偽造IP的Mac的ARP攻擊搜索

ARP 攻擊就以攻擊方法簡單、攻擊速度快、攻擊效果好而深受越來越多惡作劇者的青睞， 從而導致在近 1 年多的時間里， 網絡中的 ARP 攻擊無處不在， 各大論壇從未停止過 ARP 攻擊的討論， 一些遭受過 ARP 攻擊的用戶甚至到了談“ARP”色變的程度。

    根據攻擊者的真實性， ARP 攻擊可以分為三類：

    1.  攻擊者的 IP 和 MAC 都是真實的；

    2.  攻擊者的 IP 更改， MAC 是真實的；

    3.  攻擊者的 IP 和 MAC 均更改， 甚至偽造。

    對于前兩種情況， 我們知道借助科來網絡分析系統的智能診斷功能， 可以輕松地定位攻擊源。 但第 3 種情況， 這種方法則不能有效定位攻擊源， 而這種情況的 ARP 攻擊， 正日漸增多， 所以對這種同時更改 IP 和 MAC 的 ARP 攻擊的排查， 成為了目前 ARP 攻擊排查工作的重中之重。

    下面我們對同時更改 IP和 MAC 的 ARP 攻擊進行討論（第 1 種和第 2 種 ARP 攻擊不此討論范圍之內）， 并給出這種情況下的解決方案。

    我們以一個實例的方式進行分析， 首先請看網絡拓撲。

    網絡非常簡單， A、B、C、D 四臺機器同時連接到一個交換機， 再通過一個路由器連接到 Internet， 同時將安裝科來的分析用筆記本， 接在交換機的鏡像端口。

    在圖 1 所示的網絡中， 假設 A發起 ARP 攻擊， 但卻將攻擊數據包的源 MAC 和源 IP 均改為機器 D 的。 在這種情況下， 如果我們直接使用圖 1 的方式進行抓包， 那么我們分析后， 將會認為機器 D 存在 ARP 攻擊， 而這樣的結果將會使用D 蒙冤而 A卻逍遙法外。 接下來， 我們就來看， 如何查找到元兇

    這種情況下， 我們的解決方案是：科來網絡分析系統＋分路器。

    在這種解決方案中， 科來網絡分析系統用于捕獲數據， 分路器（TAP）用于物理單向鏡像數據。 二者結合使用， 可實現物理單向的數據捕獲。 針對前面的網絡拓撲， 以單端口分路器為例， 部署后的拓撲如圖 2 所示。

    從圖 2 可知， 我們將 4 臺機器分成了兩部分， 其中兩臺（這里是 A 和 B）首先通過一個二層交換機到分路器， 然后再連接到中心交換機， 同時將安裝科來的筆記本接到分路器上進行數據捕獲。

    我們再來分析剛才所舉的例子， 即 A發起 ARP 攻擊， 但卻將攻擊數據包的源 MAC 和源 IP 均改為機器 D 的。 在部署分路器后， 我們在科來網絡分析系統中， 只捕獲并分析 A和B兩臺機器發出的數據包， 這時， 我們將抓到源 MAC 和源 IP 都是 D 的數據。 抓到這些數據后， 我們即可確定， 真正的罪魁禍首在 A和 B兩臺機器之間， 然后再單獨對 A和 B進行單向抓包， 即可確定最終的元兇。 相對應的， 如果我們在這種情況下抓到的數據包全是正常的（源 IP 和源 MAC 都是 A或 B）， 則表示罪魁禍首不是 A和 B， 那么需要使用相同的方法對 C 和D 進行檢測分析。

    同樣， 當攻擊者將 IP 和 MAC 都改為不存在的假地址時， 我們也可采用上述方法找到真兇。 此方法不僅適用于上述例子中幾臺機器的小型網絡， 在大規模的網絡中一樣可行， 排查的故障也不僅僅是例子所說的 ARP 攻擊， 而是偽造 IP和 MAC 的任意攻擊行為。

    現將此方法的步驟歸納如下：

    1.  將所有客戶端分為兩部分， 一部分接入位置保持不變， 另一部份接入分路器；

    2.  將安裝科來的筆記本接入到分路器中， 僅捕獲發出的數據包；

    3.  如果捕獲到的數據包中， 出現源 MAC 或 IP 不是這部分的正確 IP或 MAC 的數據， 則表示這部分機器中存在偽造地址攻擊；如果捕獲到的數據包沒有出現這種數據， 則表示攻擊者在另一部分機器中；

    4.  將認定有問題的那部分機器再細分成兩部份， 使用和上面相同的方法進行捕獲分析， 進而將攻擊者定位在更小的范圍內；

    5.  采用上述的方法逐漸縮小范圍， 直至最終找出攻擊者（具體的步驟數與網絡相關）。

    在網絡安全日益重要的今天， 通過該方法查找網絡中的惡意攻擊者， 雖然步驟顯得有些繁瑣， 但個人認為， 卻不失為一種行之有效的手段。

    本文僅提供一種思路， 不對的地方敬請指出， 同時歡迎大家共同探討。