交换式以太网中的ARP与DNS欺骗技术分析

http://www.51kaifa.com/jswz/read.php?ID=2983

摘要：利用TCP/IP协议缺陷进行欺骗攻击是目前网络中常出现的攻击方法，通过与网络监听的结合，攻击者能在不被察觉的情况下实现对被攻击者通信数据的截获并篡改，给当今网络通信安全带来了严重威胁。本文分析了在交换式以太网中利用ARP欺骗突破交换网络对数据监听的限制，成为“中间人”截获DNS报文，进而伪造DNS报文进行DNS欺骗的技术，并给出基于WinPcap的实现。
关键词：交换式以太网；ARP 欺骗；中间人攻击；DNS 欺骗；网络安全

1. 引言
    以太网按其信息交换的方式可分为共享式以太网和交换式以太网。共享式以太网通过集线器进行网络互联，集线器将每个端口收到的数据帧向所有其它端口以广播形式发送，因此任意主机都可以通过将网卡设置为混杂模式来监听网内的所有通信；而交换式以太网是通过交换机将网内主机相连，交换机将对每个端口收到数据帧进行源和目的MAC地址检测，然后与内部动态的MAC端口映射表进行比较，若数据帧的源MAC地址不在映射表中，则将该MAC地址和对应接收端口加入映射表中，同时根据映射表中与目的MAC地址对应的端口号，交换机把数据帧仅从该端口发送出去。因此交换机的每个端口可平行、安全、同时地互相传输信息，其它端口的主机即使将网卡设置为混杂模式，也只能监听到连结在同一端口上主机间的数据传输。
　　针对交换式以太网的特点，要使本不应到达本地的数据帧到达本地，实现对网络中通信的监听和进一步的DNS欺骗攻击，目前有两种方法：MAC洪泛和ARP欺骗。MAC洪泛是指向交换机发送大量含有虚假MAC地址和IP地址的数据帧，溢出交换机中存储MAC端口映射表的有限空间，致使交换机就进入了所谓的“打开失效模式(Failopen Mode)”，即进入和集线器相同的广播转发模式；ARP欺骗则是通过欺骗被攻击者将攻击者的MAC地址作为网关MAC地址或使被攻击者认为网关的M