officeba > 单独文章


ARP防火墙对ARP攻击的分析

   IP冲突、ARP欺骗、ARP局域网挂马……在2007年疯狂流行的ARP病毒攻击热潮之下,大大小小的局域网中,都异常重视对ARP攻击的防范与监查。网管们大都安装了各类ARP防火墙,比如免费的360ARP防火墙、AntiARP等,或者开启了各大杀毒软件防火墙自带的ARP防护功能。按理说,有了足够的防护,局域网就应该很安全了吧?可是有防就有破,又一种新的ARP攻击手段出现了,让各种ARP防火墙败下阵来,让所有用户遭受病毒的攻击……

    遭遇黑手网速变慢

    我是一个中型公司的网管,负责公司局域网中的一百余台工作站主机。最近老有用户向我反映,网速经常无缘无故变慢,检查了一下网络。没有发现什么不对劲的地方。哪知过了不久,情况越来越严重了。
很明显,局域网遭受了隐蔽的攻击。网速变慢,应该是流量被限制,公司局域网安装了ARP防火墙,并且工作站主机和服务器双向绑定了MAC地址,ARP欺骗几乎是不可能发生的。可是为何竟然出现这样的情况?于是,我开始了各种分析和检测。

    无ARP欺骗的ARP攻击Skiller

    上网搜索相关的安全信息,无意发现了几款新兴的ARP攻击工具的介绍,似乎让我看到了攻击公司局域网的隐藏黑手。
     “Skiller v3”是一款局域网中的流量控制工具,这类流量控制工具可以攻击局域网中的任意主机,是导致网速变慢的重要原因。Skiller与ARP攻击流量控制工具不同,它采用的是无ARP欺骗的会话劫持方式,为了测试Skiller是否真的能够突破ARP防火墙的防御,攻击任意主机进行流量限制,笔者在公司局域网中进行了一次流量攻击测试。A主机为被攻击目标,B主机为攻击者,C主机为网关。

    普通ARP攻击轻松拦截

    在A主机上安装“360ARP防火墙V2.0正式版”,启动360ARP防火墙,并启用“网关保护设置”功能。此时,360ARP防火墙对A主机及服务器的MAC地址及IP地址都进行了绑定,普通的ARP攻击工具是无法对A主机进行攻击的。一旦进行ARP欺骗攻击,360ARP防火墙就会发出报警,并拦截来自局域网内的攻击。
Skiller突破防火墙
    在B主机上运行无ARP数据攻击工具“Skiller”,在参数设置项“网卡”中选择工作网卡,软件工作方式有两种,分别是“流量探测”和“扫描网络”。
    流量探测:检测在线主机的对外网络流量以确定主机是否在线,因此比较隐蔽,很难被防火墙发现;
    扫描网络:通过主动连接主机的方式来检测主机是否在线,容易被防火墙发现。
    检测到所有在线主机后,在主机列表中勾选要攻击的目标IP地址(如192.168.1.9),点击“开始”按钮,即可进行流量攻击了。通过“强度”可以调节攻击强度,强度越高,被攻击目标主机的网速流量越慢。
    小提示:最危险的是,可以在扫描出的局域网主机列表中,勾选任意一台主机,点击skiller工具栏上的“设为代理”按钮,可将选定的主机设置为代理,设置代理的目的是进行伪装,此时再开始攻击,代理主机会收到伪流量,而真正的攻击者却会被伪装起来不被发现!
    测试证明,“Skiller v3”工具确实可以突破任意ARP防火墙的拦截,控制局域网内的任意主机流量。并且在整个攻击过程中,360ARP防火墙未发出任何攻击提示!

    冷静分析,揪出罪魁祸首

    通过上面测试发现,无ARP数据的局域网攻击是非常可怕的,而ARP防火墙对于此类的攻击根本无效!如何揪出攻击者的隐藏黑手呢?笔者运行常用的网络分析工具“科来网络分析系统6.7技术交流版”,重新进行了上面的攻击测试,终于发现了此类攻击的表现及检测方法。
    运行该软件后首先设置本机的网卡信息,确定后检测网络流量,无误后进入程序主界面。点击“开始”按钮,弹出网络分析设置对话框,使用默认设置,确定后即可开始监控分析局域网网络数据。
    在正常情况下时,展开左侧边栏“节点浏览器”中的“按物理节点浏览”项,可看到攻击者A主机、被攻击者B主机及网关C主机的物理网卡MAC地址信息。此时的MAC地址信息有一个特点,A、B主机的MAC物理网卡地址都只对应一个IP地址,而网关MAC则对应多个IP地址,但是这些IP地址都是公网IP地址。
    当A主机开始嗅探或流量控制攻击时,可以看到在“按物理节点浏览”项中,A、B主机的MAC物理网卡地址外,多出了一个MAC网卡物理地址,对应的IP地址与A主机的IP地址是重复的,其实这正是攻击者的IP地址。同时,在网关MAC网卡物理地址之下,对应的IP地址中多出了一个“192.168.1.42”的内网IP地址,真实的网关内网IP地址是“192.168.1.1”,因此很显然这个IP地址是伪造的。如果要继续检测的话,可以对可疑的IP地址“192.168.1.42”进行主机名解析。右键点击此IP,在弹出菜单中选择“解析主机名”命令,弹出主机名解析对话框,稍等片刻,会显示解析结果。由于这个IP地址是伪造的,因此最终是无法解析成功的。

    防患于未然

    从上面的网络分析中,可以看到遭受了无ARP数据攻击时的两个明显特点:首先,在物理节点的MAC列表中,会出现两个不同的MAC物理地址,但对应着相同的一个IP地址。——这个对应的相同IP地址,很可能就是攻击者的IP地址。另外,在网关MAC地址下,会出现一个内网IP地址,如果此内网IP地址与真实的网关内网IP地址不同,则说明遭受了无ARP数据的攻击。另外,如果经验丰富的话,在“按协议浏览”节点中,可以分析ARP协议及其它协议数据,结合“数据包”界面中的数据,可以判断出是否遭受攻击。由于分析过于专业复杂,因此这里就不多提及了。
    最后需要提醒各位网管的是,单纯依靠防火墙并不是最安全的方案,时常对网络进行手工分析也是必不可少的。


声明:欢迎各大网站转载本站文章,还请保留一条能直接指向本站的超级链接,谢谢!

时间:2008-07-31 15:06:24,点击:65824


【OfficeBa论坛】:阅读本文时遇到了什么问题,可以到论坛进行交流!Excel专家邮件:342327115@qq.com(大家在Excel使用中遇到什么问题,可以咨询此邮箱)。

【声明】:以上文章或资料除注明为Office自创或编辑整理外,均为各方收集或网友推荐所得。其中摘录的内容以共享、研究为目的,不存在任何商业考虑。如有任何异议,请与本站联系,本站确认后将立即撤下。谢谢您的支持与理解!


相关评论

我要评论

评论内容