文:侯小东
在采用HUB连接的共享环境下实现网络嗅探是非常容易的,只需要安装Iris、Sniffer等网络协议分析软件即可。因此目前的网络都是采用交换机替代HUB来实现网络互连,然而使用交换机进行互联的网络事实上存在着很多安全隐患,尤其是内部的恶意员工更是可怕,对于稍微了解一些网络知识的攻击者完全可以采取“隔空取物”式的攻击方法如ARP欺骗攻击,来实施交换环境下的网络嗅探。
一、ARP欺骗的技术原理
ARP欺骗,也可称为ARP中间人攻击,主要适用于以交换网络环境的局域网内。举例说明如下:
● 局域网环境为10.1.1.*,子网掩码为255.255.255.0;
● 网关为10.1.1.95,10.1.1.95网卡的MAC地址为01-03-04-AE-BC-06;
● 局域网中有三台测试主机,分别是:
● 局域网拓扑示意图如下:
a) 正常的网络访问
当网络中不存在ARP欺骗攻击时,局域网内的主机一10.1.1.70要访问Internet的链路如下面的示意图所示:(图中绿色线路为主机一 10.1.1.70正常访问Internet的链路)
b)实施ARP欺骗攻击后的网路访问
假设局域网内有台主机二10.1.1.108准备实施ARP欺骗攻击,从而实现嗅探主机一10.1.1.70与网关Gateway 10.1.1.95之间的通信。主机二10.1.1.108实施ARP欺骗攻击的原理,并且导致主机一10.1.1.70访问Internet的链路发生改变的过程,如下列示意图所示:(图中红色线路为主机二10.1.1.108实施攻击ARP欺骗攻击的线路,以及因此而改变的主机一10.1.1.70访问Internet的链路)
1. 主机二10.1.1.108首先向主机一10.1.1.70持续发送ARP欺骗包,ARP包的特征为:
2. 因为主机二10.1.1.108发送ARP欺骗包的缘故,主机一10.1.1.70检测自己的ARP表时,发现:网关Gateway 10.1.1.95的MAC地址为00-02-B3-A6-80-5B,主机一10.1.1.70将按照这个MAC地址,通过物理链路来发送数据。此时数据被发送给MAC地址为00-02-B3-A6-80-5B的主机二10.1.1.108,并没有发送给网关Gateway 10.1.1.95。而主机一10.1.1.70完全不知道物理链路已经被改变,因为并没有影响其通信行为,只是改变了其通信链路,这也正是ARP欺骗攻击具有较好的隐藏性的原因。
3. 主机二10.1.1.108在收到主机一10.1.1.70的数据后,将主机一的数据发送给网关Gateway 10.1.1.95,从而不影响主机一10.1.1.70的正常通信行为。
4. 主机二10.1.1.108在本地启动网络协议分析软件,实施网络数据嗅探,此时经过主机二网卡的所有数据包都能被完整的获取到,这当然包括了主机一10.1.1.70与网关Gateway之间的所有通信行为。
c ) ARP欺骗的危害
ARP欺骗的危害远不止上述分析的网络嗅探行为,根据我们的统计分析,目前ARP欺骗更大的危害是导致网络中断。
ARP欺骗的产生,可能是内网的主机感染了病毒、蠕虫,也可能是恶意用户发起攻击。
在上面的分析当中,攻击者之所以能够窃听数据,首先他伪造的MAC地址是自身,物理上可达;然后在其主机上启用了路由转发,因此能够进行看似正常的网络通信。
如果内部网络伪造了一个数据包,IP是网关地址,而MAC地址是虚构的或不存在的,当这个ARP以广播形式发送到网络里时,整个广播域的主机都会接受到该数据包,并且在系统中建立错误的IP、MAC对应表,这样内部网络主机因为找不到正确的网关地址而无法上网,从而造成网络中断。
目前这种攻击方式很普遍,尤其是一些蠕虫具有ARP欺骗攻击的特征,因此及时发现并检测ARP攻击对于保证网络可用性具有重要意义。
二、东软IDS的ARP欺骗应对之道
东软IDS在处理ARP欺骗时采用的是IP/MAC绑定的技术,通过将网络中的主机、网络设备等进行IP/MAC绑定,从而能够非常有效地检测到ARP欺骗攻击。
攻击者在进行ARP欺骗时,必然会伪造ARP报文,假冒成其它主机,这时就会被IDS检测出来及控制。
1. 自定义事件
NetEye IDS提供了强大的自定义事件功能,以便客户根据实际需求定制一些特殊的检测规则。对于ARP欺骗,NetEye IDS特别定义了一条事件信息,允许用户进行IP/MAC绑定的配置。如下图:
2. 报警方式
在NetEye IDS的策略当中,针对攻击事件,进行选择一种或者多种应对措施。针对ARP欺骗,一旦IDS成功检测以后,可以进行如下方式的处理:
A实时报警
如下图,网络当中一旦发现ARP欺骗数据,IDS的“实时报警”模块,会立刻将警告信息提交控制台,并且按照所定义的有限级别在控制台输出,使得管理员可以非常直观地了解到攻击的具体信息。
B攻击检测
NetEye IDS还可以详细保存网络攻击事件,通过“攻击检测”模块,对于ARP欺骗攻击,可以记录源IP、目标IP,源MAC和目标MAC,以及攻击发生的具体时间等信息。攻击检测记录了网络攻击的历史数据,可以作为取证的手段之一。另外,攻击检测模块可以根据IP,协议等进行分类统计,尤其有助于分析ARP欺骗这种类型的攻击,因为通过统计数据分析,能够定性分析出:哪台设备经常性发送ARP欺骗包,那么它可能感染蠕虫,需要尽快处理;哪台设备经常被攻击,如果是网关设备,那么需要进行相关的IP、MAC绑定工作,或者进行静态ARP绑定,以防止造成网络中断事故。
C 除了以上处理措施,NetEye IDS还提供了多种报警和响应措施,比如:邮件报警、Windows消息报警、SYSLOG 、SNMP Trap事件等报警措施。邮件报警如下图所示:
SYSLOG报警如下图所示:
Windows消息报警如下图所示:
总之,东软NetEye IDS作为一种主动保护用户免受攻击的网络安全产品,不仅能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),同时还能够提高信息安全基础结构的完整性。另外东软NetEye IDS对关键点的信息收集、分析及实时报警功能,可以更有效防止或减轻ARP欺骗所产生的威胁。
东软网络安全 微信号:Neusoft_NetEye
