ARP欺骗的深入研究.docx

ARP欺骗的深入研究
 
 
 
 
 
   
 
 
 
徐国天 （中国刑警学院，辽宁沈阳110854）
摘要：本文阐述了普通ARP欺骗攻击的原理和防御方法，详细介绍了针对网关实施的“ha的MAC地址，这使得该报文能够被交换机正常转发给黑客。报文的源IP地址()是MSN服务器的IP，目的IP( )是主机1的IP，从图2可知，该报文的传输的聊天内容是“hello”。
黑客监听到通信内容后会重新封装、转发这个报文，转发出的报文如图3所示。报文只是源和目的MAC地址进行了修改，其它字节没有任何改变。源MAC地址(OO-Of-e2-le-3a-d0)是黑客主机的MAC地址，这样可以保证交换机的地址表不会受到破坏．目的
MAC（00-09-73-4c-2e-98）是主机l的MAC地址，这样主机1可以接收到这个报文。在主机1没有任何察觉的情况下，因特网好友发给他的聊天信息被黑客监听了。
DNS欺骗攻击
正常情况下主机1访问新浪网站时，会向指定的DNS服务器提交一个域名解析请求报文，请求解析域名：，DNS服务器会将解析出的新浪服务器IP地址通过一个DNS应答报文返回给主机1；而后主机1使用这个IP地址访问新浪网站，即可浏览到请求的网页。
主机1发出的DNS请求报文可以经过网关正常提交给DNS服务器。由于网关受到“Half Arp Spoo”攻击，导致DNS服务器返回的应答报文会被黑客截获。图4是黑客截获的DNS应答报文。该数据报的目的MAC地址（1-6字节）是黑客主机的MAC地址，源MAC地址（7-12字节）是网关的MAC地址，这使得该报文能够被交换机正常转发给黑客。报文的源IP地址（27-30字节）是DNS服务器的lP( )， 目的lP（31-34字节）是主机l的IP( )。．com．cn、两个别名：jupiter．．sma．，（最后四个字节）。
黑客修改DNS应答报文中新浪服务器的IP地址，而后重新封装、转发这个报文。图5是黑客转发出的数据报。该数据报的目的MAC地址（1-6字节）被改为主机1的MAC地址，源MAC地址被改为黑客主机的MAC地址(7-12字节)，新浪服务器的正确IP地址（最后四个字节）。主机l收到这个被修改过的
DNS应答报文后，，而在这个lP地址上运行的可能是一个钓鱼网站，或者是一个含有病毒和木马程序的恶意站点。主机1将被误导至该站点，从而使自己面临密码泄露、被种植木马等风险。
4 “中间人”攻击对网上银行的安全威胁
黑客首先利用ARP欺骗使客户和服务器之间的通信数据经过黑客主机中转，即黑客主机成为通信的“中间人，’。当客户访问网银服务器时，中间人将自己伪造的服务器证书注入到SSL会话中去，使用这种攻击中间人可以解密客户与服务器之间的通信数据。这里对ARP欺骗的方法不进行分析，我们