有关计算机的刊物推荐计算机ARP欺骗内网的防范方法(2)
2.3 数据包内容替换
·WEB请求截获
通过浏览器发送WEB页的请求,经过封装后形成的以太网数据包不会超过1514Byte,所以,不用担心WEB请求报文会出现分片的情况。当实现欺骗之后,就不断地截获、转发两个被欺骗目标之间的通信报文,并分析每一个小于1514Byte(以太包)的通信报文。
一个HTTP请求包包含14字节的以太网头部、20字节的IP头部和20字节的TCP头部以及HTTP请求包。其中HTTP协议(以HTTP1.1为例)包格式[4]如图1所示。
图1 HTTP请求包格式
一个请求包括:方法+请求URI+HTTP版本号。方法有:GET|HEAD|POST|扩展方法;URI=目录与文件名;HTTP版本为HTTP/1.1。一个完整的URL为协议类型+WEB域名+URI。截获到HTTP请求包之后,发送以自身为源IP的伪造请求包到WEB服务器,和WEB服务器交互,以获取所有请求的文件内容。注意,在截获请求后,需要缓存TCP头部的序号和确认号,以备发送修改后的请求文件所用。
·获取正常WEB页、替换连接
复制请求的内容,根据序号和确认号构造包头,发送到WEB服务器。缓存头部信息和获取的文件内容。并在每收到一次来自WEB服务器的TCP包时,即构造并发送一个确认给WEB服务器,直到缓存了所有的页面文件内容。将获取的页面内容进行更改,替换其中的链接(以替换页面的所有链接为例)。这需要对HTTP回应包进行分析。
图2 HTTP协议回应包格式
如图2所示,从以太帧中剥离的HTTP回应包格式包含协议版本、状态码、服务器版本、请求文件相关属性和请求的文件内容。紧跟着回应包的下一个传输的文件内容直接跟在TCP头部之后。
在缓存之前,先对文件内容中的链接信息进行更改,将链接信息替换成自己想要换成的URL。并将信息存入一个文件,当所有的内容接受完毕形成一个文件之后,需要利用在截获HTTP请求时缓存的序号和确认号构造报文发往被欺骗者。
·发送伪装数据包
在构造HTTP回应包时,需要填充整个以太帧。不需要从头开始去构造整个包,在前面获取到来自WEB服务器的回应包时,已经将包头部分进行了缓存,需要修改和构造的部分有:IP头部校验和、TCP头部中的序号和确认号、TCP头部校验和[5]、HTTP协议回应包中的“状态码”、“最后修改时间”、“文件长度”字段、文件信息的填充。
2.4 实现
一次完整的ARP欺骗及渗透过程如图3所示。
图3 WEB页面链接替换过程
Host、Mine、Gate同在一个交换式局域网内,Gate为局域网网关。通过ARP欺骗,Mine截断Host与Gate之间的报文传输,当Host请求Web页面时:
① Host发送请求报文;
② Mine截获并提取出URL,模拟HTTP请求发送报文到Gate;
③ Gate转交报文到Internet上的WEB服务器;
④⑤ WEB服务器发送HTTP响应及数据包到Mine;
⑥ 缓存了所有文件后,对文件中的链接进行替换;
⑦ 将替换后的文件发送到Host。
在被欺骗者接收到一个被篡改的网页之后,它的网络行为将完全与预先设计好的虚假站点进行交互,从而可以进行更进一步的渗透。
3 基于ARP欺骗内网渗透防范
3.1 ARP欺骗的防范
在交换式网络中防范ARP欺骗主要有以下几种方法:
·使用静态ARP表
在关键设备如网关、防火墙和边界路由器等设置静态的ARP,不要让系统刷新设定好的ARP转换表。在图3中,在网关Gate中使用静态ARP表,则可以避免通过网关进行ARP欺骗。
·使用ARP服务器
在内部网络中设置ARP服务器,通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,而禁止其他系统响应ARP请求。
·定期轮询
管理员定期轮询(可通过软件实现)网络内部的IP地址与MAC地址的对应关系,通过与已有记录的比较来发现ARP欺骗。
·主动出击
主动出击,用一些安全工具(如AntiArpSniffer)在网络中进行检测,可以检测到本地网络上的ARP欺骗报文。
3.2 无漏洞渗透的防范
·使用加密通信
无漏洞渗透的报文中敏感信息的获取和传输实体的替换主要针对非加密通信,将内网的通信进行加密可以有效地防止这类攻击。例如在内部网络利用共享来传递文件时,首先用加密工具(如WinRAR)对文件进行压缩加密;内部网的系统登录用SSH替换Telnet;用SFTP替换FTP;内部网站访问用HTTPS替换HTTP等等。
·划分虚拟局域网
欺骗攻击无法跨网段工作,将网络进行越细致地分段,无漏洞渗透成功的可能性就越小。将受信任主机设置在同一社区VLAN中,将绝密性主机设置在隔离VLAN中,可以有效地防止无漏洞渗透的渗入。
转载请注明来自:http://www.uuqikan.com/jisuanjiwangluolw/8934.html
