IDC中心的ARP攻击与防御解决方案(2)

　　现在就涉及到另外一种欺骗方式——ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。
　　ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤:
　　①主机C需将自己发出的非法IP包的存活时间改成最大。
　　②寻找主机B的漏洞使其暂时停止工作。
　　③当主机A找不到原来的192.0.0.2后,将更新自己的ARP对应表。此时,主机C发送一个原IP地址为192.0.0.2,MAC地址为CC:CC:CC:CC:CC:CC的ARP响应包。
　　④现在每台主机都知道了,一个新的MAC地址对应192.0.0.2,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.2的IP包丢给路由。于是还需要构造一个ICMP的重定向广播。
　　⑤定制一个ICMP重定向包告诉网络中的主机, 到192.0.0.2的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.2的IP包丢给路由。
　　⑥主机A接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的通讯都丢给路由器。
　　⑦主机C成功入侵主机A。
　　其实上面的想法只是一种理想话的情况,主机许可接收的ICMP重定向包其实有很多的限制条件,这些条件使ICMP重定向变的非常困难。
　　(3)ARP欺骗新表现形式
　　此种欺骗攻击方式同上一样,向全网发送伪造的ARP数据包,区别在于它对HTTP报文的修改。
　　用户在浏览某些网页时,网页中可能会包含一些恶意的代码,这就是俗称的“网页木马”,此种行为被称为“挂马”。主要有以下三种方法插入恶意代码:
　　①局域网被ARP欺骗。当网内的一台主机欲访问网外的WEB服务器时,该主机会将请求发给负责本网的网关,由网关到服务器获得请求页面再发给该主机。此时攻击主机伪装成网关将插入恶意代码的网页发给请求主机,对于该局域网内的其他主机均可采取此种攻击方法。
　　②服务器被ARP欺骗。服务器所处局域网内,有主机被感染病毒,服务器发给用户的网页在传输过程中被插入恶意代码。
　　③服务器被攻击。服务器被入侵或感染病毒,硬盘上网页文件被修改插入恶意代码。
　　3.2 MAC Flooding
　　MAC Flooding 可以称之为 MAC 洪泛现象,这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信。其中 Flooding 是一种快速散布网络连接设备 (如交换机)更新信息到整个大型网络打每一个节点的一种方法。交换机中也存放着一个 ARP 缓存表。同主机中的 ARP 缓存表相同,它也起到记录网络设备 MAC 地址与 IP 地址的 对应关系的功能。但是交换机中的 ARP 缓存表的大小是固定的,这就导致了 ARP 欺骗的另 一种隐患:由于交换机可以主动学习客户端的 MAC 地址,并建立和维护这个 ARP 缓存表, 当某人利用欺骗攻击连续大量的制造欺骗 MAC 地址,ARP 缓存表就会被迅速填满,同时更新信息以洪泛方式发送到所有的接口,也会发给所有的接口和邻近的交换机,会导致其他交换机的 ARP 表 溢出,造成交换机负载过大,网络缓慢和丢包甚至瘫痪。所以说 MAC Flooding 是一种比较 危险的攻击,严重会使整个网络不能正常通信。

　　3.3基于ARP的DOS攻击
　　DoS 攻击的目的就是让被攻击主机拒绝 用户的服务访问,破环系统的正常运行。最终使用户的部分 Internet 连接和网络系统失效。 它的基本原理是:攻击者利用 ARP 欺骗 工具,不断向被攻击主机发送大量的连接请求,由于遭到 ARP 欺骗的主机不能够根据 ARP 缓存表找到对方主机,加之主机的处理能力有限,使得它不能为正常用户提供服务,便出现 拒绝服务。在这个过程中,攻击者可以使用 ARP 欺骗方式来隐藏自己,这样在被攻击主机 的日志上就不会出现攻击者真实的 IP 地址。被攻击主机不能根据日志上提供的 IP 地址找到正真的攻击者。