本系列將討論最常被使用的中間人攻擊形式，包括ARP緩存中毒攻擊(ARP Cache Poisoning)、DNS欺騙(DNS Spoofing)、HTTP會話劫持等。

　　導言

　　用于攻擊個人以及企業的最常見的網絡攻擊方式就是中間人攻擊(MITM)。作為一種主動竊聽攻擊方式，中間人攻擊方式主要是通過與目標機器建立連接并在目標機器間傳遞信息來發動攻擊。在這種情況下，用戶會認為自己正在與另一名用戶直接通信，而實際上，通過主機的通信流量正在對用戶執行攻擊。最終結果是，攻擊主機不僅能截取重要信息，而且能夠注入數據流來進一步控制受害用戶。

　　在本系列文章中，我們將討論最常被使用的中間人攻擊形式，包括ARP緩存中毒攻擊(ARP Cache Poisoning)、DNS欺騙(DNS Spoofing)、HTTP會話劫持等。在實際情況中，你會發現，大多數受害用戶使用的都是windows系統，因此我們將詳細分析運行不同版本的windows系統時中間人攻擊的情況。

　　ARP緩存中毒

　　在本文中我們將主要探討ARP緩存中毒，這也是現代中間人攻擊中最早出現的攻擊形式，ARP緩存中毒(有時也被稱為ARP中毒路由)能夠讓與受害用戶在相同子網的攻擊者竊取用戶的所有網絡留戀。我們首先討論這種攻擊形式是因為，它是最容易執行的攻擊形式，但也是最有效的攻擊形式。

　　正常ARP通信

　　ARP協議的主要目的在于簡化OSI模型第二層和第三層間地址的翻譯。第二層(也就是數據鏈層)使用MAC地址，以便硬件設備可以在小范圍內直接進行通信。第三層(也就是網絡層)使用IP地址(最常見的形式)來創建連通世界各地用戶的大規模網絡。數據鏈層直接處理連接在一起的設備，而網絡層處理那些直接以及間接連接的設備，每一層都有自己的地址形式，他們必須合作才能實現網絡通信。正是由于這個原因，ARP與RFC826(以太網地址解析協議)一起被創建。

　　

　　圖1：ARP通信過程

　　ARP運作實際上是圍繞兩個數據包進行的：ARP請求和ARP回復。請求和回復的目的在于確定與特定IP地址相關的硬件MAC地址，這樣流量才能夠在網絡上找到目的地。請求數據包被發送給網絡段上的每臺設備并發出信息“我的IP地址是XX.XX.XX.XX，我的MAC地址是XX:XX:XX:XX:XX:XX，我需要將信息發送給這個IP地址XX.XX.XX.XX，但是我不知道它的硬件地址，請這個IP地址將其MAC地址回復給我?”回復會以ARP回復數據包的形式，并回復說“你好，傳遞設備，我就是你要找的IP地址XX.XX.XX.XX，我的MAC地址是XX:XX:XX:XX:XX:XX”，收到回復后，傳遞設備會更新其ARP緩存表，然后設備就可以與另一臺設備進行通信。

　　緩存中毒

　　ARP緩存中毒利用了ARP協議不安全的本質。ARP協議有別于其他協議，例如DNS協議可以配置為僅接受安全動態更新，而使用ARP的設備則可以接受任何時間的更新。這意味著任何機器都可以向另一臺主機發送ARP回復數據包，并迫使主機更新其ARP緩存。發送ARP回復而沒有生成請求時，此時被成為無效ARP。當惡意攻擊者以這種方式放置一些無效ARP時，用戶就會認為他們正在與另一用戶通信，而實際上是與竊取信息的攻擊者通信。

　　

　　圖2: ARP緩存中毒截取通信

　　使用Cain & Abel工具

　　讓我們從具體情況來分析，攻擊者會使用幾種不同的工具執行必要的步驟以毒化受害者的ARP緩存，我們將使用常見的安全工具Cain & Abel來模擬緩存中毒攻擊。Cain & Abel是非常有效的安全工具，并且安裝過程也十分簡單。

　　在開始模擬緩存中毒前，你需要收集一些信息，包括你此次模擬攻擊希望使用的網絡接口，以及兩個通信受害者IP地址。

　　當你第一次打開Cain & Abel工具時，你會發現在窗口上方有很多選項卡，我們只需要使用Sniffer選項，當你點擊此按鈕，你會看到一個空表。為了完成此表格，你需要激活該程序的內置嗅探器并且掃描你的網絡。

　　

　　圖3： Cain&Abel工具的Sniffer選項

　　點擊工具欄上的第二個圖標，類似于網絡卡。首次操作時，會要求你選擇你希望嗅探的接口，這個接口應該是連接到你將要執行ARP緩存中毒攻擊的接口。選擇好接口后，點擊確認來激活Cain & Abel的內置嗅探器。此時，工具欄圖標會變暗。為網絡中有效主機建立列表，你需要點擊類似+符號的主要工具欄，點擊確認。

　　

　　圖4：掃描主機?　

　　之前的空表格現在以及填滿了所有連接網絡上的主機名，以及MAC地址、IP地址以及供應商驗證信息，這些是發動ARP緩存中毒攻擊的有利信息。

　　在程序窗口的地步，你會看到一組標簽，這些標簽將引領你到嗅探器的其他窗口。現在你已經建立了主機列表，你需要從ARP標簽開始，點擊標簽以切換到ARP窗口。

　　打開ARP窗口后，你會看到兩個空表格：上表和下表。設置好這兩個表格后，上表會顯示ARP緩存中毒涉及的設備，下表會顯示中毒機器間的所有通信。

　　點擊程序的標準工具欄上的+符號的圖標以繼續設置ARP中毒，顯示的窗口有并排兩個選擇列，在左側，你會看到所有有效主機的列表。點擊其中一個IP地址，你會看到，右邊窗口顯示的是網絡中所有主機，而沒有顯示你所選擇的IP地址。在右邊窗口，點擊另一個受害者的IP地址，然后點擊確認。

　　

　　圖5：選擇緩存中毒的攻擊主機

　　這些設備的IP地址現在都被列在主要程序窗口的上表中，為了完成這個操作，請點擊標準工具欄的黃黑色放射符號。這樣將激活Cain & Abel的ARP緩存中毒功能并允許系統成為受害機器間所有通信的中間人。如果你很好奇背后發生的情況，可以安裝wireshark并竊聽接口，你很快會看到受害電腦間的通信。

　　

　　圖6：ARP通信注射

　　完成以上操作后，只要再次點擊黃黑色發射符號就可以停止ARP緩存中毒。

　　防御ARP緩存中毒

　　從防御者的角度來看ARP緩存中毒攻擊似乎處于不利的位置，ARP進程在后臺進行，我們很難控制。并沒有萬能的解決方案，你可以采用主動和被動的立場來考慮ARP緩存中毒。

　　保護局域網安全

　　ARP緩存中毒的確是截取位于相同局域網的兩臺主機間的通信的可行的攻擊技術，但只有當網絡上的本地設備比破壞，受信任用戶有惡意企圖，或者某用戶試圖將不可信設備接入網絡時，ARP緩存中毒攻擊才可能造成真正的威脅。盡管我們往往將主要精力集中在保護網絡外圍安全上，但抵御內部威脅以及確保內部安全絕對可以更好的確保系統安全。

　　硬編碼ARP緩存

　　抵御ARP請求和回復的動態本質所帶來的威脅的方法是使這個進程不那么動態，這是因為windows系統主機允許其他靜態表項進入ARP緩存，你可以通過打開命令提示符并輸入arp-a命令來查看windows系統的ARP緩存。

　　

　　圖7：查看ARP緩存

　　可以通過使用這個命令arp –s?來添加表項到這個列表。

　　如果你的網絡配置并不是經常變動，做靜態ARP表項的列表并通過自動化腳本將表項部署到客戶端是完全可行的。這可以確保設備始終依賴本地ARP緩存，而不是依賴ARP請求和回復。

　　使用第三方程序監測ARP通信

　　抵御ARP緩存中毒攻擊的另一種方法是被動方法，監控主機的網絡流量，這可以通過入侵檢測系統(如Snort)或者其他監測工具(如xARP)來進行監控流量。對于一臺主機而言，這可能是很簡單的事情，但是對于整個網絡而言就不是那么簡單了。

　　總結

　　ARP緩存中毒是中間人攻擊中最有效的攻擊方式，因為它非常容易執行，對于現代網絡是巨大的威脅，并且這種攻擊方式很難檢測和防御。

?

備注：轉自IT專家網

轉載于:https://www.cnblogs.com/Alim/p/5340744.html

總結

以上是生活随笔為你收集整理的解析中间人攻击(1/4)---ARP缓存中毒的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。