智能终端用户需小心基于WIFI的ARP欺骗

近几年,ARP欺骗让不少企业内网管理员头痛不已,简单从网站上下载一个程序,稍事配置,便可轻易窃取处于内部同一网段中的任何一台机器的流量。网络管理员只能在网络交换设备上将网关等重要机器的Mac地址同IP地址进行绑定,以减轻网络故障的发生率,但是仍有网络终端强行抢占网关等重要设备的资源,让内部网络处于混乱。

随着WIFI的日益普及,基于有线网络的ARP攻击方式现在即将蔓延至无线网络,不过多数善良的智能终端用户显然并未充分认识到这一点,人们会被教育说开放式未加密的WIFI很危险,甚至也知道WEP也不堪一击。多数人们并不明白的是无线网络天生就是不安全的,无线网络中的数据通讯会漂浮在空中信号所能覆盖的距离内,而只能通过线缆的物理连接才能获得通过有线网络传输的数据。

可悲的是由于区域和城乡差距造成的信息化差距,多数人的信息安全意识并不足够,却自以为是,不肯谦虚学习,他们可能会辩论说使用了WPA2安全机制和最强的加密算法,黑客无法窃取无线流量,却不知攻击者借助的手段可能并不是强力破解这些加密系统。

基于iOS平台的iPhone和iPad都有简单的Pirni程序来进行ARP欺骗,Android平台更是黑客的利器,这里支持ARP欺骗的Packet Sniffer程序充斥在应用商店。CNNIC发布的最新互联网安全调查报告称移动互联网终端已经超过个人电脑,吸取PC时代的互联网安全事故历史教训,我们可以预见的是:黑客将远程穿梭跳跃于被控制的智能终端上,不时发起远程溢出攻击和ARP欺骗攻击,侦听、筛选和回传重要数据,甚至制作自动化的蠕虫,用于对终端设备进行渗透和遥控,以及搜索和披露各类机密数据……

如果说设备厂商、软件厂商和运营商可能会窃取智能移动终端用户隐私的话,WIFI窃贼可能控制人们的终端设备或窃取网络通讯流量及网络身份。

有什么应对之道么?昆明亭长朗然科技有限公司安全研究员Bob Xue说:移动终端设备属于个人计算,但也越来越多地用于工作,安全负责人要积极制定和发布智能终端的安全标准,并且采用必要的移动终端安全管理方案和系统,更秣的一点是对用户进行必要的安全意识教育和安全技能操作培训。

首先是保障设备本身的安全,多数设备都有安全相关的功能设置,教育用户学习和启用这些必要安全功能。

其次是关于应用程序的安装,当有免费的软件时,国人不愿意花些小钱,这也是可以理解的,不过要确保软件来源的可靠,要让用户了解到非可信来源的软件可能带来的数据丢失和恶意扣费问题。说到免费软件不得不提到破解,要让用户理解jailbreak和root可能带来的额外法律和安全风险,技术上至少要保证用户修改默认的root密码。

接着,如同保障PC的安全一样,要不断提醒和督促用户及时更新系统及各类应用软件,使用云存储的同时也定期手工备份重要数据。

最后,回到防范基于WIFI的ARP欺骗上,要教育用户在使用WIFI时传输重要数据前,基本的动作是启用VPN连接到可信的网络接入……

智能终端和WIFI的商业应用越来越广泛,攻击者利用无线终端设备、无线用户、无线网络做中介或跳板进入核心的商业信息系统的案子已经初现于媒体。网络信息安全专家可以在无线网络管理上加强,在终端设备和无线用户层面,用户的WIFI安全意识最提升为迫切。

ARP中毒科普

在局域网中,基于网络病毒和黑客攻击的内部攻击很常见,也很顽固,难以彻底消除。对此,昆明亭长朗然科技有限公司网络安全技术员董志军表示:很多企业内部网络连接总是莫名其妙地中断,病毒总是杀不干净,通常来讲,是遭受了ARP中毒攻击,究其原因,有技术原因和人为原因。

在技术方面,有长期隐蔽并驻守于电脑中的恶意软件程序,未能正确配置和更新的杀毒软件可能都拦不住它们;在人员方面,有很多员工会胡乱下载网络“黑客”程序并随便在内部网络使用,比如很多新入职场的小男生都是只会使用黑客小工具的“脚本小孩”,骄傲自大,破坏力强同时解决问题能力却很差,这真的很令人头痛。接下来,让我们对ARP攻击进行一些科普,希望能帮助IT管理人员及所有职场人员。

ARP是地址解析协议的缩写。它用于将IP地址转换为交换机上的物理地址(Mac地址)。主机在网络上发送ARP广播,​​收件人计算机以其物理地址(Mac地址)进行响应。然后,使用解析过的IP/Mac地址进行通信。ARP中毒会将虚假的Mac地址发送到交换机,以便它可以将虚假的Mac地址与网络上原本计算机的IP地址相关联并攻击流量。在Windows操作系统下,有世界级的Cain & Abel(该隐与亚伯、凯恩与阿贝尔)工具可供体验使用。神话中,该隐与亚伯是亚当和夏娃所生下的两个儿子。该隐是农民,他的弟弟亚伯为一个牧羊人。该隐是神话史上第一个谋杀他人的人类,亚伯是第一个死去的人类。话说回来,Cain & Abel是一款功能非常强大的密码破解工具,支持对古董级PWL密码、共享密码、缓存口令、远程共享口令、SMB口令等等密码的破解使用,更是一款局域网内发起ARP欺骗和ARP嗅探攻击,以便监听他人网络通讯和语音通讯的利器。

由于ARP是一种无状态协议,所以无论网络主机是否请求它们,网络主机都会自动缓存它们收到的所有ARP回复。当收到新的ARP回复包时,即使是尚未过期的ARP条目也会被覆盖。ARP协议中没有任何方法可以让主机验证产生数据包的对方的真实性,所以呢,这就成了允许ARP欺骗发生的先天性漏洞。这个是协议层面的漏洞,没得修复,但是却有防御之道。

ARP中毒的对策

  • 静态ARP条目:可以在本地ARP缓存中定义这些条目,并将交换机配置为忽略所有自动ARP答复数据包。这种方法的缺点是难以在大型网络上进行维护,因为必须将IP/Mac地址映射关系分发到网络上的所有计算机,这是比较耗力的工作。
  • ARP中毒检测软件:这些系统可用于对IP/Mac地址解析进行交叉检查,并对它们进行身份验证。然后可以阻止未经认证的IP/Mac地址解析。

加固操作系统,提升安全性:此措施取决于所使用的操作系统,一般来讲,以下是各种操作系统使用的基本技术。

  • Linux:通过忽略未经请求的ARP答复数据包来工作。
  • Windows:可以通过注册表配置ARP缓存行为。

以下列表包括一些可用于保护网络免遭嗅探的软件。

  • AntiARP:提供针对被动和主动嗅探的保护。
  • Agnitum Outpost Firewall Pro:提供针对被动嗅探的保护。
  • Xarp:提供针对被动和主动嗅探的保护。
  • ArpGuard可用于对Mac OS提供保护以防止主动和被动嗅探。

总之,ARP中毒会让局域网内的坏主机、坏程序、坏人员嗅探或监测其它主机,其他人员的网络通讯,而且可能会造成网络短时中断。由于协议本身的漏洞,造成ARP中毒成为历史性的网络安全难题,尽管有很多的解决方案,但是通常都是针对大中型规模的组织机构。中小企业的员工们缺乏足够的网络安全培训,对互联网威胁的防范不够,而且网管通常是兼职的,网络安全技能水平参差不齐,员工们的职业道德水平各异,甚至法律观念淡漠,ARP中毒往往造成很多后续的网络安全违规、网络身份盗窃甚至窃密泄密事件。因此,我们必须引起重视。

昆明亭长朗然科技有限公司推出了大量的网络安全及信息保密相关的意识培训课程,不仅可以提供工作人员们的安全意识,更能促进合规与职业道德建设,欢迎有兴趣有需要的客户联系我们,洽谈业务合作。

  • 电话、微信:18206751343
  • 邮件:info@securemymind.com