把ARP欺騙和ICMP重定向結(jié)合在一起就可以基本實(shí)現(xiàn)跨網(wǎng)段欺騙的目的。本文將介紹不同網(wǎng)段ARP欺騙分析及對策。

不同網(wǎng)段ARP欺騙分析

假設(shè)A、C位于同一網(wǎng)段而主機(jī)B位于另一網(wǎng)段，三臺機(jī)器的ip地址和硬件地址如下：

A: IP地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA;

B: IP地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB;

C: IP地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC。

在現(xiàn)在的情況下，位于192.168.1網(wǎng)段的主機(jī)B如何冒充主機(jī)C欺騙主機(jī)A呢?顯然用上面的辦法的話，即使欺騙成功，那么由主機(jī)B和主機(jī)A之間也無法建立telnet會話，因?yàn)槁酚善鞑粫阎鳈C(jī)A發(fā)給主機(jī)B的包向外轉(zhuǎn)發(fā)，路由器會發(fā)現(xiàn)地址在192.168.0.這個(gè)網(wǎng)段之內(nèi)。

現(xiàn)在就涉及另外一種欺騙方式——ICMP重定向。把ARP欺騙和ICMP重定向結(jié)合在一起就可以基本實(shí)現(xiàn)跨網(wǎng)段欺騙的目的。

ICMP重定向報(bào)文是ICMP控制報(bào)文中的一種。在特定的情況下，當(dāng)路由器檢測到一臺機(jī)器使用非優(yōu)化路由的時(shí)候，它會向該主機(jī)發(fā)送一個(gè)ICMP重定向報(bào)文，請求主機(jī)改變路由。路由器也會把初始數(shù)據(jù)報(bào)向它的目的地轉(zhuǎn)發(fā)。

我們可以利用ICMP重定向報(bào)文達(dá)到欺騙的目的。下面是結(jié)合ARP欺騙和ICMP重定向進(jìn)行攻擊的步驟：

為了使自己發(fā)出的非法IP包能在網(wǎng)絡(luò)上能夠存活長久一點(diǎn)，開始修改IP包的生存時(shí)間TTL為下面的過程中可能帶來的問題做準(zhǔn)備。把TTL改成255。(TTL定義一個(gè)IP包如果在網(wǎng)絡(luò)上到不了主機(jī)后，在網(wǎng)絡(luò)上能存活的時(shí)間，改長一點(diǎn)在本例中有利于做充足的廣播)。

下載一個(gè)可以自由制作各種包的工具(例如hping2)。

然后和上面一樣，尋找主機(jī)C的漏洞按照這個(gè)漏洞宕掉主機(jī)C。

在該網(wǎng)絡(luò)的主機(jī)找不到原來的192.0.0.3后，將更新自己的ARP對應(yīng)表。于是他發(fā)送一個(gè)原IP地址為192.168.0.3硬件地址為BB:BB:BB:BB:BB:BB的ARP響應(yīng)包。

現(xiàn)在每臺主機(jī)都知道了，一個(gè)新的MAC地址對應(yīng)192.0.0.3，一個(gè)ARP欺騙完成了，但是，每臺主機(jī)都只會在局域網(wǎng)中找這個(gè)地址而根本就不會把發(fā)送給192.0.0.3的IP包丟給路由。于是他還得構(gòu)造一個(gè)ICMP的重定向廣播。

自己定制一個(gè)ICMP重定向包告訴網(wǎng)絡(luò)中的主機(jī)：“到192.0.0.3的路由最短路徑不是局域網(wǎng)，而是路由，請主機(jī)重定向你們的路由路徑，把所有到192.0.0.3的IP包丟給路由。”

主機(jī)A接收這個(gè)合理的ICMP重定向，于是修改自己的路由路徑，把對192.0.0.3的通信都丟給路由器。

入侵者終于可以在路由外收到來自路由內(nèi)的主機(jī)的IP包了，他可以開始telnet到主機(jī)的23口。

其實(shí)上面的想法只是一種理想話的情況，主機(jī)許可接收的ICMP重定向包其實(shí)有很多的限制條件，這些條件使ICMP重定向變得非常困難。

TCP/IP協(xié)議實(shí)現(xiàn)中關(guān)于主機(jī)接收ICMP重定向報(bào)文主要有下面幾條限制：新路由必須是直達(dá)的;重定向包必須來自去往目標(biāo)的當(dāng)前路由;重定向包不能通知主機(jī)用自己做路由;被改變的路由必須是一條間接路由。

由于有這些限制，所以ICMP欺騙實(shí)際上很難實(shí)現(xiàn)。但是我們也可以主動(dòng)地根據(jù)上面的思維尋找一些其他的方法。更為重要的是我們知道了這些欺騙方法的危害性，我們就可以采取相應(yīng)的防御辦法。

ARP欺騙的防御原則

我們給出如下一些初步的防御方法：

不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP地址的基礎(chǔ)上或硬件MAC地址基礎(chǔ)上，(RARP同樣存在欺騙的問題)，理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。

設(shè)置靜態(tài)的MAC→IP對應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。

除非很有必要，否則停止使用ARP，將ARP作為永久條目保存在對應(yīng)表中。在Linux下用ifconfig -arp可以使網(wǎng)卡驅(qū)動(dòng)程序停止使用ARP。

使用代理網(wǎng)關(guān)發(fā)送外出的通信。

修改系統(tǒng)拒收ICMP重定向報(bào)文。在Linux下可以通過在防火墻上拒絕ICMP重定向報(bào)文或者是修改內(nèi)核選項(xiàng)重新編譯內(nèi)核來拒絕接收ICMP重定向報(bào)文。在Win 2000下可以通過防火墻和IP策略拒絕接收ICMP報(bào)文。