ARP防火墙对ARP攻击的分析

   IP冲突、ARP欺骗、ARP局域网挂马……在2007年疯狂流行的ARP病毒攻击热潮之下，大大小小的局域网中，都异常重视对ARP攻击的防范与监查。网管们大都安装了各类ARP防火墙，比如免费的360ARP防火墙、AntiARP等，或者开启了各大杀毒软件防火墙自带的ARP防护功能。按理说，有了足够的防护，局域网就应该很安全了吧?可是有防就有破，又一种新的ARP攻击手段出现了，让各种ARP防火墙败下阵来，让所有用户遭受病毒的攻击……

    遭遇黑手网速变慢

    我是一个中型公司的网管，负责公司局域网中的一百余台工作站主机。最近老有用户向我反映，网速经常无缘无故变慢，检查了一下网络。没有发现什么不对劲的地方。哪知过了不久，情况越来越严重了。
很明显，局域网遭受了隐蔽的攻击。网速变慢，应该是流量被限制，公司局域网安装了ARP防火墙，并且工作站主机和服务器双向绑定了MAC地址，ARP欺骗几乎是不可能发生的。可是为何竟然出现这样的情况?于是，我开始了各种分析和检测。

    无ARP欺骗的ARP攻击Skiller

    上网搜索相关的安全信息，无意发现了几款新兴的ARP攻击工具的介绍，似乎让我看到了攻击公司局域网的隐藏黑手。
     “Skiller v3”是一款局域网中的流量控制工具，这类流量控制工具可以攻击局域网中的任意主机，是导致网速变慢的重要原因。Skiller与ARP攻击流量控制工具不同，它采用的是无ARP欺骗的会话劫持方式，为了测试Skiller是否真的能够突破ARP防火墙的防御，攻击任意主机进行流量限制，笔者在公司局域网中进行了一次流量攻击测试。A主机为被攻击目标，B主机为攻击者，C主机为网关。

    普通ARP攻击轻松拦截

    在A主机上安装“360ARP防火墙V2.0正式版”，启动360ARP防火墙，并启用“网关保护设置”功能。此时，360ARP防火墙对A主机及服务器的MAC地址及IP地址都进行了绑定，普通的ARP攻击工具是无法对A主机进行攻击的。一旦进行ARP欺骗攻击，360ARP防火墙就会发出报警，并拦截来自局域网内的攻击。
Skiller突破防火墙
    在B主机上运行无ARP数据攻击工具“Skiller”，在参数设置项“网卡”中选择工作网卡，软件工作方式有两种，分别是“流量探测”和“扫描网络”。
    流量探测：检测在线主机的对外网络流量以确定主机是否在线，因此比较隐蔽，很难被防火墙发现；
    扫描网络：通过主动连接主机的方式来检测主机是否在线，容易被防火墙发现。
    检测到所有在线主机后，在主机列表中勾选要攻击的目标IP地址(如192.168.1.9)，点击“开始”按钮，即可进行流量攻击了。通过“强度”可以调节攻击强度，强度越高，被攻击目标主机的网速流量越慢。
    小提示：最危险的是，可以在扫描出的局域网主机列表中，勾选任意一台主机，点击skiller工具栏上的“设为代理”按钮，可将选定的主机设置为代理，设置代理的目的是进行伪装，此时再开始攻击，代理主机会收到伪流量，而真正的攻击者却会被伪装起来不被发现!
    测试证明，“Skiller v3”工具确实可以突破任意ARP防火墙的拦截，控制局域网内的任意主机流量。并且在整个攻击过程中，360ARP防火墙未发出任何攻击提示!

    冷静分析，揪出罪魁祸首

    通过上面测试发现，无ARP数据的局域网攻击是非常可怕的，而ARP防火墙对于此类的攻击根本无效!如何揪出攻击者的隐藏黑手呢?笔者运行常用的网络分析工具“科来网络分析系统6.7技术交流版”，重新进行了上面的攻击测试，终于发现了此类攻击的表现及检测方法。
    运行该软件后首先设置本机的网卡信息，确定后检测网络流量，无误后进入程序主界面。点击“开始”按钮，弹出网络分析设置对话框，使用默认设置，确定后即可开始监控分析局域网网络数据。
    在正常情况下时，展开左侧边栏“节点浏览器”中的“按物理节点浏览”项，可看到攻击者A主机、被攻击者B主机及网关C主机的物理网卡MAC地址信息。此时的MAC地址信息有一个特点，A、B主机的MAC物理网卡地址都只对应一个IP地址，而网关MAC则对应多个IP地址，但是这些IP地址都是公网IP地址。
    当A主机开始嗅探或流量控制攻击时，可以看到在“按物理节点浏览”项中，A、B主机的MAC物理网卡地址外，多出了一个MAC网卡物理地址，对应的IP地址与A主机的IP地址是重复的，其实这正是攻击者的IP地址。同时，在网关MAC网卡物理地址之下，对应的IP地址中多出了一个“192.168.1.42”的内网IP地址，真实的网关内网IP地址是“192.168.1.1”，因此很显然这个IP地址是伪造的。如果要继续检测的话，可以对可疑的IP地址“192.168.1.42”进行主机名解析。右键点击此IP，在弹出菜单中选择“解析主机名”命令，弹出主机名解析对话框，稍等片刻，会显示解析结果。由于这个IP地址是伪造的，因此最终是无法解析成功的。

    防患于未然

    从上面的网络分析中，可以看到遭受了无ARP数据攻击时的两个明显特点：首先，在物理节点的MAC列表中，会出现两个不同的MAC物理地址，但对应着相同的一个IP地址。——这个对应的相同IP地址，很可能就是攻击者的IP地址。另外，在网关MAC地址下，会出现一个内网IP地址，如果此内网IP地址与真实的网关内网IP地址不同，则说明遭受了无ARP数据的攻击。另外，如果经验丰富的话，在“按协议浏览”节点中，可以分析ARP协议及其它协议数据，结合“数据包”界面中的数据，可以判断出是否遭受攻击。由于分析过于专业复杂，因此这里就不多提及了。
    最后需要提醒各位网管的是，单纯依靠防火墙并不是最安全的方案，时常对网络进行手工分析也是必不可少的。

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-07-31 15:06:24,点击:65824