网络安全：ARP和IP协议

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

---

前言

本文根据网络分层，对ARP和IP协议进行安全分析。

---

一、ARP

ARP是数据链路层的协议，执行32位IP地址和48位MAC地址的转换。

1.ARP功能

从数据包的角度，可以分为以下步骤：

1. 主机 A 希望与主机B通信，但是只知道主机B的IP地址。
2. 主机A广播主机B的IP地址的ARP请求。
3. 所有本局域网内的主机都能收到这个广播包。
4. 只有主机B回复此包，携带上自己的MAC地址。
5. 主机A将B的IP地址和MAC地址的对应关系添加到自己的ARP缓存中。
6. 主机A构造对B的数据包。
   ARP缓存表的功能：通过 ARP 缓存，降低了网络流量的使用，在一定程度上防止了 ARP 的大量广播。
   主机A的ARP缓存表更新情况：若收到应答包，目的mac地址是硬件广播地址或是者本机网卡地址，无论目的IP是不是本机网卡IP，只要缓存表中已经存在对应的ARP条目，且与收到的应答条目不一致，那么就要更新该条目。若缓存表中没有存在该条目，那么则忽略该应答。
   同时，ARP缓存表的条目是有时效性的，一定时间之后就会过期，这点符合逻辑，因为IP地址和MAC地址不是一直绑定的。
   这里存在攻击漏洞：若是别人不停的发arp包，主机A需要缓存，导致网络连接失败。

2.ARP数据包格式

以太网帧数据域部分最小为46字节，也就是以太网帧最小是 6 + 6 + 2 + 46 + 4 = 64。

二、IP协议

1.IP数据报

Ident标识，flags标志和fragment offset片偏移【两个字节，3位，13位】：一起用于数据包的分片和重组【也是针对IP协议发起攻击的主要利用的字段】
IDENT: 也即identifier，用于标识IP报文段的唯一标识符；具有同一IDENT的片段属于同一个IP报文；
FRAGMENT OFFSET: 简称FO，指明当前片段在原始完整的IP报文中的位置（偏移）。该偏移的单位是8个字节。
FLAGS: bit 0：保留；bit 1：不分片；bit 2：更多分片。如果此位是1，那么说明不是最后一个分片，如果是0，说明是最后一个分片。
接受方接受到IP分片后，会在目的主机上重组，而不是路由器重组。

2.针对IP分片的攻击思路

1. DoS: 思路：攻击者构造两个分片，第一个分片的偏移为0；第二个分片的偏移是64800。因为IP分片可以乱序到达，所以接收方会等待其他分片；同时会为其他分片分配内存空间。相当于一个数据包会使用64K的内存。而且这段空间会持续保留15~255秒。这样，很快会耗尽主机的内存空间，造成DoS。
2. TearDrop攻击的原理，在于构造两个分片。其中，第二个分片完全包含在第一个分片中。也即，第二个分片的FO大于第一个分片的FO，但是第二个分片的FO+ Len，都小于第一个分片最后一个字节的位置，也即第一个分片的FO+len。同时，这种攻击的成功，依赖于一种当分片发生重叠时，重组的方法。如果接收主机的实现中选择在发生重叠时，使用第一个分片来覆盖第二个分片的重叠内容，那么TearDrop攻击就能够成功。

3.IP数据包过滤器

片段过滤方法：将跟踪将过滤规则应用于第一个分片（FO = = 0），并将对第一个分片的结果应用于同一个数据包的后续分片。过滤模块将维护由源地址、目的地址，协议和IP ID索引的分组列表。当看到初始（FO = = 0）片段时，如果设置了MF位，则将分配列表项以保存过滤器访问检查的结果。当具有非零FO的数据包进入时，使用匹配的SA/DA/PROT /ID查找list元素并应用存储的结果（pass或block）。当看到具有零MF位的片段时，释放列表。

4.针对IP数据包过滤器的攻击

微小碎片攻击：通过许多IP实现，可以在发出数据包上形成异常小的片段大小。如果片段大小足够小以迫使某些TCP数据包的TCP头字段进入第二个片段，则指定这些字段的模式的过滤规则将不匹配。如果过滤实现没有强制执行最小片段大小，则可能会通过不允许的数据包，因为它在过滤器中没有得到匹配。
重叠碎片攻击：给定这样的重组实现，攻击者可以构造一系列数据包，其中，最低（零偏移）片段将包含无害数据（从而通过管理数据包过滤器传递），并且其中一些后续数据包具有非零offset会重叠TCP头信息（例如目标端口）并导致它被修改。第二个数据包将被通过大多数的过滤器通过，因为它没有零片段偏移量。

---

总结

以上是针对课程中ARP和IP协议的相关内容，经过一定的整理，稍微理清了之前老师讲的内容。