企业ARP欺骗：不同网段欺骗分析及对策

《企业ARP欺骗：不同网段欺骗分析及对策》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、企业ARP欺骗：不同网段欺骗分析及对策把ARP欺骗和ICMP重定向结合在一起就可以基木实现跨网段欺骗的目的。木文将介绍不同网段ARP欺骗分析及对策。不同网段ARP欺骗分析假设A、C位于同一网段而主机B位于另一网段，三台机器的ip地址和硬件地址如下：A:IP地址192.168.0.1硬件地址AA:AA:AA:AA:AA:AA;B:IP地址192.168.1.2硬件地址BB:BB:BB:BB:BB:BB;C:IP地址192.168.0.3硬件地址CC:CC:CC:CC:CC:CCo在现在的情况下，位于192.168

2、.1网段的主机B如何冒充主机C欺骗主机A呢?显然用上面的办法的话，即使欺骗成功，那么由主机B和主机A之间也无法建立telnet会话，因为路由器不会把主机A发给主机B的包向外转发，路由器会发现地址在192.168.0.这个网段之内。现在就涉及另外一种欺骗方式——ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基木实现跨网段欺骗的目的。ICMP重定向报文是1CMP控制报文屮的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器

3、也会把初始数据报向它的口的地转发。我们可以利用ICMP重定向报文达到欺骗的冃的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤：为了使自己发出的非法IP包能在网络上能够存活长久一点，开始修改1P包的生存时间TTL为下面的过程中可能带来的问题做准备。把TTL改成255。（TTL定义一个IP包如果在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充足的广播）o卜'载一个可以口由制作各种包的工具（例如hping2）o然后和上面一样，寻找主机C的漏洞按照这个漏洞宕掉主机Co在该网络的主机找不到原来

4、的192.0.0.3后，将更新口己的ARP对应表。于是他发送一个原IP地址为192.168.0.3硬件地址为BB:BB:BB:BB:BB:BB的ARP响应包。现在每台主机都知道了，一个新的MAC地址对应192.0.0.3,一个ARP欺嵋完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的IP包丢给路由。于是他还得构造一个ICMP的重定向广播。口己定制一个ICMP重定向包告诉网络中的主机：“到192.0.0.3的路由垠短路径不是局域网，而是路由，请主机重定向你们的路rtl路径，

5、把所有到192.0.0.3的IP包丢给路由。”主机A接收这个合理的ICMP重定向，于是修改门己的路由路径，把对192.0.0.3的通信都丢给路由器。入侵者终于可以在路由外收到来自路由内的主机的IP包了，他可以开始telnet到主机的23口。其实上面的想法只是一种理想话的情况，主机许可接收的ICMP重定向包其实有很多的限制条件，这些条件使ICMP重定向变得非常困难。TCP/IPI■办议实现中关丁•主机接收ICMP重定向报文主要有下而几条限制：新路由必须是直达的；重定向包必须来自去往目标的当前路由；重定向包不能通知

6、主机用自己做路由；被改变的路由必须是一条间接路由。由于有这些限制，所以TCMP欺骗实际上很难实现。但是我们也可以主动地根据上面的思维寻找一些其他的方法。更为重要的是我们知道了这些欺骗方法的危害性，我们就可以采取相应的防御办法。ARP欺骗的防御原则我们给出如下一些初步的防御方法：不要把你的网络安全信任关系建立在TP地址的基础上或驶件MAC地址基础上，（RARP同样存在欺骗的问题）,理想的关系应该建立在IP+MAC基础上。设置静态的MAC-IP对应表，不要让主机刷新你设定好的转换表。除非很有必要，否则停止使用ARP

7、,将ARP作为永久条目保存在对应表中。在Linux下用ifconfig-arp可以使网卡驱动程序停止使用ARP。使用代理网关发送外出的通信。修改系统拒收ICMP重定向报文。在Linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收1CMP重定向报文。在Win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。标签:黑客培训，网络安全技术，网络安全,黑客技术培训，信息安全培训，网络安金工程师本文来源：信息安全技术