基于DAI的ARP攻擊深度防御.docVIP

PAGE  PAGE 5 基于DAI的ARP欺骗深度防御 摘要：随着各种病毒与木马程序的泛滥，ARP欺骗在以太网校园网中已经成为危害网络正常稳定运行的主要问题。文章在对ARP攻击方式进行深入分析的基础上，阐述了DAI如何预防ARP欺骗的工作原理。以Cisco3750交换机为例设计了基于DAI的防御方案；指出了在配置过程中应注意的事项；分析了目前DAI的局限以及对进一步防御的展望。 关键词：ARP；ARP欺骗；DAI；防御 中图分类号：TP393　　　　　文献标识码：Ａ　　　 前言 CERNET应急响应组2007年5月报告ARP欺骗是首要威胁。确实，一些带有ARP 欺骗功能的木马病毒，利用ARP协议的缺陷，像大规模的流行性感冒一样，极大地威胁着以太网用户的安全。在校园网中，随着网络规模的扩大，网络节点的增加，由于ARP欺骗造成的日益频繁的网络时断时续、无法上网，更大范围地影响了广大网民的学习、工作和生活，同时也深深地困扰着网络管理员们。 一、Arp的主要攻击类型 究其ARP攻击的主要类型主要可分为两种：冒充主机欺骗网关和冒充网关欺骗主机。 1.1冒充主机欺骗网关 冒充主机欺骗网关，是一种比较常见的典型攻击类型。如图1 所示 ，如果攻击主机C发出一个ARP包文，其中的源Mac地址为MacC，源Ip地址为Ip A，如图2的①所示，那么网关D收到这个ARP包后会产生如表1的第二行所示的ARP缓存项。即任何发往主机A 的报文都会被发往攻击主机C，网关无法与真实主机A直接通信。 假如攻击主机C不断地利用自己的真实Mac地址和其他主机的Ip地址作为源地址发送ARP包，则网关会产生如表1所示的ARP表，即网关无法与网段内的任何主机（攻击主机C除外）直接通信。然而，这种情况下交换机是不会产生任何报警日志的，原因在于，多个Ip地址对应一个Mac地址在交换机看来是正常的，不会影响其通过Ip所对应的Mac来交付报文。 表1交换机网关受到C冒充其他主机攻击时的arp表AddressHardware AddrInterfaceIpAMacCVlan201IpBMacCVlan201IpCMacCVlan201IpDMacDVlan201网关D IpD, MacD 主机A IpA, MacA 主机B IpB, MacB 攻击主机C IpC, MacC Fa 1/1 图1 ARP攻击网络拓扑图 表2主机A受到C冒充网关攻击时的arp 缓存表Internet AddressPhysical AddressTypeIpBMacBdynamicIpCMacCdynamicIpDMacCdynamic 但是如果攻击主机不断利用任意不同的Mac地址作为源Mac地址；某一Ip地址，比如IpA，为源Ip地址，那么交换机则会产生关于IpA地址冲突的报警日志。如果此种攻击过于频繁，多台攻击主机在实施攻击，会导致交换机的CPU使用率过高。严重的可能导致交换机瘫痪，其他正常的服务也无法提供，即遭受拒绝服务攻击。 1.2冒充网关欺骗主机 冒充网关欺骗主机也是一种常用的攻击方式。攻击主机C向主机A发出一个ARP回应包文,其中的源Mac地址为MacC，源Ip地址为Ip D，如图2的②所示。那么主机A生成的ARP缓存表如表2第三行所示。主机A发往网关D的报文都会被发往攻击主机C，造成主机A突然断网。如果攻击主机C向网关D转发了来自主机A的报文，那么主机A能够通过攻击主机C继续上网。当然上网的质量完全取决于攻击主机C，时断时续也是一种正常的表现了。 MacA MacB MacC MacD Ip A Ip B Ip C Ip D 源Mac 源Ip ① ① ② ② 任意Mac ARP报文 图2 ARP攻击时ARP报文的源Mac和源Ip地址 显然要实现上述的转发效果，即所谓的中间人攻击（Man In the Middle），攻击主机C需要同时欺骗网关D和主机A，主机C在其中的作用相当于一个中间人。攻击主机通过ARP攻击同时欺骗了多台主机，某一主机发往目标主机的信息被攻击主机截获，并转发到目标主机；目标主机发送给源主机的信息也被攻击主机截获，并转发到源主机。 攻击主机C的假冒arp报文，无论是发给网关D，或者主机A，两者都被照单全收，立即更新各自的arp缓存，为攻击主机开启方便之门。因此，之所以ARP攻击能够得逞，主要的原因在于没有对ARP报文信息的真实性进行检验。 二、DAI的原理 由上述的分析可知如何部署对ARP报文的有效性检验是预防ARP攻击的根本。如何确定哪些ARP报文是合法的呢？众所周知，在由DHCP服务器构成的动态分配主机Ip的环境中，