博达交换机ARP欺和攻击的防范.docVIP

博达交换机ARP欺骗和攻击的防范 1、概述 1.1 ARP攻击日益严重 近来， ARP欺骗和攻击问题日渐突出，尤其是在校园网这种大型网络。严重者甚至造成大面积网络不能正常访问外网，学校和类似学校的大型网络是深受其害。根据ARP欺骗和攻击的特点，本文给出了有效的防ARP欺骗和攻击解决方案。要解决ARP欺骗和攻击问题，首先必须了解ARP欺骗和攻击的类型和原理，以便于更好的防范和避免ARP欺骗和攻击的带来的危害。 1.2 ARP协议的工作原理 ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例，其ARP协议运行的主要交互机制如下： 1、如果A需要向B发起通信，A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有，则进行下面的步骤： 2、A在局域网上广播一个ARP请求，查询B的IP地址所对应的MAC地址; 3、本局域网上的所有主机都会收到该ARP请求; 4、所有收到ARP请求的主机都学习到了A所对应的ARP表项;如果B收到该请求，则发送一个ARP应答给A,告知A自己的MAC地址，其他主机收到A的ARP请求后，发现其目的IP地址不是自己，则会丢弃，但会保存主机A的ARP信息，以便后续通信; 5、主机A收到B的ARP应答后,会在自己的ARP缓存中写入主机B的ARP表项. 如上所述，利用ARP协议，可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。导致在ARP协议中没有认证的机制，从而导致针对ARP协议的欺骗攻击非常容易。 1.3 ARP欺骗和攻击的类型 目前ARP欺骗和攻击中有如下三种类型。我们根据影响范围和出现频率分别介绍如下： 1.3.1 网关冒充 ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图： 图1 网关冒充攻击示意图 如上图所示，攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。从而网络中主机访问网关的流量，被重定向到一个错误的MAC地址(这个错误的MAC地址可以是攻击者自身的MAC地址，也可以构造一个网络中其他主机或是一个不存在的MAC地址，主要还是看攻击者的最终目的是什么)，导致该用户无法正常访问外网。 1.3.2 欺骗网关 攻击者发送错误的终端用户的IP＋MAC的对应关系给网关，导致网关无法和合法终端用户正常通信。这种攻击在校园网中也有发生，但概率和“网关冒充”攻击类型相比，相对较少。见下图： 图2 欺骗网关攻击示意图 如上图，攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 1.3.3 欺骗终端用户 这种攻击类型，攻击者发送错误的终端用户/服务器的IP＋MAC的对应关系给受害的终端用户，导致同网段内两个终端用户之间无法正常通信。这种攻击在校园网中也有发生，但概率和“网关冒充”和“欺骗网关”攻击类型相比，相对较少。见下图： 图3 欺骗终端攻击示意图 如上图，攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机该网段内某一合法用户的MAC地址已经更新。导致该网段内其他主机发给该用户的所有数据全部重定向到一个错误的MAC地址，导致同网段内的两台主机无法正常通信。 1.3.4 ARP泛洪攻击 这种攻击类型，攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网。主要是一种对局域网资源消耗的攻击手段。这种攻击在校园网中也有发生。如下图： 图4 ARP泛洪攻击示意图 2 解决方案介绍 通过对上述的ARP欺骗和攻击类型的介绍。我们可以很容易发现当前ARP欺骗和攻击防御的关键所在：如何获取到合法用户和网关的IP+MAC对应关系，并如何利用该对应关系对ARP报文进行检查，过滤掉非法ARP报文。我们给出了两种解决方案：一、对于二层交换机，可以利用安全端口功能（switchport port-security）；二、对于二层半（三层）的交换机，可以利用动态的IP+MAC绑定（DHCP Snooping）来防止ARP欺骗和攻击。利用这两种方法，获取到合法用户的IP+MAC对应关系，从而解决不同环境下的ARP防欺骗和攻击问题。 2.1 安全端口模式 当用户网络中的接入层交换机采用的是二层交换机，由于二层交换机不处理三层报文，这就限制了二层交换机在防止ARP欺骗和攻击方面不能做到彻底的防止，只能够缩小ARP欺骗和攻击的范围。二层交换机主要是通过安全端口功能（port-security）来