arp攻击与防范方案

arp攻击与防范方案内容摘要：

ke（ ）向 发送 PING 请求数据包； 向 回复 PING 回复数据包； Fake（ ）再次向 发送 PING 请求数据包； 再次向 回复 PING 回复数据包； 这一切看起来没有任何问题。 那为什么 Fake 的 Ping 会超时呢。 这一切从表明上看是没有任何问题，但是仔细看捕获的数据包的以太网头部，你就会发现问题所在： 首先，我们看第三个数据包， Fake（ ）向 发送的 Ping 请求，如下图所示， Fake 以自己的 MAC 地址为源 MAC 地址、 的 MAC 地址（ 00:03:47:F4:FC:E7）为目的 MAC 地址发送数据包，这没有任何问题。 那么看看第四个 ISA Server 回复的 Ping 回复数据包呢，源 MAC 地址是 ISA Server 的 MAC地址（ 00:03:47:F4:FC:E7），这也没有问题，但是注意看目的 MAC 地址， 00:0D:60:C3:05:34是离线的客户机 True 的 MAC 地址。 还记得我们在 ISA Server 上做的 IP 地址（ ）和 MAC 地址绑定吗。 ISA Server 直接使用自己 ARP 缓存中的静态绑定项来发送数据，而不是使用收到的 Ping 请求数据包 中的源 MAC 地址来作为目的地址。 因此， Fake 认为此数据包不是发给自己的，不会处理此数据包，所以认为没有 Ping 回复数据包，自然就是超时了。 最后说一下， 我不推荐大家使用静态 IP 地址和 MAC 地址的绑定，这会带来更多的管理负荷。 你可以利用ISA Server 强大的身份验证功能，结合 IP 地址来进行管理，这样具有更好的效果。 ARP 的高速缓存、分组格式和代理 本章我们要讨论的问题是只对 TCP/IP 协议簇有意义的 IP 地址。 数据链路如以太网或令牌环网都有自己的寻址机制（常常为 48 bit 地址） ，这是使用数据链路的任何网络层都必须遵从的。 一个网络如以太网可以同时被不同的网络层使用。 例如，一组使用 TCP/IP 协议的主机和另一组使用某种 P C 网络软件的主机可以共享相同的电缆。 当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据 48 bit 的以太网地址来确定目的接口的。 设备驱动程序从不检查 IP 数据报中的目的 IP 地址。 地址解析为这两种不同的地址形式提供映射： 32 bit 的 IP 地址和数据链路层使用的任何类型的地址。 RFC 826 [Plummer1982]是 ARP 规范 描述文档。 本章及下一章我们要讨论的两种协议如图 41 所示： ARP（地址解析协议）和 RARP（逆地址解析协议）。 ARP 为 IP 地址到对应的硬件地址之间提供动态映射。 我们之所以用动态这个词是因为这个过程是自动完成的，一般应用程序用户或系统管理员不必关心。 RARP 是被那些没有磁盘驱动器的系 统使用（一般是无盘工作站或 X 终端），它需要系统管理员进行手工设置。 我们在第 5 章对它进行讨论。 任何时候我们敲入下面这个形式的命令： % ftp bsdi 都会进行以下这些步骤。 这些步骤的序号如图 42 所示。 1) 应用程序 FTP 客户端调用函数 gethostbyname(3)把主机 名（ bsdi）转换成 32 bit 的 IP 地址。 这个函数在 DNS（域名系统）中称作解析器，我们将在第 14 章对它进行介绍。 这个转换过程或者使用 DNS，或者在较小网络中使用一个静态的主机文件（ /etc/hosts）。 2) FTP 客户端请求 TCP 用得到的 IP 地址建立连接。 3) TCP 发送一个连接请求分段到远端的主机，即用上述 IP 地址发送一份 IP 数据报（在第18 章我们将讨论完成这个过程的细节）。 4) 如果目的主机在本地网络上（如以太网、令牌环网或点对点链接的另一端），那么 IP数据报可以直接 送到目的主机上。 如果目的主机在一个远程网络上，那么就通过 IP 选路函数来确定位于本地网络上的下一站路由器地址，并让它转发 IP 数据报。 在这两种情况下， IP 数据报都是被送到位于本地网络上的一台主机或路由器。 5) 假定是一个以太网，那么发送端主机必须把 32 bit的 IP地址变换成 48 bit的以太网地址。 从逻辑 Inter 地址到对应的物理硬件地址需要进行翻译。 这就是 ARP 的功能。 ARP 本来是用于广播网络的，有许多主机或路由器连在同一个网络上。 6) ARP 发送一份称作 ARP 请求的以太网数据帧给 以太网上的每个主机。 这个过程称作广播，如图 4 2 中的虚线所示。 ARP 请求数据帧中包含目的主机的 IP 地址（主机名为 bsdi），其意思是 ―如果你是这个 IP 地址的拥有者，请回答你的硬件地址。 ‖ 7) 目的主机的 ARP 层收到这份广播报文后，识别出这是发送端在寻问它的 IP 地址，于是发送一个 ARP 应答。 这个 ARP 应答包含 IP 地址及对应的硬件地址。 8) 收到 ARP 应答后，使 ARP 进行请求 —应答交换的 IP 数据报现在就可以传送了。 9) 发送 IP 数据报到目的主机。 在 ARP 背后有一个基本 概念，那就是网络接口有一个硬件地址（一个 48 bit 的值，标识不同的以太网或令牌环网络接口）。 在硬件层次上进行的数据帧交换必须有正确的接口地址。 但是， TCP/IP 有自己的地址： 32 bit 的 IP 地址。 知道主机的 IP 地址并不能让内核发送一帧数据给主机。 内核（如以太网驱动程序）必须知道目的端的硬件地址才能发送数据。 ARP 的功能是在 32 bit 的 IP 地址和采用不同网络技术的硬件地址之间提供动态映射。 点对点链路不使用 ARP。 当设置这些链路时（一般在引导过程进行），必须告知内核链路每一端的 IP 地址。 像以太 网地址这样的硬件地址并不涉及。 ARP 高速缓存 ARP 高效运行的关键是由于每个主机上都有一个 ARP 高速缓存。 这个高速缓存存放了最近Inter 地址到硬件地址之间的映射记录。 高速缓存中每一项的生存时间一般为 2 0 分钟，起始时间从被创建时开始算起。 我们可以用 ARP(8)命令来检查 ARP 高速缓存。 参数 a 的意思是显示高速缓存中所有的内容。 bsdi % arp a sun () at 8:0:20:3:f6:42 svr4 () at 0:0:c0:c2:9b:26 48 bit 的以太网地址用 6 个十六进制的数来表示，中间以冒号隔开。 在 小节我们将讨论ARP 命令的其他功能。 ARP 的分组格式 在以太网上解析 IP 地址时， ARP 请求和应答分组的格式如图 43 所示（ ARP 可以用于其他类型的网络，可以解析 IP 地址以外的地址。 紧跟着帧类型字段的前四个字段指定了最后四个字段的类型和长度）。 (点击查看原图 ) 以太网报头中的前两个字段是以太网的源地址和目的地址。 目的地址为全 1 的特殊地址是广播地址。 电缆上的所有以太网接口都要接收广播的数据帧。 两个字节长的以太网帧类型表示后面数据的类型。 对于 ARP 请求或应答来说，该字段的值为 0x0806。 形容词 hardware (硬件 )和 protocol (协议 )用来描述 ARP 分组中的各个字段。 例如，一个 ARP请求分组询问协议地址（这里是 IP 地址）对应的硬件地址（这里是以太网地址）。 硬件类型字段表示硬件地址的类型。 它的值为 1 即表示以太网地址。 协议类型字段表示要映射的协议地址类型。 它的值为 0x0800 即表示 IP 地址。 它的值与包含 IP 数据报的以太网数据帧中的类型字段的值相同，这是有意设计的（参见图 21）。 接下来的两个 1 字节的字段，硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度，以字节为单位。 对于以太网上 IP 地址的 ARP 请求或应答来说，它们的值分别为 6和 4。 操作字段指出四种操作类型，它们是 ARP 请求（值为 1）、 ARP 应答（值为 2）、 R ARP请求（值为 3）和 R ARP 应答（值为 4）（我们在第 5 章讨论 R ARP）。 这个字段必需的，因为 ARP 请求和 ARP 应答的帧类型字段值是相同的。 接下来的四个字段是发送端的硬件地址（在本例中是以太网地址）、发送端的协议地址（ IP地址）、目的端的硬件地址和目的端的协议地址。 注意，这里有一些重复信息：在以太网的数据帧报头中和 ARP 请求数据帧中都有发送端的硬件地址。 对于一个 ARP 请求来说，除目的端硬件地址外的所有其他的字段都有填充值。 当系统收到一份目的端为本机的 ARP 请求报文后，它就把硬件地址填进去，然后用两个目的端地址分别替换两个发送端地址，并把操作字段置为 2，最后把它发送回去。 ARP 举例 在本小节中，我们用 TCPdump命令来看一看运行像 Tel这样的普通 TCP工具软件时 ARP会做些什么。 附录 A 包含 TCPdump 命令的其他细节。 一般的例子 为了看清楚 ARP 的运作过程，我们执行 tel 命令与无效的服务器连接。 bsdi % arp a 检验 ARP 高速缓存是空的 bsdi % tel svr4 discard 连接无效的服务器 Trying ... Coned to svr4. Escape character is 39。 ^]39。 . ^] 键入 Ctrl 和右括号，使 Tel 回到提示符并关闭 tel quit Connection closed. 图 4 4 中的 TCP dump 的原始输出如附录 A 中的图 A3 所示。 由于这是本书第一个 TCP dump 输出例子，你应该去查看附录中的原始输出，看看我们作了 哪些修改。 (点击查看原图 ) 我们删除了 TCP dump 命令输出的最后四行，因为它们是结束连接的信息（我们将在第 1 8章进行讨论），与这里讨论的内容不相关。 在第 1 行中，源端主机（ bsdi）的硬件地址是 0:0:c0:6f:2d:40。 目的端主机的硬件地址是ff:ff:ff:ff:ff:ff，这是 一个以太网广播地址。 电缆上的每个以太网接口都要接收这个数据帧并对它进行处理，如图 42 所示。 第 1 行中紧接着的一个输出字段是 ARP，表明帧类型字段的值是 0x0806，说明此数据帧是一个 ARP 请求或回答。 在每行中，单词 ARP 或 IP 后面的值 60 指的是以太网数据帧的长度。 由于 ARP 请求或回答的数据帧长都是 42 字节（ 28 字节的 ARP 数据， 14 字节的以太网帧头），因此，每一帧都必须加入填充字符以达到以太网的最小长度要求： 60 字节。 请参见图 17，这个最小长度 60 字节包含 14 字节的以太网帧头 ，但是不包括 4 个字节的以太网帧尾。 有一些书把最小长度定为 64 字节，它包括以太网的帧尾。 我们在图 17 中把最小长度定为 46 字节，是有意不包括 14 字节的帧首部，因为对应的最大长度（ 1500 字节）指的是 MTU—最大传输单元（见图 25）。 我们使用 MTU经常是因为它对 IP 数据报的长度进行限制，但一般与最小长度无关。 大多数的设备驱动程序或接口卡自动地用填充字符把以太网数据帧充满到最小长度。 第 3， 4 和 5 行中的 IP 数据报（包含 TCP 段）的长度都比最小长度短，因此都必须填充到 60 字节。 第 1 行中的下一个输出字段 arp whohas 表示作为 ARP 请求的这个数据帧中，目的 IP 地址是 svr4 的地址，发送端的 IP 地址是 bsdi 的地址。 TCP dump 打印出主机名对应的默认 IP 地址（在 节中，我们将用 n 选项来查看 ARP 请求中真正的 IP 地址。 ） 从第 2 行中可以看到，尽管 ARP 请求是广播的，但是 ARP 应答的目的地址却是 bsdi （ 0:0:c0:6f:2d:40）。 ARP 应答是直接送到请求端主机的，而是广播的。 TCP dump 打印出 arp reply 的字样，同时打印出响应者的主机名和硬件地址。 第 3 行是第一个请求建立连接的 TCP 段。 它的目的硬件地址是目的主机 (svr4)。 在每一行中，行号后面的数字表示 TCP dump 收到分组的时间（以秒为单位）。 除第 1行外，其他每行在括号中还包含了与上一行的时间差异（以秒为单位）。 从这个图可以看出，发送 ARP 请求与收到 ARP 回答之间的延时是 ms。 而在 ms 之后发出第一段 TCP 报文。 在本例中，用 ARP 进行动态地址解析的时间小于 3ms。 最后需要指出的一点，在 TCP dump 命令输出中，我们没有看到 svr4 在发出第一段 TCP 报文（第 4 行）之前发出的 ARP 请求。 这是因为可能。