一、前言

　　二、何谓ARP、RARP？

　　三、何谓ARP欺骗攻击?

　　四、ARP欺骗被使用的目的为何? 它攻击的特色为何?

　　五、ARP攻击分类、手法;为何IPS难以辨识及防御ARP的攻击 ?

　　六、ARP攻击的防御需要依赖安全交换机 – 介绍NBADswitch、NBADsensor

　　七、结束语 　　

　　一、前言

　　在网络世界里潜伏了许多危机，但由于信息安全技术进步而有效的阻隔了大多数的外部攻击，尽管如此，由于IT使用习惯的改变及入侵与病毒的传播技术日新月异，近年来的信息及网络安全威胁开始来自于企业内部。2007 旧金山 RSA conference 正说明了这一点，会中一致的共识说明「单纯的单点防御，或是筑起一道坚固的信息防御外墙，已经逐渐不能满足企业(机关)在信息安全上的需求，取而代之的，未来企业(机关)越来越需要整体内部网络与系统的协同防御机制。」本章节以技术角度说明ARP 欺骗攻击对企业(机关)内部使用者造成的信息安全问题，有了这些了解后，网络管理者将可更有效布署或整合适当的网络与信息安全设备，检测出网络与信息威胁来源。

　　二、何谓ARP、RARP?

　　地址解析协议( Address Resolution Protocol –简称ARP)是地址转换协议，RARP被称为反向地址转换协议,他们负责把IP地址和MAC地址进行相互转换对应。ARP主要被设计用于以OSI模型第三层地址(IP)求得第二层地址(MAC)，这是因为以太网设备本身并不识别第三层32个位的IP地址，而是以第二层48位的以太网地址(MAC地址)传输以太网数据包的。因此，必须把IP地址转换成MAC地址。在这两种地址之间存在着某种静态的映像，这就是所谓的ARP表。

　　ARP封包只会在同一个子网(subnet)内传送，它很少通过路由器(router)传送至不同的网络。主机的操作系统会依照封包目地IP地址与本机的子网掩码(subnet mask)进行运算，以判断封包目地IP是否与本机属于一个子网，如果不属于同一子网，则封包需要传送至路由器，ARP则正可以让本机获得路由器网卡MAC地址，而让封包可以通过本机网卡传送至路由器。ARP、RARP是一个非常重要且使用频繁的协议，在任何一个TCP/IP的连线建立之前，都要经过地址解析协议取得目地主机的物理地址(MAC)，在局域网中，两台计算机要想互相通信，首先必须知道对方的MAC地址才能将封包送往对方;例如: 如果某一台计算机 (ip1/ mac1) 得到另一台计算机 (ip2/mac2) 错误的 MAC地址 ( ip2/mac3), 那么这台计算机 (ip1/mac1) 将无法传送数据包到 Ip2 计算机。

　　三、何谓ARP欺骗 ?

　　ARP Spoofing (ARP欺骗) 攻击的根本原理是因为Windows计算机中维护着一个 ARP 高速缓存(可以使用 arp 命令来查看ARP缓存)，并且这个ARP 高速缓存是随着计算机不断的发出ARP请求和收到ARP回应而不断更新的， ARP 高速缓存的目的是把机器的IP地址和MAC地址相互映像，使得IP数据包在以太网内正确找到目的MAC地址后开始传送。如果你借发出标准的ARP请求或ARP响应来扰乱或攥改某计算机或路由器内正常的ARP表，而导致该计算机(或路由器)发出的数据包误传目的地，或使OSI的第二层以太网和第三层无法连接，进而瘫痪网络，我们就称使用了ARP欺骗攻击。

　　举例说明：现在有三部机器分别是机器A：IP1/MAC1、机器B：IP2/MAC2、机器C：IP3/MAC3 。现在机器B上的用户是位黑客企图干扰机器A或是监视SNIFFER机器A与C之间的通讯，首先他向机器A发出一个 ARP Reply，其中的目的IP地址为IP1，目的(Destination) MAC 地址为MAC1，而源(Source)IP地址为IP3，源MAC地址为 MAC2 。好了， 现在机器A更新了他的 ARP高速缓存，并相信了IP3地址的机器的MAC地址是 MAC2 。当机器A上的管理员发出一条FTP命令时---ftp IP3，数据包被送到了Switch，Switch查看资料包中的目的地址，发现MAC为 MAC2 ，于是，他把数据包发到了机器B上，因此成功攻击机器A。现在如果不想影响A和C之间的通信该怎么办?仅是sniffer监视两者之间的通讯，你可以同时欺骗他们双方，使用 man-in-middle攻击，便可以达到效果。

　　总之本机在传送数据包之前，会送出一个关于查询目的IP地址的MAC以太网广播包。正常情况下，只有对应目的IP的主机会以一个自己的48位MAC主机地址unicast包来做响应，并且将该IP与MAC地址对应更新本机内ARP高速缓存，以节约不必要的ARP通信。如果有一个中毒的计算机或是网内合法授权进行非法活动的黑客，他们对本地网络具有写访问权限，极可能这样一台机器就会发布虚假的ARP请求或响应通讯，欺骗其它计算机或路由器将所有通信都转向它自己，然后它就可以扮演某些机器，或对数据流进行修改。这样就造成arp欺骗攻击，影响正常的主机通信。

　　四、ARP欺骗被使用的目的为何? 它攻击的特色为何?

　　不管是中毒无特定目标的攻击或是黑客进行特定标的非法监听、窃取活动，ARP欺骗是主要攻击的一种手法也是目的。事实上很多的知名的黑客使用的工具就是使用ARP欺骗为手法的。最有名黑客攻击的手法如中间人攻击(Man-in-the-Middle attack) 与联机劫夺(Session Hijacking) 就是采取ARP spoofing等攻击手法达到欺骗主机、反追踪或是避开交换机访问安全存取的安全机制的防护。联机劫夺(Session Hijacking) 利用ARP欺骗将使用者正常的联机抢过来;中间人攻击则利用ARP同时欺骗使用者(Client)与服务器(Server)两边使所有两边的交谈都要通过入侵者的转述，达到欺骗、侧录、攥改数据的目的。另外中毒的计算机发送ARP欺骗封包，或是市面上也有些软件如网络剪刀手(NetCut)，利用制造ARP欺骗封包，它则是以攻击为目的，使得特定或不特定的目标瘫痪，并嫁祸于人。网络剪刀手(NetCut)的原理是负责假造ARP封包，提供给目标主机假的物理网络地址(MAC)信息，通讯网关(Gateway)收到后，将错误的物理网络地址(MAC)记到ARP 表内，客户端(Client)的返回封包就无法送达，也就无法上网，达到攻击的目的。

　　ARP欺骗手法最大的特色是隐密难以侦测，和过去黑客或中毒攻击手法 – DsS攻击或洪水攻击(Flooding)不同，DoS或洪水攻击所造成的网络危害明显，但是容易被查觉;而ARP欺骗则是以欺骗为目的，并且为了维持持续的欺骗效果，必须持续发送ARP欺骗包，这些ARP欺骗包长度短但是为数可能颇多，因此造成的网络危害不仅是可能的数据侧录、窃取，也可以是对网络特定目标的攻击，甚至大量ARP广播包也可造成整个或部分网络的瘫痪。

　　五、ARP攻击分类、手法;为何IPS难以辨识及防御ARP的攻击 ?

　　ARP欺骗攻击分类基本上可以分为刻意的特定目标攻击，及因中毒造成的无意攻击。这二种的攻击本意有所不同，(一)通常是利用网络下载的工具、例如网络翦刀手netcut程序 然后恶意攻击他人并将攻击封包伪装以嫁祸他人，其危害常是少数特定目标，但是由于攻击者以Unicast 包方式传送且善于伪装，因此网络管理员极难找出问题所在，也由于此类型程序下载容易操作简单，近期于网络中快速扩散，造成网络管理人员极大负担，也由于目前尚无完整机制快速侦测出此类型规则来源，因此常会使管理人员处理此类问题时疲于奔命，处理耗费时间同时效果不彰，过程中也让网络管理人员专业能力受到极大的质疑。(二)通常是使用者中毒后中毒软件发送ARP欺骗封包以误导其它人将封包送往错误的路径,导致变相的攻击使网关受害或某用户的遭殃,其主要的目的是造成部分或整体网络的危害。

　　地址解析协议(Address Resolution Protocol)在区域网络中极其重要，它属于局域网络同一子网内部主机对主机的传输或主机与路由器之间传输重要的协议。如果局域网属于中大型网络具有多个子网络，防火墙/IPS入侵侦测设备通常被设置在核心路由交换机之后根本没有机会接触ARP封包，因此对ARP攻击束手无策。即使局域网内只有一个网段，防火墙/IPS入侵侦测设备兼具路由器功能也仅能侦测部分ARP广播包，且大部分的产品如使用操作系统(如Linux)的TCP/IP Socket就难以侦测ARP数据包，因此目前的防火墙/IPS入侵侦测设备几乎不具有实时防止「欺骗地址解析协议攻击(ARP Spoofing Attack)」的功能，就算有也仅止于出口控制无法由网络底层第一时间阻隔此类攻击。

　　六、ARP攻击的防御需要依赖安全交换机 – 介绍NBADswitch、 NBADsensor

　　既然ARP欺骗攻击是属于局域网络内部的攻击手法，而且又是许多病毒、蠕虫、黑客攻击(如Session Hijacking联机劫夺、Man-in-The-Middle中间人攻击)经常使用的基本工具。因此，如果是可以由二层交换机来侦测及阻挡防御最为恰当，一方面可以不需要支付昂贵的IPS入侵侦测器的成本，而且可从网络最底层从事非法ARP的侦测及阻挡防御，根本解决ARP延伸的负面攻击。

　　NBAD switch是目前笔者了解市面上具备有ARP攻击防卫较完整的解决方案。NBAD switch设计上是属于二层的交换机，主要应用在局域网络底层的布署，一方面提供正常网络封包的基本交换功能，另一方面也同时解决网络攻击或流量异常的侦测，以实时反应边际端的异常状况，并减轻负荷、保护企业核心网络。NBAD switch基本上提供了ARP扫描侦测 (xarp scan detection)、ARP异常侦测 (xarp anomaly detection) 及ARP攻击侦测 (xarp attack detection)三种防护功能。. ARP扫描侦测- 主要目的是侦测LAN内部arp扫描行为，ARP异常侦测- 则是侦测LAN内部哪些用户送一些不合法封包，ARP攻击侦测- 主要目的是侦测出哪些用户遭受攻击，并找出攻击来源。利用这些侦测(detection), NBAD switch 可以检测出PC开始攻击前的异常行为，并送出通知让PC了解可能是因为中毒正准备蓄意对外攻击。如果该PC正式对外攻击，NBAD switch会立即侦测到并通知管理者攻击者、被攻击者是谁，因此可以采取快速反应的动作。

　　NBAD sensor设计目的、布署方式与NBAD switch不同，NBAD switch 主要布署于新建或者是全面更新的局域网络上，而NBAD sensor则是布署于已存在的局域网络上的侦测器，主要目的除了可以映像(mirror)方式侧听(sniffer)网络上是否有异常ARP 欺骗攻击的封包之外，也可收集、侦测、防御MAC/IP绑定的管理，有效解决局域网络内IP冲突与病毒攻击问题。

　　七、结束语

　　ARP Spoofing Attack确实在区域网络(Local area network)中具有极大的威胁，而且ARP攻击的手法也越来越精湛，由broadcast 转向Unicast 使得一般的侦测器或防火墙无法做出有效而广泛的侦测，而如果想要扫描整体网络ARP的攻击显然就必需要依赖交换机基础的解决方案，在区域网络(Local area network)建立的时候，依赖交换机主动侦测是否有异常ARP信息，经过内建芯片过滤，一旦发现异常ARP封包便可自动封锁并通知网络管理者，有效处理「欺骗地址解析协议攻击(ARP Spoofing Attack)」瘫痪区域网络这一个棘手的问题。

　　八、信息与网络威胁来源：

　　恶意程序代码攻击

　　病毒传播与攻击

　　蠕虫传播与攻击

　　网页入侵

　　SQL指令植入式攻击

　　搜寻引擎入侵

　　跨网站指令码

　　Phishing

　　刺探或扫描

　　Layer 4 port scan 3

　　Layer 2 arp scan

　　阻断服务攻击(DoS)

　　间谍活动(公司机密资料窃取)

　　木马程序 Trojan Horse

　　间谍程序 Spyware

　　欺瞒、诈骗或窃取

　　ARP欺骗

　　中间人攻击 Man-In-The-Middle Attack

　　联机劫夺 Session Hijacking

　　未授权数据存取、或未授权的利用服务(内部数据外泄)

　　系统或软件漏洞与弱点

　　01 病毒 Virus

　　02 蠕虫 Worm

　　03 木马程序 Trojan Horse

　　04 间谍程序 Spyware

　　05 垃圾邮件 Spam

　　06 图片式垃圾邮件 Imge Spam

　　07 隐匿技术 Rootkit 

　　08 网络钓鱼 Phishing

　　09 傀儡网络

　　10 拒绝服务∕分布式拒绝服务攻击 Dos/DDos

　　11 网址嫁接 Pharming

　　12 DNS缓存中毒 DNS Cache Poisoning

　　13 目录游走 Directory Traversal

　　14 中间人攻击 Man-In-The-Middle Attack

　　15 联机劫夺 Session Hijacking

　　16 网络电话安全 Voip Secvrity

　　17 零时差攻击 Zero-Day Exploits

　　18 缓冲区溢位 Buffer Overflow

　　19 SQL指令植入式攻击 SQL Injection

　　20 搜寻引擎入侵 Google Hacking

　　21 跨网站指令码 Cross-Site Scripting

　　22 Fibre Channel SAN攻击

　　23 iscsl SAN 攻击

　　24 NAS攻击

　　25 物理安全 Physical security

　　26 网卡地址伪装 Mac Spoofing

　　27 无线信号干扰 RF Jamming

　　28 中断讯框攻击De-Authentication

　　29 双面攻击 Evil Twin Attack

　　30 网卡或基地台弱点攻击 Wireless Device Vulnerabilities