博达交换机arp欺骗和攻击的防范.docxVIP

博达交换机 ARP 欺骗和攻击的防范 1、概述 1.1 ARP 攻击日益严重 近来，ARP欺骗和攻击问题日渐突出，尤其是在校园网这种大型网络。严 重者甚至造成大面积网络不能正常访问外网， 学校和类似学校的大型网络是深受 其害。根据ARP欺骗和攻击的特点，本文给出了有效的防ARP欺骗和攻击解决方 案。要解决ARP欺骗和攻击问题，首先必须了解 ARP欺骗和攻击的类型和原理， 以便于更好的防范和避免ARP欺骗和攻击的带来的危害。 1.2 ARP 协议的工作原理 ARP协议是用来提供一台主机通过广播一个 ARP请求来获取相同网段中另 外一台主机或者网关的MAC的协议。以相同网段中的两台主机 A、B来举例，其 ARP协议运行的主要交互机制如下： 1、 如果A需要向B发起通信，A首先会在自己的ARP缓存表项中查看有无B 的ARP表项。如果没有，则进行下面的步骤： 2、 A在局域网上广播一个ARP请求，查询B的IP地址所对应的MAC地址； 3、 本局域网上的所有主机都会收到该ARP请求； 4、 所有收到ARP请求的主机都学习到了 A所对应的ARP表项;如果B收到该请 求，则发送一个ARP应答给A,告知A自己的MAC地址，其他主机收到A的ARP请 求后，发现其目的IP地址不是自己，则会丢弃，但会保存主机 A的ARP信息，以 便后续通信 ; 5、主机A收到B的ARP应答后，会在自己的ARP缓存中写入主机B的ARP表项. 如上所述，利用ARP协议，可以实现相同网段内的主机之间正常通信或者通 过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为 可信任的前提制定。导致在ARP协议中没有认证的机制，从而导致针对ARP协议 的欺骗攻击非常容易。 1.3 ARP 欺骗和攻击的类型 目前ARP欺骗和攻击中有如下三种类型。我们根据影响范围和出现频率分别 介绍如下： 1.3.1 网关冒充 ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端 用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图： IP Address GWMAC GW1.1.1J1-1-1网关百w目的MAC源MAC2-2-2 3-3-3 …按入交换机 IP Address GW MAC GW 1.1.1J 1-1-1 网关百w 目的MAC源MAC 2-2-2 3-3-3 … 按入交换机 数拯流被中斷 IP Address MAC Type 1.111(GW) 1-1-1 Dynamic IP Address MAC Type l.l.l.UGW) 2-2-2 Dynamic ARP^Ki更新为 、F IP Address B MAC B 14 L5 5-5-5 攻击者B IP Address A MAC A tl.1.3 3-3-3 疋帯用户A 图1网关冒充攻击示意图如上图所示，攻击者发送伪造的网关 ARP报文，欺骗同网段内的其它主机。 从而网络中主机访问网关的流量， 被重定向到一个错误的MAC地址（这个错误的 MAC地址可以是攻击者自身的MAC地址，也可以构造一个网络中其他主机或是 一个不存在的MAC地址，主要还是看攻击者的最终目的是什么），导致该用户无 法正常访问外网。 1.3.2欺骗网关 攻击者发送错误的终端用户的IP+ MAC的对应关系给网关，导致网关无法 和合法终端用户正常通信。这种攻击在校园网中也有发生，但概率和“网关冒充” 攻击类型相比，相对较少。见下图: 网关右wIP Address GWMAC GW1 1.1J1-1*1用户A的MAC更新了 网关右w IP Address GW MAC GW 1 1.1J 1-1*1 用户A的MAC更新了 IP Address B MAC B 1.1 丄 5 5-5-5 取击者B IP Address MAC Type 11.1.3(A) 3-3-3 Dynamic 1 严P表遊畴 IP Address MA匚 Type 2-2-2 Dynamic 目的MAC 源MAC ? ? ? 2-2-2 1-1-1 * * ? 数据流被中断 IP Address A MAC A 1.1.1.3 3-3-3 正竜用户A 图2欺骗网关攻击示意图 如上图，攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户 的MAC地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的 MAC地址，导致该用户无法正常访问外网。 133欺骗终端用户 这种攻击类型，攻击者发送错误的终端用户/服务器的IP+ MAC的对应关系 给受害的终端用户，导致同网段内两个终端用户之间无法正常通信。 这种攻击在 校园网中也有发生，但概率和“网关冒充”和“欺骗网关”攻击类型相比，相对 较少。见下图: IP Address GWM