论文部分内容阅读
■ 文/江西省交通厅航务管理局付勇
局域网中ARP欺骗和攻击问题日渐突出,这样的攻击有时候甚至造成大面积网络不能正常访问外网,根据ARP欺骗和攻击的特点,本文通过分析ARP攻击的原理,提出在网络设备配置具备的情况下,结合动态主机分配协议(DHCP),在交换机上部署动态ARP检察(DAI)技术,使非法的ARP数据包无法进入网络。在网络设备配置不具备的情况下,通过端口限制、程序控制等,在计算机端口实现对ARP数据包的监控、对ARP攻击的预警、ARP攻击后的自动恢复,并对ARP攻击者实施隔离,从而保护企业内部网络。
ARP攻击日益严重
ARP欺骗和攻击,有时候甚至造成大面积网络不能正常访问外网,根据ARP欺骗和攻击的特点,要解决ARP欺骗和攻击问题,首先必须了解ARP欺骗和攻击的类型和原理,以便于更好地防范和避免ARP欺骗和攻击的带来的危害。
根据影响范围和出现频率,目前ARP欺骗和攻击有如下四种类型:
网关冒充:ARP病毒通过发送错误的网关MAC对应关系给其他受害者,导致其他终端用户不能正常访问网关,这种攻击形式在局域网中非常常见。
欺骗网关:攻击者发送错误的终端用户的IP MAC的对应关系给网关,导致网关无法和合法终端用户正常通信。这种攻击在局域网中也有发生,但概率和“网关冒充”攻击类型相比,相对较小。
欺骗终端用户:这种攻击类型,攻击者发送错误的终端用户/服务器的IP MAC的对应关系给受害的终端用户,导致同网段内两个终端用户之间无法正常通信。这种攻击在局域网中也有发生,但概率和“网关冒充”和“欺骗网关”攻击类型相比,相对较小。
ARP泛洪攻击:这种攻击类型,攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网。
ARP攻击的应对方法
通过对ARP欺骗和攻击类型的掌握,可以很容易发现当前ARP欺骗和攻击防御的关键所在:如何获得合法用户和网关的IP MAC对应关系,并利用该对应关系对ARP报文进行检查,过滤掉非法ARP报文。
如果用户网络中的接入层交换机采用的是二层交换机,由于二层交换机不处理三层报文,这就限制了二层交换机在防止ARP欺骗和攻击方面不能做到彻底的防止,只能够缩小ARP欺骗和攻击的范围。二层交换机主要是通过安全端口功能(port-security)来缩小ARP欺骗和攻击的范围,但并不能很好地防止ARP欺骗和攻击。
当用户网络中的接入层交换机采用的是二层半(三层)的交换机,则可以利用动态的IP MAC绑定(DHCP Snooping)来防止ARP欺骗和攻击(如图1)。
二层半(三层)交换机还支持端口IP和MAC地址绑定,既可以同时绑定IP和MAC地址,也可以只绑定IP或MAC地址。当在端口下配置了MAC地址和IP地址的绑定以后,除与被绑定地址匹配的IP报文外,所有不匹配的IP报文都会被过滤。
通过手动绑定IP MAC地址的方式,虽然可以防止ARP欺骗和攻击,但是这种方式适应于规模比较小的网络环境,如果网络规模大到上千甚至上万用户,进行手动的绑定IP MAC地址,其工作量是可想而知的,而且对以后的管理也会带来很大的麻烦。
二层半(三层)交换机通过监控用户的正常动态IP地址获取过程,获取正常用户的IP MAC对应关系在接入交换机上绑定,滤掉所有不匹配绑定关系的ARP报文,来防止接入的用户主机进行ARP欺骗和攻击(如图2)。
防止ARP攻击的相关技术
1. ARP入侵检测机制
Dynamic ARP Inspection(DAI)使用DHCP Snooping绑定表,交换机通过对所有的ARP请求数据包来源端口进行IP MAC匹配检测来确定请求是否合法,如果不合法则丢弃。
DAI配置是针对VLAN操作,同一VLAN可以自定义DAI的开启和关闭,而其中某个端口的ARP请求报文数量也可以通过DAI控制。
为了防止ARP中间人攻击,二层半(三层)交换机可以动态获取(即DHCP Snooping表项)或者静态配置合法用户的IP MAC对应关系。并且可以在收到用户发送的ARP报文时,检查报文中的源IP地址及源MAC地址的绑定关系与所获取的合法用户IP MAC对应关系表项是否匹配来判断该报文是否为合法ARP报文。
通过过滤掉所有非法ARP报文的方式来实现防止所有ARP欺骗攻击。
2. 动态IP地址分配环境的工作机制
DHCP Snooping是二层半(三层)交换机上的安全特性之一,其定义了交换机上的信任端口和不信任端口,对不信任端口的DHCP报文进行截获和嗅探,通过建立和维护DHCP Snooping绑定表,过滤不可信任信息以及来自这些端口的非正常DHCP报文。
当用户为动态IP地址分配环境时,接入交换机可以通过监控用户的IP地址申请过程,自动学习到合法用户的IP MAC对应关系,并依据该表项实现对合法ARP报文的确认和非法ARP报文的过滤。
3. 静态IP地址分配环境的工作机制
对于不能通过动态IP地址获取的部分用户,以及打印机等服务器。二层半(三层)交换机也支持手工配置合法用户的IP MAC对应关系,形成静态合法用户的IP MAC表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。
静态配置的IP MAC表项拥有和动态学习的DHCP Snooping表项的同样功能。接入交换机可以依据配置的静态表项实现对合法ARP报文的确认,和非法ARP报文的过滤,从而可以很好地解决静态IP地址分配环境下的部署问题。此工作机制适合网络规模比较小的网络环境。
4. ARP信任端口设置
在实际组网中,交换机的上行口会接收其他设备的请求和应答的ARP报文,这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。
对于来自信任端口的所有ARP报文不进行检测,对其他端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
5. IP Source Guard
IP Source Guard使用DHCP Snooping绑定表信息,配置在交换机端口上,并检测所有经过定义端口的报文。通过检查流量的IP地址和MAC地址是否在DHCP Snooping绑定表,不在绑定表中则阻塞这些流量。
6. ARP限速功能
二层半(三层)交换机还支持端口ARP报文限速功能,来避免此类攻击对局域网造成的冲击。开启某个端口的ARP报文限速功能后,交换机在指定时间内对该端口接收的ARP报文数量进行统计,如果在指定时间内收到的ARP报文数量超过设定值,则认为该端口处于超速状态。
此时,交换机将对攻击源阻塞网络服务,在指定时间内,该攻击源不能进行任何网络服务,使其不再接收任何报文,从而避免大量ARP報文攻击设备。当阻塞时间过后,再恢复该攻击源的网络服务。
局域网中ARP欺骗和攻击问题日渐突出,这样的攻击有时候甚至造成大面积网络不能正常访问外网,根据ARP欺骗和攻击的特点,本文通过分析ARP攻击的原理,提出在网络设备配置具备的情况下,结合动态主机分配协议(DHCP),在交换机上部署动态ARP检察(DAI)技术,使非法的ARP数据包无法进入网络。在网络设备配置不具备的情况下,通过端口限制、程序控制等,在计算机端口实现对ARP数据包的监控、对ARP攻击的预警、ARP攻击后的自动恢复,并对ARP攻击者实施隔离,从而保护企业内部网络。
ARP攻击日益严重
ARP欺骗和攻击,有时候甚至造成大面积网络不能正常访问外网,根据ARP欺骗和攻击的特点,要解决ARP欺骗和攻击问题,首先必须了解ARP欺骗和攻击的类型和原理,以便于更好地防范和避免ARP欺骗和攻击的带来的危害。
根据影响范围和出现频率,目前ARP欺骗和攻击有如下四种类型:
网关冒充:ARP病毒通过发送错误的网关MAC对应关系给其他受害者,导致其他终端用户不能正常访问网关,这种攻击形式在局域网中非常常见。
欺骗网关:攻击者发送错误的终端用户的IP MAC的对应关系给网关,导致网关无法和合法终端用户正常通信。这种攻击在局域网中也有发生,但概率和“网关冒充”攻击类型相比,相对较小。
欺骗终端用户:这种攻击类型,攻击者发送错误的终端用户/服务器的IP MAC的对应关系给受害的终端用户,导致同网段内两个终端用户之间无法正常通信。这种攻击在局域网中也有发生,但概率和“网关冒充”和“欺骗网关”攻击类型相比,相对较小。
ARP泛洪攻击:这种攻击类型,攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网。
ARP攻击的应对方法
通过对ARP欺骗和攻击类型的掌握,可以很容易发现当前ARP欺骗和攻击防御的关键所在:如何获得合法用户和网关的IP MAC对应关系,并利用该对应关系对ARP报文进行检查,过滤掉非法ARP报文。
如果用户网络中的接入层交换机采用的是二层交换机,由于二层交换机不处理三层报文,这就限制了二层交换机在防止ARP欺骗和攻击方面不能做到彻底的防止,只能够缩小ARP欺骗和攻击的范围。二层交换机主要是通过安全端口功能(port-security)来缩小ARP欺骗和攻击的范围,但并不能很好地防止ARP欺骗和攻击。
当用户网络中的接入层交换机采用的是二层半(三层)的交换机,则可以利用动态的IP MAC绑定(DHCP Snooping)来防止ARP欺骗和攻击(如图1)。
二层半(三层)交换机还支持端口IP和MAC地址绑定,既可以同时绑定IP和MAC地址,也可以只绑定IP或MAC地址。当在端口下配置了MAC地址和IP地址的绑定以后,除与被绑定地址匹配的IP报文外,所有不匹配的IP报文都会被过滤。
通过手动绑定IP MAC地址的方式,虽然可以防止ARP欺骗和攻击,但是这种方式适应于规模比较小的网络环境,如果网络规模大到上千甚至上万用户,进行手动的绑定IP MAC地址,其工作量是可想而知的,而且对以后的管理也会带来很大的麻烦。
二层半(三层)交换机通过监控用户的正常动态IP地址获取过程,获取正常用户的IP MAC对应关系在接入交换机上绑定,滤掉所有不匹配绑定关系的ARP报文,来防止接入的用户主机进行ARP欺骗和攻击(如图2)。
防止ARP攻击的相关技术
1. ARP入侵检测机制
Dynamic ARP Inspection(DAI)使用DHCP Snooping绑定表,交换机通过对所有的ARP请求数据包来源端口进行IP MAC匹配检测来确定请求是否合法,如果不合法则丢弃。
DAI配置是针对VLAN操作,同一VLAN可以自定义DAI的开启和关闭,而其中某个端口的ARP请求报文数量也可以通过DAI控制。
为了防止ARP中间人攻击,二层半(三层)交换机可以动态获取(即DHCP Snooping表项)或者静态配置合法用户的IP MAC对应关系。并且可以在收到用户发送的ARP报文时,检查报文中的源IP地址及源MAC地址的绑定关系与所获取的合法用户IP MAC对应关系表项是否匹配来判断该报文是否为合法ARP报文。
通过过滤掉所有非法ARP报文的方式来实现防止所有ARP欺骗攻击。
2. 动态IP地址分配环境的工作机制
DHCP Snooping是二层半(三层)交换机上的安全特性之一,其定义了交换机上的信任端口和不信任端口,对不信任端口的DHCP报文进行截获和嗅探,通过建立和维护DHCP Snooping绑定表,过滤不可信任信息以及来自这些端口的非正常DHCP报文。
当用户为动态IP地址分配环境时,接入交换机可以通过监控用户的IP地址申请过程,自动学习到合法用户的IP MAC对应关系,并依据该表项实现对合法ARP报文的确认和非法ARP报文的过滤。
3. 静态IP地址分配环境的工作机制
对于不能通过动态IP地址获取的部分用户,以及打印机等服务器。二层半(三层)交换机也支持手工配置合法用户的IP MAC对应关系,形成静态合法用户的IP MAC表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。
静态配置的IP MAC表项拥有和动态学习的DHCP Snooping表项的同样功能。接入交换机可以依据配置的静态表项实现对合法ARP报文的确认,和非法ARP报文的过滤,从而可以很好地解决静态IP地址分配环境下的部署问题。此工作机制适合网络规模比较小的网络环境。
4. ARP信任端口设置
在实际组网中,交换机的上行口会接收其他设备的请求和应答的ARP报文,这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。
对于来自信任端口的所有ARP报文不进行检测,对其他端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
5. IP Source Guard
IP Source Guard使用DHCP Snooping绑定表信息,配置在交换机端口上,并检测所有经过定义端口的报文。通过检查流量的IP地址和MAC地址是否在DHCP Snooping绑定表,不在绑定表中则阻塞这些流量。
6. ARP限速功能
二层半(三层)交换机还支持端口ARP报文限速功能,来避免此类攻击对局域网造成的冲击。开启某个端口的ARP报文限速功能后,交换机在指定时间内对该端口接收的ARP报文数量进行统计,如果在指定时间内收到的ARP报文数量超过设定值,则认为该端口处于超速状态。
此时,交换机将对攻击源阻塞网络服务,在指定时间内,该攻击源不能进行任何网络服务,使其不再接收任何报文,从而避免大量ARP報文攻击设备。当阻塞时间过后,再恢复该攻击源的网络服务。