51CTO下载ARP攻击防范技术综合分析说明.docVIP

ARP攻击防范技术白皮书 ARP 关键词：ARP，仿冒网关，欺骗网关，欺骗其他用户，泛洪攻击 摘??? 要：本文针对目前常见的ARP攻击，介绍了H3C网络设备所能提供的防范ARP攻击的方法以及典型组网应用。 缩略语： 缩略语 英文全名 中文解释 ARP Address Resolution Protocol 地址解析协议 DHCP Dynamic Host Configuration Protocol 动态主机配置协议 MAC Media Access Control 媒体访问控制 iMC Intelligent Management Center 开放智能管理中枢 目? 录 1 概述... 3 1.1 产生背景... 3 1.1.1 ARP工作机制... 3 1.1.2 ARP攻击类型介绍... 3 1.1.3 ARP攻击的危害... 6 1.2 H3C解决方案... 7 2 ARP攻击防范技术介绍... 8 2.1 接入设备攻击防范介绍... 8 2.1.1 ARP Detection功能... 8 2.1.2 ARP网关保护功能... 10 2.1.3 ARP过滤保护功能... 10 2.1.4 ARP报文限速功能... 10 2.2 网关设备攻击防范介绍... 11 2.2.1 授权ARP功能... 11 2.2.2 ARP自动扫描和固化功能... 12 2.2.3 配置静态ARP表项... 12 2.2.4 ARP主动确认功能... 12 2.2.5 ARP报文源MAC一致性检查功能... 13 2.2.6 源MAC地址固定的ARP攻击检测功能... 14 2.2.7 限制接口学习动态ARP表项的最大数目... 14 2.2.8 ARP防IP报文攻击功能... 14 3 典型组网应用... 15 3.1 监控方式... 15 3.2 认证方式... 16 3.3 网吧解决方案... 17 4 参考文献... 17  1? 概述 1.1? 产生背景 1.1.1? ARP工作机制 ARP协议是以太网等数据链路层的基础协议，负责完成IP地址到硬件地址的映射。工作过程简述如下： (1)??????? 当主机或者网络设备需要解析一个IP地址对应的MAC地址时，会广播发送ARP请求报文。 (2)??????? 主机或者网络设备接收到ARP请求后，会进行应答。同时，根据请求发送者的IP地址和MAC地址的对应关系建立ARP表项。 (3)??????? 发起请求的主机或者网络设备接收到应答后，同样会将应答报文中发送者的IP地址和MAC地址的映射关系记录下来，生成ARP表项。 1.1.2? ARP攻击类型介绍 从ARP工作机制可以看出，ARP协议简单易用，但是却没有任何安全机制，攻击者可以发送伪造ARP报文对网络进行攻击。伪造ARP报文具有如下特点： ?????????????? 伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致。 ?????????????? 伪造的ARP报文中源IP地址和源MAC地址的映射关系不是合法用户真实的映射关系。 目前主要的ARP攻击方式有如下几类： ?????????????? 仿冒网关攻击 ?????????????? 仿冒用户攻击（欺骗网关或者其他主机） ?????????????? 泛洪攻击 1. 仿冒网关攻击 如图1所示，因为主机A仿冒网关向主机B发送了伪造的网关ARP报文，导致主机B的ARP表中记录了错误的网关地址映射关系，从而正常的数据不能被网关接收。 图1 仿冒网关攻击是一种比较常见的攻击方式，如果攻击源发送的是广播ARP报文，或者根据其自身所掌握的局域网内主机的信息依次地发送攻击报文，就可能会导致整个局域网通信的中断，是ARP攻击中影响较为严重的一种。 2. 仿冒用户攻击 (1)??????? 欺骗网关 如图2所示，主机A仿冒主机B向网关发送了伪造的ARP报文，导致网关的ARP表中记录了错误的主机B地址映射关系，从而正常的数据报文不能正确地被主机B接收。 图2 (2)??????? 欺骗其他用户 如图3所示，主机A仿冒主机B向主机C发送了伪造的ARP报文，导致主机C的ARP表中记录了错误的主机B地址映射关系，从而正常的数据报文不能正确地被主机B接收。 图3 3. ARP泛洪攻击 网络设备在处理ARP报文时需要占用系统资源，同时因为系统内存和查找ARP表效率的要求，一般网络设备会限制ARP表的大小。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使设备ARP表溢出，合法用户的ARP报文不能生成有效的ARP表项，导致正常通信中断。 另外，通过向设备发送大量目标IP地址不能解析的IP报文，使设备反复地对目标IP地址进行