應(yīng)對(duì)網(wǎng)絡(luò)通信中的ARP欺騙和攻擊

■ 文/江西省交通廳航務(wù)管理局付勇

局域網(wǎng)中ARP欺騙和攻擊問(wèn)題日漸突出,這樣的攻擊有時(shí)候甚至造成大面積網(wǎng)絡(luò)不能正常訪問(wèn)外網(wǎng),根據(jù)ARP欺騙和攻擊的特點(diǎn),本文通過(guò)分析ARP攻擊的原理,提出在網(wǎng)絡(luò)設(shè)備配置具備的情況下,結(jié)合動(dòng)態(tài)主機(jī)分配協(xié)議(DHCP),在交換機(jī)上部署動(dòng)態(tài)ARP檢察(DAI)技術(shù),使非法的ARP數(shù)據(jù)包無(wú)法進(jìn)入網(wǎng)絡(luò)。在網(wǎng)絡(luò)設(shè)備配置不具備的情況下,通過(guò)端口限制、程序控制等,在計(jì)算機(jī)端口實(shí)現(xiàn)對(duì)ARP數(shù)據(jù)包的監(jiān)控、對(duì)ARP攻擊的預(yù)警、ARP攻擊后的自動(dòng)恢復(fù),并對(duì)ARP攻擊者實(shí)施隔離,從而保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)。

ARP攻擊日益嚴(yán)重

ARP欺騙和攻擊,有時(shí)候甚至造成大面積網(wǎng)絡(luò)不能正常訪問(wèn)外網(wǎng),根據(jù)ARP欺騙和攻擊的特點(diǎn),要解決ARP欺騙和攻擊問(wèn)題,首先必須了解ARP欺騙和攻擊的類型和原理,以便于更好地防范和避免ARP欺騙和攻擊的帶來(lái)的危害。

根據(jù)影響范圍和出現(xiàn)頻率,目前ARP欺騙和攻擊有如下四種類型:

網(wǎng)關(guān)冒充:ARP病毒通過(guò)發(fā)送錯(cuò)誤的網(wǎng)關(guān)MAC對(duì)應(yīng)關(guān)系給其他受害者,導(dǎo)致其他終端用戶不能正常訪問(wèn)網(wǎng)關(guān),這種攻擊形式在局域網(wǎng)中非常常見(jiàn)。

欺騙網(wǎng)關(guān):攻擊者發(fā)送錯(cuò)誤的終端用戶的IP+MAC的對(duì)應(yīng)關(guān)系給網(wǎng)關(guān),導(dǎo)致網(wǎng)關(guān)無(wú)法和合法終端用戶正常通信。這種攻擊在局域網(wǎng)中也有發(fā)生,但概率和“網(wǎng)關(guān)冒充”攻擊類型相比,相對(duì)較小。

欺騙終端用戶:這種攻擊類型,攻擊者發(fā)送錯(cuò)誤的終端用戶/服務(wù)器的IP+MAC的對(duì)應(yīng)關(guān)系給受害的終端用戶,導(dǎo)致同網(wǎng)段內(nèi)兩個(gè)終端用戶之間無(wú)法正常通信。這種攻擊在局域網(wǎng)中也有發(fā)生,但概率和“網(wǎng)關(guān)冒充”和“欺騙網(wǎng)關(guān)”攻擊類型相比,相對(duì)較小。

ARP泛洪攻擊:這種攻擊類型,攻擊者偽造大量不同ARP報(bào)文在同網(wǎng)段內(nèi)進(jìn)行廣播,導(dǎo)致網(wǎng)關(guān)ARP表項(xiàng)被占滿,合法用戶的ARP表項(xiàng)無(wú)法正常學(xué)習(xí),導(dǎo)致合法用戶無(wú)法正常訪問(wèn)外網(wǎng)。

ARP攻擊的應(yīng)對(duì)方法

通過(guò)對(duì)ARP欺騙和攻擊類型的掌握,可以很容易發(fā)現(xiàn)當(dāng)前ARP欺騙和攻擊防御的關(guān)鍵所在:如何獲得合法用戶和網(wǎng)關(guān)的IP+MAC對(duì)應(yīng)關(guān)系,并利用該對(duì)應(yīng)關(guān)系對(duì)ARP報(bào)文進(jìn)行檢查,過(guò)濾掉非法ARP報(bào)文。

如果用戶網(wǎng)絡(luò)中的接入層交換機(jī)采用的是二層交換機(jī),由于二層交換機(jī)不處理三層報(bào)文,這就限制了二層交換機(jī)在防止ARP欺騙和攻擊方面不能做到徹底的防止,只能夠縮小ARP欺騙和攻擊的范圍。二層交換機(jī)主要是通過(guò)安全端口功能(port-security)來(lái)縮小ARP欺騙和攻擊的范圍,但并不能很好地防止ARP欺騙和攻擊。

當(dāng)用戶網(wǎng)絡(luò)中的接入層交換機(jī)采用的是二層半(三層)的交換機(jī),則可以利用動(dòng)態(tài)的IP+MAC綁定(DHCP Snooping)來(lái)防止ARP欺騙和攻擊(如圖1)。

二層半(三層)交換機(jī)還支持端口IP和MAC地址綁定,既可以同時(shí)綁定IP和MAC地址,也可以只綁定IP或MAC地址。當(dāng)在端口下配置了MAC地址和IP地址的綁定以后,除與被綁定地址匹配的IP報(bào)文外,所有不匹配的IP報(bào)文都會(huì)被過(guò)濾。

通過(guò)手動(dòng)綁定IP+MAC地址的方式,雖然可以防止ARP欺騙和攻擊,但是這種方式適應(yīng)于規(guī)模比較小的網(wǎng)絡(luò)環(huán)境,如果網(wǎng)絡(luò)規(guī)模大到上千甚至上萬(wàn)用戶,進(jìn)行手動(dòng)的綁定IP+MAC地址,其工作量是可想而知的,而且對(duì)以后的管理也會(huì)帶來(lái)很大的麻煩。

二層半(三層)交換機(jī)通過(guò)監(jiān)控用戶的正常動(dòng)態(tài)IP地址獲取過(guò)程,獲取正常用戶的IP+MAC對(duì)應(yīng)關(guān)系在接入交換機(jī)上綁定,濾掉所有不匹配綁定關(guān)系的ARP報(bào)文,來(lái)防止接入的用戶主機(jī)進(jìn)行ARP欺騙和攻擊(如圖2)。

防止ARP攻擊的相關(guān)技術(shù)

1. ARP入侵檢測(cè)機(jī)制

Dynamic ARP Inspection(DAI)使用DHCP Snooping綁定表,交換機(jī)通過(guò)對(duì)所有的ARP請(qǐng)求數(shù)據(jù)包來(lái)源端口進(jìn)行IP+MAC匹配檢測(cè)來(lái)確定請(qǐng)求是否合法,如果不合法則丟棄。

DAI配置是針對(duì)VLAN操作,同一VLAN可以自定義DAI的開(kāi)啟和關(guān)閉,而其中某個(gè)端口的ARP請(qǐng)求報(bào)文數(shù)量也可以通過(guò)DAI控制。

為了防止ARP中間人攻擊,二層半(三層)交換機(jī)可以動(dòng)態(tài)獲取(即DHCP Snooping表項(xiàng))或者靜態(tài)配置合法用戶的IP+MAC對(duì)應(yīng)關(guān)系。并且可以在收到用戶發(fā)送的ARP報(bào)文時(shí),檢查報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與所獲取的合法用戶IP+MAC對(duì)應(yīng)關(guān)系表項(xiàng)是否匹配來(lái)判斷該報(bào)文是否為合法ARP報(bào)文。

通過(guò)過(guò)濾掉所有非法ARP報(bào)文的方式來(lái)實(shí)現(xiàn)防止所有ARP欺騙攻擊。

2. 動(dòng)態(tài)IP地址分配環(huán)境的工作機(jī)制

DHCP Snooping是二層半(三層)交換機(jī)上的安全特性之一,其定義了交換機(jī)上的信任端口和不信任端口,對(duì)不信任端口的DHCP報(bào)文進(jìn)行截獲和嗅探,通過(guò)建立和維護(hù)DHCP Snooping綁定表,過(guò)濾不可信任信息以及來(lái)自這些端口的非正常DHCP報(bào)文。

當(dāng)用戶為動(dòng)態(tài)IP地址分配環(huán)境時(shí),接入交換機(jī)可以通過(guò)監(jiān)控用戶的IP地址申請(qǐng)過(guò)程,自動(dòng)學(xué)習(xí)到合法用戶的IP+MAC對(duì)應(yīng)關(guān)系,并依據(jù)該表項(xiàng)實(shí)現(xiàn)對(duì)合法ARP報(bào)文的確認(rèn)和非法ARP報(bào)文的過(guò)濾。

3. 靜態(tài)IP地址分配環(huán)境的工作機(jī)制

對(duì)于不能通過(guò)動(dòng)態(tài)IP地址獲取的部分用戶,以及打印機(jī)等服務(wù)器。二層半(三層)交換機(jī)也支持手工配置合法用戶的IP+MAC對(duì)應(yīng)關(guān)系,形成靜態(tài)合法用戶的IP+MAC表項(xiàng),即:用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。

靜態(tài)配置的IP+MAC表項(xiàng)擁有和動(dòng)態(tài)學(xué)習(xí)的DHCP Snooping表項(xiàng)的同樣功能。接入交換機(jī)可以依據(jù)配置的靜態(tài)表項(xiàng)實(shí)現(xiàn)對(duì)合法ARP報(bào)文的確認(rèn),和非法ARP報(bào)文的過(guò)濾,從而可以很好地解決靜態(tài)IP地址分配環(huán)境下的部署問(wèn)題。此工作機(jī)制適合網(wǎng)絡(luò)規(guī)模比較小的網(wǎng)絡(luò)環(huán)境。

4. ARP信任端口設(shè)置

在實(shí)際組網(wǎng)中,交換機(jī)的上行口會(huì)接收其他設(shè)備的請(qǐng)求和應(yīng)答的ARP報(bào)文,這些ARP報(bào)文的源IP地址和源MAC地址并沒(méi)有在DHCP Snooping表項(xiàng)或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請(qǐng)求和應(yīng)答報(bào)文能夠通過(guò)ARP入侵檢測(cè)問(wèn)題,交換機(jī)支持通過(guò)配置ARP信任端口,靈活控制ARP報(bào)文檢測(cè)功能。

對(duì)于來(lái)自信任端口的所有ARP報(bào)文不進(jìn)行檢測(cè),對(duì)其他端口的ARP報(bào)文通過(guò)查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測(cè)。

5. IP Source Guard

IP Source Guard使用DHCP Snooping綁定表信息,配置在交換機(jī)端口上,并檢測(cè)所有經(jīng)過(guò)定義端口的報(bào)文。通過(guò)檢查流量的IP地址和MAC地址是否在DHCP Snooping綁定表,不在綁定表中則阻塞這些流量。

6. ARP限速功能

二層半(三層)交換機(jī)還支持端口ARP報(bào)文限速功能,來(lái)避免此類攻擊對(duì)局域網(wǎng)造成的沖擊。開(kāi)啟某個(gè)端口的ARP報(bào)文限速功能后,交換機(jī)在指定時(shí)間內(nèi)對(duì)該端口接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì),如果在指定時(shí)間內(nèi)收到的ARP報(bào)文數(shù)量超過(guò)設(shè)定值,則認(rèn)為該端口處于超速狀態(tài)。

此時(shí),交換機(jī)將對(duì)攻擊源阻塞網(wǎng)絡(luò)服務(wù),在指定時(shí)間內(nèi),該攻擊源不能進(jìn)行任何網(wǎng)絡(luò)服務(wù),使其不再接收任何報(bào)文,從而避免大量ARP報(bào)文攻擊設(shè)備。當(dāng)阻塞時(shí)間過(guò)后,再恢復(fù)該攻擊源的網(wǎng)絡(luò)服務(wù)。