封包原始內容 封包原始內容
封包原始內容
來的 ARP 回應封包,也會將其 IP 位址與 MAC 位址的對應關係記錄到 ARP TABLE 中;
如果我們偽造 ARP 封包中的 IP 位址與 MAC 位址的對應資料,並將此封包傳送到目 標主機,該主機只能依接收到的封包裡的 IP 位址與 MAC 位址而紀錄到 ARP TABLE 中;如果 IP 位址與 MAC 位址的對應關係是錯誤的,就形成 ARP 欺騙攻擊了。以下 說明 ARP 欺騙所形成的攻擊型態。
2.4.2 2.4.2 2.4.2
2.4.2 中間人攻擊 中間人攻擊 中間人攻擊 中間人攻擊
所謂中間人攻擊(Man in the middle,簡稱 MITM)就是在網路上通訊傳輸的兩 台主機中間偷偷加上一個節點,如此這兩台主機所有的通訊傳輸資料都必需經由 這個節點來傳送,而駭客便可以在這個節點上使用監聽軟體來竊聽兩台主機之通 訊內容,進一步獲取機密資料。
主機 A 和主機 B 在區域網路中通訊(如圖 2-9),主機 C 分別傳送偽造的 ARP 封 包給主機 A 與主機 B,更改 ARP TABLE 裡面彼此的 IP 位址都對應到主機 C 的 MAC 位址,如此主機 A 要傳送資料給主機 B 時,會傳送到 MAC 位址為
01:e5:33:54:19:0C,而這個位址就是主機 C,同理主機 B 要傳給主機 A 時,也會 傳給主機 C,主機 C 就成為中間人(如圖 2-10),並可進行竊聽了。
圖 2 - 9 主機 A 正常狀況下傳封包給主機 B
圖 2 - 10 主機 C 以 ARP 欺騙所造成的中間人攻擊
網路上可以輕易下載到的中間人攻擊軟體 Cain & Abel,提供了和善的視窗操 作介面,可以很容易的被操作使用,只要指定要竊聽的對象,軟體就會同時欺騙 傳輸中的兩台主機,讓自己成為中間人,如此軟體就會幫你在區域網路上收集有 用的資訊,例如使用者的帳號與密碼。
2.4.3 2.4.3 2.4.3
2.4.3 阻斷 阻斷 阻斷服務 阻斷 服務 服務攻擊 服務 攻擊 攻擊 攻擊
阻斷服務攻擊(Denial of Service,簡稱 DoS)是針對某一台主機或網路設備 進行攻擊,使其無法再正常提供服務。而以 ARP 欺騙為基礎的阻斷服務是攻擊者 發出偽造的 ARP 封包,讓區域網路內的主機或網路設備的 ARP TABLE 擁有錯誤的 IP 位址與 MAC 位址,所以在傳送資料時,無法傳送到正確的主機,便達成阻斷服 務攻擊了。
如圖 2-11 所示,攻擊者以偽造的 ARP 封包發送給主機 A 和主機 B,並在它們 的 ARP TABLE 裡留下錯誤的 IP 位址與 MAC 位址對應紀錄,主機 A 要傳送封包給主 機 B 時,會將封包傳給 MAC 位址為 01:E5:33:54:19:BB 的主機 B,而在區域網路上 並沒有這個 MAC 位址,所以主機 A 傳送的封包無法正確的送達主機 B。同樣的道理,
主機 B 也無法傳封包給主機 A,所以主機 A 與主機 B 之間就無法通訊連線了。
圖 2 - 11 阻斷服務攻擊
在網路上可以很容易搜尋到以 ARP 欺騙為基礎的阻斷服務攻擊軟體,最有名 的是 NetCut 這一套軟體。攻擊者使用這一套軟體,可以清楚知道區域網路中有哪 幾台電腦上線,並可以指定哪幾台電腦不能上網。有網管使用這一套軟體來管理 網路,但是如果一般使用者也拿這一套軟體來限制某些電腦無法正常上網,這時 就會造成網路秩序大亂。