随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。
ARP欺骗是一种技术, 每一个安全顾问会吓跑他们的客户与作为一种手段来证明这一点没有什么内部的网络是安全的从窃听。 因此, 它是什么? ARP欺骗, 也称为ARP协议中毒, 是一种技术, 用来攻击一个乙太网路。 它允许攻击者嗅探数据帧在一个局域网( LAN ) , 修改交通, 或停止的交通完全。 一些值得一提的在这里从一开始, 这是没有新的, ARP欺骗是人所共知和理解, 在安全共同体, 这种认识已导致在技术, 正在开发, 以对付攻击。 什么是新的, 不过, 是恶意软体的作者看到了潜力, 这次袭击和正在开始使用它。
它是什么?
首先什么是ARP协议, 它是地址解析协议( ARP ) , 它是一个标准的方式找到一个设备的硬件地址时, 只有网络地址是众所周知的。 这是不是一个仅限IP或以太网的唯一协议, 它可以用于许多其他的环境, 然而, 由于普遍存在的IP和以太网的环境, 它主要是用来翻译IP地址以太网MAC地址。 你可以找到一个更详细的说明整个议定书在这里。
该技术涉及发送假的或'欺骗性'的ARP讯息给以太网LAN 。 目的是有设备在网络上副攻击者的MAC地址与IP地址的另一个主机在网络上, 转移交通为目标, 攻击者的机器。 在许多情况下, 攻击者将目标特定服务或一块网络等基础设施建设作为一个默认网关或代理服务器。 如果成功的话, 任何交通的意思为有针对性的IP地址结束了在攻击者的主机而不是。 然后, 攻击者选择前进的交通, 以实际主机, 录得的数据截获或可能修改它。 ARP欺骗也可用于一个有效的拒绝服务攻击的关联, 不存在的MAC地址与目标IP地址。
大多数人看到的风险由ARP欺骗作为其中的内幕试图嗅出登录的细节, 或拦截网络流量超过SSL的。 但是, 一些正在开始抬头丑陋的小头是恶意软件的使用ARP欺骗作为一种手段来注入代码到网站流量和妥协的用户的登录信息。
恶意软件
在今年早些时候尼尔木匠在日志中约一事件, 他参与了与那里的一块恶意软件是使用ARP欺骗对网络的客户进行拦截和修改Web交通插入一个恶意的iframe到每个网页访问。 在这方面, 例如恶意软件将直接受害人的网页, 利用ms07 - 017 , 更好地称为动画cusor的脆弱性。 现在, 这是不是第一次了ARP欺骗一直使用的恶意软件, 例如w32/snow.a用它来试图拒绝服务攻击在2006年年初。 最近, 在2007年10月, 中国互联网安全应急反应小组( cisrt )报告说, 他们怀疑一个类似的攻击已被用来妥协的用户会话, 以他们的网站。
大约同一时候, 由于原本的博客张贴由Neil木匠, 视听公司说, 一些所谓的w32.arpiframe , 以签名数据库。 这一点的恶意软件是否只是描述的是什么, 在博客, 和它几乎一样, 一块恶意软件可负责为打击cisrt实际攻击的方法是相同的, 但它在条款的URL注入内部的IFRAME是不同的利用和使用作出妥协, 用户系统, 这意味着有不同的变种浮动约目前正在更新和维持, 以避免检测的反病毒软件。
的可能性, 一个成功的ARP欺骗攻击是显着的, 其使用的注射液是有很大的潜力, 为进一步的袭击。 举例来说, 您不仅可以注入任何HTML你喜欢到任何网页的用户下载, 但是您可能感染任何可执行用户的副本或下载网络。 巴纳杰克显示, 整齐的伎俩与妥协D - Link公司路由器使用的固件在eusecwest在2006年允许注射液改性可执行文件, 这种攻击将提供一个理想的机制, 使这种风格的注入任何下载与潜在的严重结果。
然后当用于吸嗅天拿水无关是安全的在网络上, 任何明确的文字登录请求或会议令牌网络发送的时机已经成熟窃取。 经典的男子在中东的攻击可能会顾问警告SSL的会议是一种可能性, 因为我们都知道, 只有一小数量的用户, 其实检查SSL证书警告之前, 迫切的'是' , 让方面, 他们都条件检查小锁, 因此, 假如你曾经获得之间的联系, 他们和妥协的东道国所有ssl'd起来, 他们可能不会前往, 恕不另行通知。
然而, 这一切, 说有问题, ARP欺骗确有它的问题。 作为讨论的, 它可以作为一个有效的拒绝服务, 如果一些餐厅了最终用户往往会注意到它。 对大型网络成功地企图一ARP欺骗攻击可能会造成很多交通的标题, 通过一个主机, 它很可能导致大量的退化的表现, 东道国。 这种风格的攻击可能会有更多的成功, 一个规模较小的网络环境。 在任何环境中与网络交换设备的特点一样, '港口安全'的地方, 在ARP欺骗攻击是不可能工作的指示, 作为这些技术已经开发, 以帮助解决这个众所周知的问题。
国防
有各种方法防范ARP欺骗攻击。 第一件事很明显, 这是特定的恶意软件使用此风格的攻击, 是要确保任何您下载扫描使用直至目前为止的反病毒扫描仪, 和该文件在您下载来自合法来源。
有没有魔术子弹, 为ARP欺骗, 最好的防御是有静态的ARP作品每一台机器在网络上。 可惜这是不实际的大多数企业环境。 因此, 作为一个结果, 有各种各样的技术, 已经开发, 以协助扑灭这一点。 第一, 这些技术是一些所谓的'港口安全' 。 港口安全是一件是部分的固件上运行的网络交换的基础设施, 它的是它可以防止改变MAC地址表的切换, 这取决于执行的固件还可以包括能力锁定交换机端口, 如果它认为太多的MAC地址就港口及如果MAC地址的频繁更改。 这本身就是并不是万灵丹所有, 但会妨碍一个ARP欺骗攻击。
MAC地址克隆可以发现用一些所谓的rarp (反向ARP协议) , 其中一系统将执行查找一个已知的MAC地址, 并要求相关的IP地址。 如果请求得到多个机器的反应, 为一个单一的MAC地址, 然后你可以有一个实例的Mac克隆, 可让您侦测时, 一块基础设施一样, 路由器或代理的对象是对网络ARP欺骗。
有检测技术, 如arpwatch监测网络的ARP请求的地址, 并会生成警报当侦测到可疑的ARP流量, 并可能是最好的方法打击ARP欺骗攻击。 许多入侵检测系统有相同的能力, 不过, 刚才有多少人实际执行入侵检测系统对内部网络?
结论
ARP欺骗是一种攻击往往被低估, 但如果成功的话有深远的后果。 ARP欺骗的恶意软件是一个日益严重的问题和恶意软体的作者已开始实施这项技术, 以窃取信息和注入恶意的交通。 所以不要期望看到的威胁消失。
有技术有哪些可以抵御ARP欺骗攻击, 但是他们往往是有限的, 以高端网络基础设施, 使保护将会失去达成的大多数家庭用户和可能许多小型企业, 所以说, 高端市场的最佳国防部是直至目前为止病毒扫描和个人防火墙, 并设立静态的ARP项目为您的路由器/防火墙和其他关键资源。 对企业而言, 实施港口安全跨越网络交换的基础设施是一个关键的辩护, 随着实施ARP协议的监测和检测技术。