對人們撒謊,即所謂的“社會工程”,還包含了策略(已獲罪的黑客Kevin Mitnick有具體實施),例如假扮成一個公司的雇員這樣就可以和真正的雇員交換公司機密。要騙過計算機則包括許多不同的技術,一個常用的是——ARP緩存中毒(ARP Cache Poisoning)——這是本文的核心。ARP中毒能讓局域網內的黑客在其網內造成巨大的網絡破壞。由于它通常是“不可治愈”的,因此每一個網絡管理員都應該明白這種攻擊究竟是如何進行的。
回顧ARP
在“計算機網絡基礎:什么是NIC, MAC和ARP?” ( 參見譯者的這篇譯文 ) 一文中,我們解釋了地址解析協議 (ARP, Address Resolution Protocol) 是如何將網絡設備的MAC地址和其IP地址關聯起來的,這樣在同一個局域網內的設備就能相互知道彼此的存在。ARP基本上就是一種網絡上的點名。
ARP,一個十分簡單的協議,僅僅只包含了4種消息類型:
1.ARP請求。計算機A詢問整個局域網,“Who has this IP address?” (“誰的IP地址是這個?”,英文為本來報文里的ASCII碼消息,譯者注)
2.ARP響應。計算機B告訴計算機A,“I have that IP. My MAC address is [whatever it is].” (我的IP地址是那個。我的MAC地址是[XX:XX:XX:XX:XX:XX])
3.反向ARP請求。和ARP請求的概念一樣,但是計算機A詢問,“Who has this MAC address?” (誰的MAC地址是這個?)
4.反向ARP響應。計算機B告訴計算機A,“I have that MAC. My IP address is [whatever it is]” (我的MAC地址是那個。我的IP地址是XXX. XXX. XXX. XXX)
所有的網絡設備都有一個ARP映射表,就是內存里的一小段存儲著目前該設備已經匹配的IP地址和MAC地址對。ARP映射表確保該設備不會向它已經通訊過的設備重復發送ARP請求。
這里是一次常規的ARP通信的例子。Jessica,一個接待員,告訴Word(指我們使用的微軟文檔編輯器,譯者注)打印最新的公司通信錄。這是她今天的第一個打印任務。她的計算機 (IP地址是192.168.0.16) 希望發送這個打印任務到辦公室的惠普LaserJet打印機 (IP地址是192.168.0.45)。所以Jessica的計算機就會像整個局域網廣播一個ARP請求去詢問,“Who has the IP address, 192.168.0.45?” (誰的IP地址是192.168.0.45?)
局域網內所有的設備都會忽略這個ARP請求,除了惠普LaserJet打印機。這臺打印機發現它的IP地址就是請求里的IP地址,于是它發送一個ARP響應:“嘿,我的IP地址是192.168.0.45. 這是我的MAC地址:00:90:7F:12:DE:7F”
現在Jessica的計算機知道了這臺打印機的MAC地址。它現在能將這個打印任務發給正確的設備(打印機,譯者注),并且在它的ARP映射表里將打印機的MAC地址00:90:7F:12:DE:7F和它的IP地址192.168.0.45關聯起來。
嘿ARP,你知道哪個騙你的設備不在你的字典中嗎?
網絡的設計者可能出于高效的考慮將ARP的對話過程設計得如此簡單。不幸的是,這種簡單也帶來了巨大的安全隱患。知道為什么在我對ARP的簡短描述中沒有提到任何形式的認證方法嗎?答案是,ARP根本就沒有。
ARP認為通信雙方都是安全可信的,實際上就是好騙的。當一個網絡中的設備發出去一個廣播ARP請求時,它只是簡單的相信當收到一個ARP響應時,這個響應真的是來自正確的設備 (因為按照協議只有IP地址對應的設備才會發出相應報文,譯者注)。ARP沒有提供任何方法去認證響應的設備就真是如它報文里所說的那臺。實際上,許多操作系統實現ARP時都是盡管沒有發出任何ARP請求但仍然接受來自其他設備的ARP響應。
好了,想象自己是一個惡意的黑客。你剛剛才知道ARP協議沒有任何認證ARP響應的方法。你已經知道了很多設備在沒有發出任何請求的情況下仍然接受響應。嗯,我為什么不能制造一個完美有效但是惡意的,包含任何我自己選擇的IP地址和MAC地址的ARP響應報文?由于受害者的計算機會盲目地接受這個ARP響應并添加到它的ARP映射表中,因此讓受害者那極易受騙的計算機將任何我選的IP地址關聯到任何MAC地址。更進一步,我能廣播我做的假冒ARP響應到受害者的整個網絡中,欺騙網絡中所有的計算機。
回到現實中來。現在你可能知道了為什么這種常用技術叫做ARP緩存中毒 (或者叫ARP中毒):攻擊者欺騙你的局域網中的設備,誤導或者“毒害”它所知道其他設備的位置。這種恐怖而又簡單的攻擊使攻擊者給網絡帶來了巨大的危害,后面將會描述到。
你的所有ARP報文都是我們的!
這種使攻擊者能關聯任何IP地址和MAC地址的能力讓其可以進行很多種攻擊,包括拒絕服務攻擊(DoS, Denial of Service),中間人攻擊(Man in the Middle)和MAC洪泛(MAC Flooding)。
拒絕服務
一個黑客可以只做簡單的操作就將一個重要的IP地址和一個錯誤的MAC地址綁定。例如,黑客可以發送一個ARP響應報文 (到你的計算機) 將你所在網絡的路由器 (即我們常說的網管,譯者注) IP地址和一個根本不存在的MAC地址綁定起來。你的計算機一位它知道默認網關在哪,但是事實上它的所有數據包,其目的地址都不在這個網絡的網段上(因為那個不存在的MAC不在此局域網的網段上,譯者注),它們最后消逝在了無盡的比特流中(即因數據包的生命周期到了而信號消失,譯者注)。僅僅這一下,黑客就能阻止你連上因特網。
河南億恩科技股份有限公司(www.czbl888.cn)始創于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務,另有網總管、名片俠網絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900
