200 likes | 572 Views
網路安全期末報告 Arp Spoofing. A0943303 謝靜芳 指導教授 ︰ 梁明章教授. 摘要. Arp 簡介 Arp Spoofing 攻擊目的、特色 攻擊手法 ISP 業者為何難以察覺 如何防禦 結語. ARP 簡介. 僅能在區域網路內使用 專門用來詢問 MAC 位址 有目的地 IP ,便可用 ARP 問 MAC 位址 傳送封包前,都會使用此協定. Arp 運作方式. 使用兩種封包 ARP request 與 ARP reply. ARP request. 廣播 封包 區域網路上的每一部電腦都會處理此一封包。.
E N D
網路安全期末報告 Arp Spoofing A0943303 謝靜芳 指導教授︰梁明章教授
摘要 • Arp 簡介 • Arp Spoofing • 攻擊目的、特色 • 攻擊手法 • ISP業者為何難以察覺 • 如何防禦 • 結語
ARP簡介 • 僅能在區域網路內使用 • 專門用來詢問 MAC 位址 • 有目的地IP,便可用ARP問MAC位址 • 傳送封包前,都會使用此協定
Arp 運作方式 • 使用兩種封包 • ARP request與 ARP reply
ARP request • 廣播封包 • 區域網路上的每一部電腦都會處理此一封包。
ARP reply • 區域網路內所有電腦都會處理 ARP request • 與本身的 IP 位址比對, 判斷是否為此 request 對象。 • 以上例而言, B 電腦為 ARP request 的解析對象, 因此只有 B 電腦會產生回應的 ARP reply 封包。
ARP reply • B 電腦可從 ARP request 中得知 A 電腦的 IP 位址與 MAC 位址, • ARP reply 不再使用廣播, 而直接在封包表頭中, 指定目的位址為 A 電腦的 MAC 位址。 • ARP reply 封包中最重要的內容 B 電腦的 MAC 位址。 • A 電腦收到此 reply 後, 完成問 MAC 位址工作
Arp Cache • ARP request 為廣播, 如果經常出現, 會造成區網負荷。 • 避免此項問題, 在實作 ARP 時, 會加入 Cache • ARP Cache 將 IP /MAC 記錄在記憶體。 • 系統每次要問 MAC 前, 先在 Cache 中查看是否有符合的紀錄。 • 有便直接使用,沒有則發出 ARP request 。
Arp Spoofing • 利用ARP Cache Memory • ARP Cache Memory隨著電腦不斷的發出ARP request 和收到ARP reply而不斷更新 • Hacker藉由發出標準的ARP request或ARP reply • 擾亂或竄改某電腦或路由器內正常的ARP表 • 導致該電腦(或路由器)發出的封包誤傳目的地
Arp Spoofing - Example • B是駭客企圖監視A與C之間通訊 • 向A發出一個 ARP Reply,目的IP位址為IP1,MAC 為MAC1,而來源IP地址為IP3,MAC為 MAC2 。 • A更新ARP Cache,紀錄IP3地址的機器的MAC是 MAC2 。 機器A:IP1/MAC1 機器C:IP3/MAC3 機器B:IP2/MAC2
Arp Spoofing - Example • 當A發出一條FTP命令時---ftp IP3,封包被送到Switch • Switch查看封包中的目的地址,MAC為 MAC2 • 於是把封包送到B • 成功攻擊機器A • 現在如果不想影響A和C之間的通信 • 僅是監視兩者的通訊,可以同時 欺騙他們雙方,採 man-in-middle攻擊
Arp Spoofing - Example • 電腦在傳送封包前,會查詢目的IP位址的MAC • 正常情況下,只有對應目的IP的主機會回應(48位元MAC位址) • 並且將該IP與MAC位址對應更新本機內ARP快取記憶體,以減少不必要的廣播封包 • 但Hacker會發佈虛假的ARP請求或回應通訊 • 欺騙其他電腦或路由器將所有通信都轉向自己 • 它就可扮演某些機器,對資料流程進行修改,影響正常的主機通信。
Arp Spoofing 特色 • 特色 • 隱密難以偵測 • 以欺騙為目的,為了維持續欺騙效果,持續發送ARP欺騙包 • 造成的網路危害 • 可能的資料側錄、竊取 • 對網路特定目標的攻擊 • 大量ARP廣播造成整個/部份網路的癱瘓
Arp攻擊手法 • 中間人攻擊(Man-in-the-Middle attack) • 利用ARP同時欺騙使用者(Client)與服務器(Server)兩邊使所有兩邊的交談都要透過入侵人的轉述,達到欺騙、側錄、竄改資料的目的 • 連線劫奪(Session Hijacking) • 利用ARP欺騙將使用者正常的連線搶過來 • NetCut • 假造ARP封包,提供目標主機假的MAC,Gateway收到後,將錯誤的MAC記到ARP 表,Client的返回封包就無法送達
ISP業者為何難以察覺? • 如果區域網內是屬於中大型、具有多個子網路 • 防火牆/IPS入侵偵測設備通常被設置在核心路由交換器之後根本沒有機會接觸ARP封包 • 即使區網內只有一個網段,防火牆/IPS入侵偵測設備兼具路由器功能也僅能偵測部分ARP廣播包
如何防禦 • 需要依賴安全交換器 • 由交換器來偵測及阻擋防禦最為恰當 • 不需要支付昂貴的IPS入侵偵測器的成本 • 可從網路最底層偵測及阻擋防禦 • 根本解決ARP衍伸的負面攻擊 • NBAD switch • NBAD sensor
NBAD switch • 主要應用在區域網路底層的佈署 • 提供正常網路封包的基本交換功能 • 偵測功能 • xarp scan detection︰主要目的是偵測LAN內部arp掃描行為 • xarp anomaly detection︰偵測LAN內部哪些用戶送一些不合法封包 • xarp attack detection︰主要目的是偵測出哪些用戶遭受攻擊,並找出攻擊來源
NBAD sensor • 佈署於暨有已存在的區域網路上側聽的偵測器 • 目的 • 映射(mirror)方式側聽(sniffer)網路上是否有異常ARP 欺騙攻擊的封包之外 • 收集、偵測、防禦MAC/IP,有效解決區域網路內IP衝突與病毒攻擊問題。
結語 • ARP Spoofing Attack在區網中具有極大的威脅 • 攻擊手法也越來越精湛 • 由broadcast 轉向Unicast使得偵測器或防火牆無法做出有效而廣泛的偵測 • 想要掃描整體網路ARP的攻擊必須要依賴交換器 • 主動偵測是否又異常ARP訊息 • 一旦發現異常ARP封包便可自動封鎖並通知網路管理者。