網路安全期末報告 arp spoofing
DESCRIPTION
網路安全期末報告 Arp Spoofing. A0943303 謝靜芳 指導教授 ︰ 梁明章教授. 摘要. Arp 簡介 Arp Spoofing 攻擊目的、特色 攻擊手法 ISP 業者為何難以察覺 如何防禦 結語. ARP 簡介. 僅能在區域網路內使用 專門用來詢問 MAC 位址 有目的地 IP ,便可用 ARP 問 MAC 位址 傳送封包前,都會使用此協定. Arp 運作方式. 使用兩種封包 ARP request 與 ARP reply. ARP request. 廣播 封包 區域網路上的每一部電腦都會處理此一封包。. - PowerPoint PPT PresentationTRANSCRIPT
網路安全期末報告
Arp Spoofing
A0943303 謝靜芳 指導教授︰梁明章教授
摘要 Arp 簡介Arp Spoofing
攻擊目的、特色攻擊手法ISP 業者為何難以察覺如何防禦
結語
ARP 簡介僅能在區域網路內使用專門用來詢問 MAC 位址有目的地 IP ,便可用 ARP 問 MAC
位址傳送封包前,都會使用此協定
Arp 運作方式
使用兩種封包ARP request 與 ARP reply
ARP request廣播封包 區域網路上的每一部電腦都會處理此一封包。
ARP reply區域網路內所有電腦都會處理 ARP request 與本身的 IP 位址比對 , 判斷是否為此 request
對象。以上例而言 , B 電腦為 ARP request 的解析對
象 , 因此只有 B 電腦會產生回應的 ARP reply 封包。
ARP reply B 電腦可從 ARP request 中得知 A 電腦的 IP
位址與 MAC 位址 , ARP reply 不再使用廣播 , 而直接在封包表頭
中 , 指定目的位址為 A 電腦的 MAC 位址。ARP reply 封包中最重要的內容 B 電腦的
MAC 位址。A 電腦收到此 reply 後 , 完成問 MAC 位址工
作
Arp Cache ARP request 為廣播 , 如果經常出現 , 會造成
區網負荷。避免此項問題 , 在實作 ARP 時 , 會加入
Cache ARP Cache 將 IP /MAC 記錄在記憶體。系統每次要問 MAC 前 , 先在 Cache 中查看是
否有符合的紀錄。有便直接使用,沒有則發出 ARP request 。
Arp Spoofing利用 ARP Cache MemoryARP Cache Memory 隨著電腦不斷的發出 ARP
request 和收到 ARP reply 而不斷更新Hacker 藉由發出標準的 ARP request 或 ARP
reply擾亂或竄改某電腦或路由器內正常的 ARP 表導致該電腦 ( 或路由器 ) 發出的封包誤傳目的地
Arp Spoofing - ExampleB 是駭客企圖監視 A 與 C
之間通訊向 A 發出一個 ARP
Reply ,目的 IP 位址為IP1 , MAC 為 MAC1 ,而來源 IP 地址為IP3 , MAC 為 MAC2 。
A 更新 ARP Cache ,紀錄 IP3 地址的機器的 MAC是 MAC2 。
機器 A : IP1/MAC1
機器 B : IP2/MAC2
機器 C : IP3/MAC3
Arp Spoofing - Example當 A 發出一條 FTP 命令時 ---ftp IP3 ,封包被送
到 SwitchSwitch 查看封包中的目的地址, MAC 為 MAC2 於是把封包送到 B成功攻擊機器 A現在如果不想影響 A 和 C 之間的通信僅是監視兩者的通訊,可以同時 欺騙他們雙方,
採 man-in-middle 攻擊
Arp Spoofing - Example電腦在傳送封包前,會查詢目的 IP 位址的 MAC正常情況下,只有對應目的 IP 的主機會回應( 48 位
元 MAC 位址)並且將該 IP 與 MAC 位址對應更新本機內 ARP 快取
記憶體,以減少不必要的廣播封包但 Hacker 會發佈虛假的 ARP 請求或回應通訊欺騙其他電腦或路由器將所有通信都轉向自己它就可扮演某些機器,對資料流程進行修改,影響正
常的主機通信。
Arp Spoofing 特色特色
隱密難以偵測以欺騙為目的,為了維持續欺騙效果,持續發送 ARP 欺騙包
造成的網路危害可能的資料側錄、竊取對網路特定目標的攻擊大量 ARP 廣播造成整個 /部份網路的癱瘓
Arp 攻擊手法中間人攻擊 (Man-in-the-Middle attack)
利用 ARP 同時欺騙使用者 (Client) 與服務器 (Server)兩邊使所有兩邊的交談都要透過入侵人的轉述,達到欺騙、側錄、竄改資料的目的
連線劫奪 (Session Hijacking) 利用 ARP 欺騙將使用者正常的連線搶過來 NetCut
假造 ARP 封包,提供目標主機假的 MAC , Gateway 收到後,將錯誤的 MAC 記到 ARP 表, Client 的返回封包就無法送達
ISP 業者為何難以察覺?如果區域網內是屬於中大型、具有多個子網路防火牆 /IPS 入侵偵測設備通常被設置在核心路由交換器之後根本沒有機會接觸 ARP 封包
即使區網內只有一個網段,防火牆 /IPS 入侵偵測設備兼具路由器功能也僅能偵測部分 ARP 廣播包
如何防禦需要依賴安全交換器由交換器來偵測及阻擋防禦最為恰當
不需要支付昂貴的 IPS 入侵偵測器的成本可從網路最底層偵測及阻擋防禦根本解決 ARP衍伸的負面攻擊
NBAD switch NBAD sensor
NBAD switch 主要應用在區域網路底層的佈署
提供正常網路封包的基本交換功能偵測功能
xarp scan detection ︰主要目的是偵測LAN 內部 arp掃描行為
xarp anomaly detection ︰偵測 LAN 內部哪些用戶送一些不合法封包
xarp attack detection ︰主要目的是偵測出哪些用戶遭受攻擊,並找出攻擊來源
NBAD sensor佈署於暨有已存在的區域網路上側聽的偵測器目的
映射 (mirror) 方式側聽 (sniffer) 網路上是否有異常 ARP 欺騙攻擊的封包之外
收集、偵測、防禦 MAC/IP ,有效解決區域網路內 IP衝突與病毒攻擊問題。
結語ARP Spoofing Attack 在區網中具有極大的威脅攻擊手法也越來越精湛由 broadcast 轉向 Unicast 使得偵測器或防火牆無法做
出有效而廣泛的偵測想要掃描整體網路 ARP 的攻擊必須要依賴交換器主動偵測是否又異常 ARP 訊息一旦發現異常 ARP 封包便可自動封鎖並通知網路管理者。
Thanks for your listening.
20