基于ARP攻击分析及防范策略.docVIP

基于ARP攻击分析及防范策略摘 要：随着互联网的广泛应用，内部网络的安全问题逐渐成为人们关注的焦点。在频繁发生的攻击行为中，利用ARP协议的漏洞进行攻击是主要的手段之一。本文探讨了基于ARP的攻击分析及防范策略。 关键词：ARP 防范 攻击 一、ARP的工作原理 ARP(地址解析协议Address Resolution Protocol)解决了从IP地址到硬件地址的映射问题。比如，源主机欲向本网内的其它主机发送数据包时，先在源主机的ARP高速缓存中查看有无目的主机的硬件地址，如存在，就将目的主机的硬件地址写入MAC帧并发送；如不存在，源主机自动在网内广播一个ARP请求报文来获得目的主机的硬件地址，网内的所有主机都收到此ARP请求，只有目的主机才会发回一个ARP响应报文，并写入自己的硬件地址，当源主机收到目的主机的ARP响应后，就在其ARP高速缓存中写入目的主机的IP地址到硬件地址的映射。 传统的共享式以太网是由集线器进行网络互连，而集线器属于物理层设备，采用广播技术将一个端口接收到的报文广播到本网内的所有机器上，目的主机会接收此报文，而非目的主机则丢弃该报文。但是，如果将网卡设为混杂模式，则非目的主机也可以接收此报文。 交换式以太网络是采用属于数据链路层设备的二层交换机进行网络互连，通过读取数据包中的目的MAC地址并查找相应的端口进行转发，如果找不到相应的端口，则把数据包广播到所有端口上，当目的机器回应时交换机就可以学习目的MAC地址与哪个端口对应，这就是交换机的“学习”功能，再次转发数据时就有了依据。 基于二层交换机的特点，即使将网卡设为混杂模式，也只能捕获目的MAC地址为本机地址的数据包，共享式以太网中的监听失效。但是，由于ARP协议的无连接、无认证，局域网中的任何主机可随时发送ARP请求包，也可以接收ARP应答包，并且无条件地根据应答包内的内容刷新本机的ARP缓存，所以ARP欺骗也可应用于交换式以太网络中。 二、ARP的攻击方式 1. 简单的欺骗攻击 这是比较常见的攻击，它是通过发送伪造的ARP包来欺骗目标主机或路由器，让对方认为这是一台合法的主机，于是便完成了欺骗。这种欺骗多发生在同一个网段内。 2. 对交换机(路由器)的MAC地址欺骗攻击 交换机上同样维护着一个动态的MAC地址表，表内记录的是MAC地址与交换机端口相对应的情况。如果有人发送伪造的ARP包来欺骗交换机，则交换机收到这个包后，会更新MAC地址表，将对应的MAC地址指向这个端口，从而达到欺骗的目的。 还有一种情况是对交换机进行MAC地址Flooding攻击。这是一种比较危险的攻击，方法是通过发送大量的假MAC地址的数据包，使交换机的ARP表溢出(交换机的MAC地址表大小有限，当这个表的所有空间都用完了后就会溢出)，从而使整个网络不能正常通信。 3. 基于ARP的DoS攻击 DoS又称拒绝服务攻击，当大量的连接请求被发送到一台主机时，由于主机的处理能力有限，不能为正常用户提供服务，便出现拒绝服务。这个过程如果使用ARP来隐藏自己，在被攻击主机的日志上就不会出现真实的IP地址，攻击的同时也不会影响到本机。 三、ARP欺骗的防范策略 1. 设置静态ARP缓存。 使用静态的IP-MAC的解析新ARP协议攻击的最根本原理是改变IP与MAC地址的对应关系。可以采取静态MAC地址表法的方法进行防范。主机的IP-MAC地址对应表手工维护，输入之后不再动态更新，显然可以避免ARP协议攻击，大多数的三层交换机都支持这种方法。但是，这种方法也具有一定的缺陷，在移动或经常变化的网络环境中，这种手工维护MAC表的方式不适用，而且它对网络硬件也有较高的要求。另外，采用此方式设置静态ARP缓存，管理员需要定期轮询，检查主机上的ARP缓存。 2. 交换机端口设置。 （1）端口保护（类似于端口隔离）：ARP欺骗技术需要交换机的两个端口直接通讯，端口保护设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN资源。同一个交换机的两个端口之间不能进行直接通讯，需要通过转发才能相互通讯。 （2）数据过滤：如果需要对报文做更进一步的控制，用户可以采用ACL（访问控制列表）。ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进行过滤，根据预设条件，对报文做出允许转发或阻塞的决定。华为和Cisco的交换机均支持IP ACL和MAC ACL，每种ACL分别支持标准格式和扩展格式。标准格式的ACL根据源地址和上层协议类型进行过滤，扩展格式的ACL根据源地址、目的地址以及上层协议类型进行过滤，异词检查伪装MAC地址的帧。 3. 网络路由分割。 目前，网络上已经使