背景介绍
在采用HUB连接的共享环境下实现网络嗅探是非常容易的,只需要安装Iris、Sniffer等网络协议分析软件即可。因此目前的网络都是采用交换机替代HUB来实现网络互连,然而使用交换机进行互联的网络事实上存在着很多安全隐患,尤其是内部的恶意员工更是可怕,对于稍微了解一些网络知识的攻击者完全可以采取“隔空取物”式的攻击方法如ARP欺骗攻击,来实施交换环境下的网络嗅探。
ARP欺骗的技术原理
ARP欺骗,也可称为ARP中间人攻击,主要适用于以交换网络环境的局域网内。举例说明如下:
局域网环境为10.1.1.*,子网掩码为255.255.255.0;
网关为10.1.1.95,10.1.1.95网卡的MAC地址为01-03-04-AE-BC-06;
局域网中有三台测试主机,分别是:
局域网拓扑示意图如下:
a) 正常的网络访问
当网络中不存在ARP欺骗攻击时,局域网内的主机一10.1.1.70要访问Internet的链路如下面的示意图所示:(图中绿色线路为主机一 10.1.1.70正常访问Internet的链路)
b)实施ARP欺骗攻击后的网路访问
假设局域网内有台主机二10.1.1.108准备实施ARP欺骗攻击,从而实现嗅探主机一10.1.1.70与网关Gateway 10.1.1.95之间的通信。
主机二10.1.1.108实施ARP欺骗攻击的原理,并且导致主机一10.1.1.70访问Internet的链路发生改变的过程,如下列示意图所示:(图中红色线路为主机二10.1.1.108实施攻击ARP欺骗攻击的线路,以及因此而改变的主机一10.1.1.70访问Internet的链路)
1.主机二10.1.1.108首先向主机一10.1.1.70持续发送ARP欺骗包,ARP包的特征为:
IP地址为网关地址Gateway的IP地址10.1.1.95,而MAC地址却不是网关Gateway的MAC地址01-03-04-AE-BC-06,而是主机二10.1.1.108的MAC地址00-02-B3-A6-80-5B。而数据包在真正地进行数据传输时,是通过MAC地址来判断实际的物理链路的。此时主机一10.1.1.70访问Internet的物理链路,因为主机二发送的ARP欺骗攻击包而发生了改变。
2.因为主机二10.1.1.108发送ARP欺骗包的缘故,主机一10.1.1.70检测自己的ARP表时,发现:网关Gateway 10.1.1.95的MAC地址为00-02-B3-A6-80-5B,主机一10.1.1.70将按照这个MAC地址,通过物理链路来发送数据。此时数据被发送给MAC地址为00-02-B3-A6-80-5B的主机二10.1.1.108,并没有发送给网关Gateway 10.1.1.95。而主机一10.1.1.70完全不知道物理链路已经被改变,因为并没有影响其通信行为,只是改变了其通信链路,这也正是ARP欺骗攻击具有较好的隐藏性的原因。
3.主机二10.1.1.108在收到主机一10.1.1.70的数据后,将主机一的数据发送给网关Gateway 10.1.1.95,从而不影响主机一10.1.1.70的正常通信行为。
4.主机二10.1.1.108在本地启动网络协议分析软件,实施网络数据嗅探,此时经过主机二网卡的所有数据包都能被完整的获取到,这当然包括了主机一10.1.1.70与网关Gateway之间的所有通信行为。
c ) ARP欺骗的危害
ARP欺骗的危害远不止上述分析的网络嗅探行为,根据我们的统计分析,目前ARP欺骗更大的危害是导致网络中断。
1
2
下一页>>
