[整理]基于DAI的ARP攻击深度防御.docVIP

基于DAI的ARP欺骗深度防御 摘要：随着各种病毒与木马程序的泛滥，ARP欺骗在以太网校园网中已经成为危害网络正常稳定运行的主要问题。文章在对ARP攻击方式进行深入分析的基础上，阐述了DAI如何预防ARP欺骗的工作原理。以Cisco3750交换机为例设计了基于DAI的防御方案；指出了在配置过程中应注意的事项；分析了目前DAI的局限以及对进一步防御的展望。 关键词：ARP；ARP欺骗；DAI；防御 中图分类号：TP393　　　　　文献标识码：Ａ　　　 前言 CERNET应急响应组2007年5月报告ARP欺骗是首要威胁。确实，一些带有ARP 欺骗功能的木马病毒，利用ARP协议的缺陷，像大规模的流行性感冒一样，极大地威胁着以太网用户的安全。在校园网中，随着网络规模的扩大，网络节点的增加，由于ARP欺骗造成的日益频繁的网络时断时续、无法上网，更大范围地影响了广大网民的学习、工作和生活，同时也深深地困扰着网络管理员们。 一、Arp的主要攻击类型 究其ARP攻击的主要类型主要可分为两种：冒充主机欺骗网关和冒充网关欺骗主机。 1.1冒充主机欺骗网关 冒充主机欺骗网关，是一种比较常见的典型攻击类型。如图1 所示 ，如果攻击主机C发出一个ARP包文，其中的源Mac地址为MacC，源Ip地址为Ip A，如图2的①所示，那么网关D收到这个ARP包后会产生如表1的第二行所示的ARP缓存项。即任何发往主机A 的报文都会被发往攻击主机C，网关无法与真实主机A直接通信。 假如攻击主机C不断地利用自己的真实Mac地址和其他主机的Ip地址作为源地址发送ARP包，则网关会产生如表1所示的ARP表，即网关无法与网段内的任何主机（攻击主机C除外）直接通信。然而，这种情况下交换机是不会产生任何报警日志的，原因在于，多个Ip地址对应一个Mac地址在交换机看来是正常的，不会影响其通过Ip所对应的Mac来交付报文。 表1交换机网关受到C冒充其他主机攻击时的arp表 Address Hardware Addr Interface IpA MacC Vlan201 IpB MacC Vlan201 IpC MacC Vlan201 IpD MacD Vlan201 网关DIpD, MacD 网关D IpD, MacD 主机A IpA, MacA 主机B IpB, MacB 攻击主机C IpC, MacC Fa 1/1 图1 ARP攻击网络拓扑图 表2主机A受到C冒充网关攻击时的arp 缓存表 Internet Address Physical Address Type IpB MacB dynamic IpC MacC dynamic IpD MacC dynamic 但是如果攻击主机不断利用任意不同的Mac地址作为源Mac地址；某一Ip地址，比如IpA，为源Ip地址，那么交换机则会产生关于IpA地址冲突的报警日志。如果此种攻击过于频繁，多台攻击主机在实施攻击，会导致交换机的CPU使用率过高。严重的可能导致交换机瘫痪，其他正常的服务也无法提供，即遭受拒绝服务攻击。 1.2冒充网关欺骗主机 冒充网关欺骗主机也是一种常用的攻击方式。攻击主机C向主机A发出一个ARP回应包文,其中的源Mac地址为MacC，源Ip地址为Ip D，如图2的②所示。那么主机A生成的ARP缓存表如表2第三行所示。主机A发往网关D的报文都会被发往攻击主机C，造成主机A突然断网。如果攻击主机C向网关D转发了来自主机A的报文，那么主机A能够通过攻击主机C继续上网。当然上网的质量完全取决于攻击主机C，时断时续也是一种正常的表现了。 MacAMacB MacA MacB MacC MacD Ip A Ip B Ip C Ip D 源Mac 源Ip ① ① ② ② 任意Mac ARP报文 图2 ARP攻击时ARP报文的源Mac和源Ip地址 图2 ARP攻击时ARP报文的源Mac和源Ip地址 显然要实现上述的转发效果，即所谓的中间人攻击（Man In the Middle），攻击主机C需要同时欺骗网关D和主机A，主机C在其中的作用相当于一个中间人。攻击主机通过ARP攻击同时欺骗了多台主机，某一主机发往目标主机的信息被攻击主机截获，并转发到目标主机；目标主机发送给源主机的信息也被攻击主机截获，并转发到源主机。 攻击主机C的假冒arp报文，无论是发给网关D，或者主机A，两者都被照单全收，立即更新各自的arp缓存，为攻击主机开启方便之门。因此，之所以ARP攻击能够得逞，主要的原因在于没有对ARP报文信息的真实性进行检验。 二、DAI的原理 由上述的分析可知如何部署对ARP报文的有效性检验是预防ARP攻击的根本。如何确定哪些ARP报文是合法的呢？众所周知，在由DHCP服