網路安全期末報告 Arp Spoofing A0943303 謝靜芳 指導教授︰梁明章教授

摘要 Arp 簡介 Arp Spoofing 攻擊目的、特色 攻擊手法 ISP業者為何難以察覺 如何防禦 結語

ARP簡介 僅能在區域網路內使用 專門用來詢問 MAC 位址 有目的地IP，便可用ARP問MAC位址 傳送封包前，都會使用此協定

Arp 運作方式 使用兩種封包 ARP request 與 ARP reply

ARP request 廣播封包 區域網路上的每一部電腦都會處理此一封包。

ARP reply 區域網路內所有電腦都會處理 ARP request 與本身的 IP 位址比對, 判斷是否為此 request 對象。 以上例而言, B 電腦為 ARP request 的解析對象, 因此只有 B 電腦會產生回應的 ARP reply 封包。

ARP reply B 電腦可從 ARP request 中得知 A 電腦的 IP 位址與 MAC 位址, ARP reply 不再使用廣播, 而直接在封包表頭中, 指定目的位址為 A 電腦的 MAC 位址。 ARP reply 封包中最重要的內容 B 電腦的 MAC 位址。 A 電腦收到此 reply 後, 完成問 MAC 位址工作

Arp Cache ARP request 為廣播, 如果經常出現, 會造成區網負荷。 ARP Cache 將 IP /MAC 記錄在記憶體。 系統每次要問 MAC 前, 先在 Cache 中查看是否有符合的紀錄。 有便直接使用，沒有則發出 ARP request 。

Arp Spoofing 利用ARP Cache Memory ARP Cache Memory隨著電腦不斷的發出ARP request 和收到ARP reply而不斷更新 Hacker藉由發出標準的ARP request或ARP reply 擾亂或竄改某電腦或路由器內正常的ARP表 導致該電腦(或路由器)發出的封包誤傳目的地

Arp Spoofing - Example B是駭客企圖監視A與C之間通訊 向A發出一個 ARP Reply，目的IP位址為IP1，MAC 為MAC1，而來源IP地址為IP3，MAC為 MAC2 。 A更新ARP Cache，紀錄IP3地址的機器的MAC是 MAC2 。 機器A：IP1/MAC1 機器C：IP3/MAC3 機器B：IP2/MAC2

Arp Spoofing - Example 當A發出一條FTP命令時---ftp IP3，封包被送到Switch Switch查看封包中的目的地址，MAC為 MAC2 於是把封包送到B 成功攻擊機器A 現在如果不想影響A和C之間的通信 僅是監視兩者的通訊，可以同時 欺騙他們雙方， 採 man-in-middle攻擊

Arp Spoofing - Example 電腦在傳送封包前，會查詢目的IP位址的MAC 並且將該IP與MAC位址對應更新本機內ARP快取記憶體，以減少不必要的廣播封包 但Hacker會發佈虛假的ARP請求或回應通訊 欺騙其他電腦或路由器將所有通信都轉向自己 它就可扮演某些機器，對資料流程進行修改，影響正常的主機通信。

Arp Spoofing 特色 特色 隱密難以偵測 以欺騙為目的，為了維持續欺騙效果，持續發送ARP欺騙包 造成的網路危害 可能的資料側錄、竊取 對網路特定目標的攻擊 大量ARP廣播造成整個/部份網路的癱瘓

Arp攻擊手法 連線劫奪(Session Hijacking) 中間人攻擊(Man-in-the-Middle attack) 利用ARP同時欺騙使用者(Client)與服務器(Server)兩邊使所有兩邊的交談都要透過入侵人的轉述，達到欺騙、側錄、竄改資料的目的 連線劫奪(Session Hijacking) 利用ARP欺騙將使用者正常的連線搶過來 NetCut 假造ARP封包，提供目標主機假的MAC，Gateway收到後，將錯誤的MAC記到ARP 表，Client的返回封包就無法送達

ISP業者為何難以察覺？ 如果區域網內是屬於中大型、具有多個子網路 防火牆/IPS入侵偵測設備通常被設置在核心路由交換器之後根本沒有機會接觸ARP封包 即使區網內只有一個網段，防火牆/IPS入侵偵測設備兼具路由器功能也僅能偵測部分ARP廣播包

如何防禦 NBAD switch NBAD sensor 需要依賴安全交換器 由交換器來偵測及阻擋防禦最為恰當 不需要支付昂貴的IPS入侵偵測器的成本 可從網路最底層偵測及阻擋防禦 根本解決ARP衍伸的負面攻擊 NBAD switch NBAD sensor

NBAD switch 主要應用在區域網路底層的佈署 提供正常網路封包的基本交換功能 偵測功能 xarp scan detection︰主要目的是偵測LAN內部arp掃描行為 xarp anomaly detection︰偵測LAN內部哪些用戶送一些不合法封包 xarp attack detection︰主要目的是偵測出哪些用戶遭受攻擊，並找出攻擊來源

NBAD sensor 佈署於暨有已存在的區域網路上側聽的偵測器 目的 映射(mirror)方式側聽(sniffer)網路上是否有異常ARP 欺騙攻擊的封包之外 收集、偵測、防禦MAC/IP，有效解決區域網路內IP衝突與病毒攻擊問題。

結語 ARP Spoofing Attack在區網中具有極大的威脅 攻擊手法也越來越精湛 由broadcast 轉向Unicast使得偵測器或防火牆無法做出有效而廣泛的偵測 想要掃描整體網路ARP的攻擊必須要依賴交換器 主動偵測是否又異常ARP訊息 一旦發現異常ARP封包便可自動封鎖並通知網路管理者。

Thanks for your listening.