ARP欺骗，骗的是什么？

sunweipeng

在论坛上看到很多关于ARP欺骗的文章,但到低什么是ARP欺骗呢?今天让我们大家一起来看看下面的

前段时间的MSN被监听。实际上媒体也对MSN的监听软件做了报告，实际上它并不是非常容易被使用。但是网上后来又出了叫停类的文章，是说MSN Messenger是配合ARP欺骗软件，就起到了它原本应该有的作用。ARP欺骗到底是什么样的技术？



ARP欺骗我们必须从它的名词来讲。ARP欺骗它是一个地址解读的协议。地址解读协议是什么意思呢？在我们互联网上面，最常用的协议是TCPIP，就是传输的协议。IP就是所谓定址的协议。好比我们用哪一栋大楼，在什么地方，在网络上就是使用IP地址来定的。但是在实体上，我们大家都知道，在每一台电脑上都有实体的地址。IP地址是网络的一个地址。ARP就是让这两个地址跟IP地址产生关联的一个协议。也就是说，我怎么知道哪一台IP在什么位置呢？就是透过ARP去先地方他的IP地方在哪里，再把这个侦发过去。像MSN是怎么欺骗的呢？在局域网里面，我这个侦或者这个包本来要发到某一个IP，这个IP对的机器是A机器。它骗你这个IP对应的是第一台机器。你就以为这个包要发到另外一台机器去。这就是所谓ARP欺骗的基本想法和思维。



ARP欺骗对于我们局域网的一些应用看来是很危险的。



在中国，普遍发现ARP欺骗影响，在早期是网吧。它就是让这个网吧掉线。其实我们早期发现的时候，刚刚讲的一些应用就是所谓的MSN监听。在所谓的MSN，并没有做特殊的加密。有些人就想了一些机制去监听。其实ARP最早的应用就是在网络上盗取密码的。就是有一些在网吧里的用户，用ARP欺骗。另外一个用户在输入用户名和密码的时候，就欺骗他的这台机器说，我的机器是路由器，他会把用户名的密码送到我这台机器里面。他就可以把这个用户名和密码解读出来。等用户没有上网的时候，他就可以把这个宝盗走。后来慢慢我们发现，很多用户用这个功能，在这个上面做了很多的隐身，变得一发不可收拾。本来我大概可以用三秒、五秒，后来就产生了很多隐身和变形，造成网断线。因为应用的软件失控了，他就可以在某一台机器上不断做这个欺骗的动作。



ARP欺骗软件运行同时，为什么会造成频繁的断线呢？



在我们以局域网运作来讲，我们有两种方式的传输。一种对外传，就是我的用户有一个需求，他透过路由器对外界传送。这个时候，这是一种。另外一种是回传。当有用户在网络上假装他自己是路由器的时候，用户往外传的包或者侦就会送到假的用户去。这个软件就会有一来、一回持续的运作。当你今天碰到ARP欺骗的时候，你就会发现你送去给他，他那边没有回应。用户就觉得是掉线或者断线。严重的时候，就会把其他的应用，也没有办法应用了。所以就感觉到大幅度掉线或者断线的功能。



实际上就是造成断线的假象。



实际上也真的断线了。就像我今天跟你在讲话，但是你听不到我讲话的声音。我的服务器也不知道我在跟他讲什么话。另外一个人听到话，只是把它窃取下来，记录下来，并没有给我回应。就是这样的现象。

刚才也说老了ARP欺骗最早可以用于盗取用户的一些密码、一些敏感信息。现在我们知道，所有未加密的传送的软件，都应用配合一些应用工具监听的。能不能再给我们介绍一下，配合ARP欺骗使用，还有什么所谓的黑客行为呢？



盗宝是最主要的，另外就是监听。当ARP欺骗，可能配合其他的一些软件功能这样子的。我们发现，在局域网里面，想盗取一些ARP，或者无线网络里面，基本上都是用局域网的特性叫广播。广播，像我们刚才提到的ARP欺骗为什么可以成型？在每一个计算机里面，都存了一个IP地址的对应表。但是每台机器的内存有限，当这个表不够的时候，会传一个广播信息。比如今天我要送给一个IP地址，我就问这个IP在哪里？问出来，所有人都会接受。假如在标准正常的运作里面，大家知道我不是这个，我不用回应。但是路由器知道，这个东西不是这个网域里面，不用送。如果是假装这个IP地址的话，你就会产生一种误解。其实这种比较重大的威胁，我们看到无线这边，有人利用这个特性，做一些相关的动作。



也就是说，在无线或者有限的局域网里面，你所做的一些行为，都可以用黑客软件配合ARP监控软件进行欺骗，截取。



有一些比较低阶段的应用就是所谓的监听。如果在对于这些软件做进一步的分析，比如我这个软件送的时候是什么需求，回来的时候是什么需求。他可以用另外一个目标把你所有的动作都拦截回去。如果今天对方知道，像一个交易，他知道第一笔是什么，第二笔是什么，他把所有的资料都送过去。他也可以把你的讯息拦截走，再转送到服务器，再转送回来。这样的隐身就变成了蛮复杂的状况在应用。这也是各地对ARP效果影响越来越大的原因。



这个是一般用户来说，也是蛮头疼的问题。



用户因为不小心，用了一些软件，或者在PC里面点了一些MSN的连接等等，把这个程序启动了，他会发现自己渐渐受到了影响。像今天早上我们的技术支持跟我们说，湖北一些网吧，几乎没有人上网了。因为上不了网。

像有这种加密的软件传送，信息也是能被黑客截取。只是截取后看不到内容？



是的。



前一阵子出有一个msn chat sniffer这样的软件，发现每一台机器都受到了扫描攻击。后来我们分析，是中了病毒还是木马这类东西呢？



其实在早期里面，ARP的很多功能，像陀螺仪木马这样的功能期在一起。在早期的ARP，只是黑客用来盗取密码，用了三、五秒钟。当你输入用户名和密码的时候，另外一个用户发现没有回应，他会再输一次。但是因为这些ARP的功能跟其他的木马或者其他的城市，或者网络上的连接、病毒结合在一起，所以造成很大规模的影响，断线或者掉线。像你刚刚提到的状况，这个用户可能不知道自己在做这样的事情，这是典型的病毒，这是病毒跟ARP结合的典型现象。



他能通过ARP欺骗的病毒做什么呢？



ARP欺骗的病毒做到现在，对于制作的人或者散布的人没有什么太大的作用，纯粹是破坏的工具。因为ARP可以收集网络上广播的包，如果进一步的应用，肯定会有很多的黑客在思考这个问题。因为网络上的特性属于来回，属于协议这样的状况，如果你好好利用，好的方向能保持网络顺畅，不好的方向可以拦截任何他需要的资讯。



从今年开始，在病毒这边应该是说黑客已经从最早的表现欲，已经转变成有目的性的盈利的目标，也就是说，ARP欺骗很可能被成为黑客盈利的手段。



你怎么样发生ARP欺骗的状况，我们必须从原理开始讲。最简单的就是叫做ARP跟IP地址的对照表。我们有一些文章描述到，你可以对这个网络进行扫描。像这个ARP的对照表，可以对这个网络进行扫描。当你发现某一个对应IP地址的话，正常是一对一的关系，如果发现一对多的方式那就是异常的情况。回到我们刚刚讲的，预防ARP。我们必须建立地址跟IP的固定关系。因为它会欺骗你。我们现在所谓绑定的功能，我们刚才讲了有两个方向做绑定，一个是路由器的部分，你必须把内部的所有的机器，IP地址做一个绑定。我们想了一些功能，可以让它作后面做激活的动作把它绑定。

很多用户发现我只要在路由器这边做好了就行了，在终端这边就不用做了。但是这样的话，会发生部分的现象。所以在用户这边有所谓的ARP—S的功能，你把你的路由器的位置，也做绑定。这样送给路由器的包就不会被别人拦截去。我们刚才谈到了两个方向，一个是所谓的路由器端做绑定，就是所有机器的IP地址。另外是用户端也要绑定，绑的是路由器的IP，跟路由器的地址。实际上我们最近发现另外一个现象，就是对于中毒的这台机器还有另外的处理方式。中毒的这台机器，虽然你针对每台机器绑定，但是这个设定从开机以后，就失效了。所以我们建议用户把它写到启动的档案里面。每次开机的时候激活这个功能。



另外中毒的这台机器，虽然绑定了，但是它内部已经有病毒了。虽然绑定了，但是它可以每秒快速写它的ARP。这时候他对别人没有办法造成危害。因为别人已经把路由器跟这个机器的位置写得很确定了。对这台上网的人还是有很多的困扰。我们这种传统的绑定功能可以给他快速的写。写到一秒两百次这样的速度。我们现在看到比较好的做法，就是把藏在里面的病毒去除掉，或者整个机器都要清理一下病毒。这是我们现在比较完整的处理方式。



真的是很精彩的解答。如果我只对我个人的PC机做了绑定，路由那端没有做绑定，还会不会受到ARP欺骗？



在个人这边做绑定，你可以确保你往路由送的包，确定会送到路由这边去。但是路由送回来的时候，他可以在半路拦截。告诉你路由器不要送给它，送给我吧。就把这个包拦截过去了。所以我们刚才谈到要双向的包要严密。现在有些网吧如果做单方面的绑定是不行的。



很多人认为我一边绑定就可以了，实际上还是需要双方相的绑定。河北前一段时间某公司，采用了贵公司的产品，和网吧结合出现了一些问题。请问有一些什么具体的问题吗？


在早期的路由器的版本里面，也许没有这样的绑定的功能。所以它就会产生掉线或者不稳定的状况。



看来防范ARP还不是说用户个人的行为能够解决的，还需要网管和用户一起来解决。


这个对网管而言是比较全面、头疼的工作。其实对于网管而言比较复杂的地方在这边，就是你如果一次把所有局域网上的IP地址找出来的话，你必须要借助一些工具。不是现成的机器就可以做的。必须在网络上下载。就是msn chat sniffer，或者其他的工具。还有一些行动的工作者，比如笔记本电脑来了，你没有设在里面，这台就发生了这样的问题。


不光是技术的问题，还牵涉到安全管理的问题。所以说ARP欺骗可以说是无法彻底解决的问题。可以这么说吗？

在网络上有人提到，这个是在协议上的弱点。但是我想说从技术的观点来讲，实际上有不同的方案可以解决。在一些做路由器产品或者相关软件的，或者做防毒的，大家都可以针对这个特性。早期大家不是很了解，慢慢大家针对刚刚的特性，就是所有IP地址的绑定，你去给它更好的局限。在早期因为很开放，所以我在广播。但是因为发生这样的问题，所以将来不管在嵌入的时候，或者在网络上广播的时候，不同的软件会做更多的规范，会降低这样的现象。







下半场将马上开始，请大家不要走开。





网友：ARP欺骗是不是占用IP地址呀？他遇到的问题是被ARP攻击后，机器出现的系统错误，IP地址冲突，这个应该如何防范和解决呢？



张：这个现象就是我们刚刚讲的。因为他假装是你的这个IP。所以他的机器就会出现IP地址冲突。因为在局域网里面，IP地址都是唯一的。就像房子的住址一样，如果要邮差送信，就会产生混淆的现象。其实这个重点不是占用地址，而是经由IP路由器去占用你的地址。就像香港的喜剧片里面，有客人来的时候就会把门牌换掉。其实它重要还是把你的资讯偷走。



在下面的帖子里面我们看到，很多用户认知，在用户端做防御的动作就可以了。全面性的说，应该在网关、路由器、用户端都要做这些动作才能解决。



网友：如果网络因为ARP欺骗造成异常，如果快速追踪进行ARP欺骗的客户机呢？



张：对一些用户，标准的计算机里面的软件，或者在路由器里面的一些监测、报告功能都没有办法一次把局域网里面的IP的对照表达出来。需要借助一些软件。在我们的产品里面，我们在路由器内置的功能，只要点一下内照表，就可以把所有的功能点出来。还有可以在网络上下载msn chat sniffer。你可以检查，发觉某些地址对应的就是两三个地址。这时候就代表说是这一台。这一台地址找出来以后，就可以找出是哪台机器发出这样的包。



主：就是说个人用户和网管都可以轻易找到发起的客户机。



张：早期大家感觉这个概念不是很清楚。但是如果有适当的工具，其实并没有什么困难。



主持人：其实可以理解为ARP本身并不是坏的东西。



张：ARP是网络的协议，是帮助网络运作的协议。正确的名词就是ARP欺骗。



就是ARP和欺骗放在一起，很多用户一谈到ARP，就觉得我的机器是不是中了病毒？实际上它是再普通不过的网络应用。

网友：是否可以与安全产品，其他硬件或者软件解决这个问题呢？



：我们必须要确保局域网内的机器最好不要中ARP的病毒。这是比较基本的防毒的习惯。可能每台机器要去安装防毒软件，因为我们发觉到很多比较近期的防毒公司，像金山，像趋势等等，它的新的版本里面，都有防止相关病毒的一个功能在。所以如果所有的机器都装的话，可以第一时间拦截这样的中毒的可能。用户这边也要养成良好的习惯，在MSN或者Skip的用户的连接，别的用户给你信不要乱点。这样第一关就可以防止。在其他的路由器，我想渐渐所有的路由器都会加上这样的功能。除了内网之外，其他的伪装功能，我慢慢可以去判断。譬如，在未来，基本上在软件程序方面，你会发现只要能被描述的，应该能被自动化。我们刚刚讲我们怎么样判断ARP，就是先把表做出来，第二就是看哪些是重复的。然后针对重复的做一些对应的动作。我相信路由器和其他的安全产品，将来都可以把这些做成智慧化。我们也希望进入这样的方式，传播这样的资讯，被用户了解，来变成自动侦测。有发生的时候，告诉网管哪台机器有问题，你要马上隔离掉。



用户有问题肯定有需求，有需求，我们就要提供产品。我相信近期就会有一些安全产品推出。



网友：大不部分ARP监控软件都会使用一个驱动。现在的思路就是让其他无法在本地计算机安装，这样的ARP欺骗软件就无法使用的。此方法可以用于任何程序的安装？这个东西在安装MSN或者msn chat sniffer这个东西也会打包安装上。



张建清：这个会给它一些更新。基本上这个思路，就是我让新的软件无法去改写这个档案。它就无法去做这样的欺骗动作。至于这是不是可以用于任何程序的安装，我相信这做法还有一定的效果。但是适用不能适用所有的程序，我还不敢保证。因为这个在早期，他可能把你的对照表重新写一次。后来发现有一些防治的工具，道高一尺，魔高一丈嘛。但是我觉得这不是唯一的解决方法。具体要看市场最近的反馈状况。因为这个每天大家都会有新的情况发生。我们现在对抗ARP已经有半年了，第一个月我们产生的解决方案提供给用户，结果后来很多客户非常高兴。我们后来又提供的另外一种解决方式，然后又相安无事了，未来又是什么样子，我们也不知道。



这也是一场持久战。



网友：看到的ARP欺骗的物理地址，但是在内网却找不到相对应的IP地址。这是怎么回事呢？



主持人：这个是不是个别的现象？可能这个网管的用户在技术方面使用的工具，在方法上面没有正确的应用，导致了这个情况呢？



张：这个有点不理解。所谓的物理地址，就是实体网络卡的地址，因为我们每个网络卡制作的时候，芯片地址是唯一的，所谓唯一就是全球唯一。譬如同样是某家公司的网络地址，但是这个地址是全球唯一的。加入一个公司买了两片物理地址是一样的，那整个全球都是唯一的IP地址。至于找不到IP地址的主机，可能就没有给他一个IP。这个我不知道是一个暂时的欺骗行为，还是怎么样的变形。假如你找到物理地址的话，你就应该找到具体的机器在什么位置的。

主持人：时间的关系回到最后一个网友的问题。



网友：可以用工具软件找到IP和物理地址的对应列表，在交换式的网络里面这个动作会不会受到限制？



张：是的。这个用户的确也是专家。在所谓的网络里面，就是局域网里面，我们的这些工具都是用广播的特性去做的。所以基本上，假如你是一个共享的局域网的话，它是可以找到的。如果是交换式的网络，可以根据不同交换的区段去进行处理。像从路由器去做的好处，因为内部虽然有交换区段，我们刚才讲了两个方式，一个从路由器这边，路由器的好处就是所有的交换区段都要到路由器去做。如果你利用某种软件，在某个区段里面找，可能交换到其他的网段里面，就没有这么快。必须分段处理。所以为什么我们在路由器里面提供一些好的功能，让它的速度比较快速，以至于找到内网。