 攻擊， 但卻將攻擊數(shù)據(jù)包的源 MAC 和源 IP 均改為機(jī)器 D 的。 在部署分路器后， 我們?cè)诳苼砭W(wǎng)絡(luò)分析系統(tǒng)中， 只捕獲并分析 A和B兩臺(tái)機(jī)器發(fā)出的數(shù)據(jù)包， 這時(shí)， 我們將抓到源 MAC 和源 IP 都是 D 的數(shù)據(jù)。 抓到這些數(shù)據(jù)后， 我們即可確定， 真正的罪魁禍?zhǔn)自?A和 B兩臺(tái)機(jī)器之間， 然后再單獨(dú)對(duì) A和 B進(jìn)行單向抓包， 即可確定最終的元兇。 相對(duì)應(yīng)的， 如果我們?cè)谶@種情況下抓到的數(shù)據(jù)包全是正常的（源 IP 和源 MAC 都是 A或 B）， 則表示罪魁禍?zhǔn)撞皇?A和 B， 那么需要使用相同的方法對(duì) C 和D 進(jìn)行檢測分析。

    同樣， 當(dāng)攻擊者將 IP 和 MAC 都改為不存在的假地址時(shí)， 我們也可采用上述方法找到真兇。 此方法不僅適用于上述例子中幾臺(tái)機(jī)器的小型網(wǎng)絡(luò)， 在大規(guī)模的網(wǎng)絡(luò)中一樣可行， 排查的故障也不僅僅是例子所說的 ARP 攻擊， 而是偽造 IP和 MAC 的任意攻擊行為。

    現(xiàn)將此方法的步驟歸納如下：

    1.  將所有客戶端分為兩部分， 一部分接入位置保持不變， 另一部份接入分路器；

    2.  將安裝科來的筆記本接入到分路器中， 僅捕獲發(fā)出的數(shù)據(jù)包；

    3.  如果捕獲到的數(shù)據(jù)包中， 出現(xiàn)源 MAC 或 IP 不是這部分的正確 IP或 MAC 的數(shù)據(jù)， 則表示這部分機(jī)器中存在偽造地址攻擊；如果捕獲到的數(shù)據(jù)包沒有出現(xiàn)這種數(shù)據(jù)， 則表示攻擊者在另一部分機(jī)器中；

    4.  將認(rèn)定有問題的那部分機(jī)器再細(xì)分成兩部份， 使用和上面相同的方法進(jìn)行捕獲分析， 進(jìn)而將攻擊者定位在更小的范圍內(nèi)；

    5.  采用上述的方法逐漸縮小范圍， 直至最終找出攻擊者（具體的步驟數(shù)與網(wǎng)絡(luò)相關(guān)）。

    在網(wǎng)絡(luò)安全日益重要的今天， 通過該方法查找網(wǎng)絡(luò)中的惡意攻擊者， 雖然步驟顯得有些繁瑣， 但個(gè)人認(rèn)為， 卻不失為一種行之有效的手段。

    本文僅提供一種思路， 不對(duì)的地方敬請(qǐng)指出， 同時(shí)歡迎大家共同探討。