淺談交換機(jī)端防范局域網(wǎng)ARP攻擊

摘 要 當(dāng)前隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，局域網(wǎng)ARP攻擊仍是網(wǎng)絡(luò)維護(hù)中頻繁遇到地故障。文中通過分析ARP攻擊的具體方式和過程，以及綜合了幾種ARP病毒攻擊的防范方法，為校園網(wǎng)防止局域網(wǎng)ARP攻擊找到可行的防范方法。文中敘述了在交換機(jī)端使用Dhcp Snooping技術(shù)防止ARP攻擊。

關(guān)鍵詞 ARP攻擊;防范方法;Dhcp Snooping技術(shù)

引言

上個(gè)學(xué)期末，一棟學(xué)生宿舍多人反映上網(wǎng)速度很慢并有掉線現(xiàn)象，一段時(shí)間之后整棟樓的網(wǎng)絡(luò)全部中斷，網(wǎng)絡(luò)管理員使用檢測(cè)工具發(fā)現(xiàn)交換機(jī)有ARP告警，確認(rèn)故障是ARP攻擊導(dǎo)致。ARP攻擊不僅會(huì)造成網(wǎng)絡(luò)不穩(wěn)定，繼而引發(fā)網(wǎng)絡(luò)中斷，更會(huì)進(jìn)一步進(jìn)行中間人攻擊，攻擊整個(gè)局域網(wǎng)，使得被攻擊者的電腦機(jī)密數(shù)據(jù)泄露或被篡改，網(wǎng)絡(luò)安全受到嚴(yán)重影響[1]。

1ARP簡(jiǎn)介

1.1 ARP

ARP （Address Resolution Protocol）即地址解析協(xié)議，是一個(gè)網(wǎng)絡(luò)層的TCP/IP協(xié)議，其作用是把網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層的MAC地址。

1.2 ARP欺騙

地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個(gè)主機(jī)互相信任的基礎(chǔ)上的，局域網(wǎng)內(nèi)的主機(jī)可以自主發(fā)送ARP應(yīng)答消息，其他主機(jī)收到應(yīng)答報(bào)文時(shí)不會(huì)檢測(cè)該報(bào)文的真實(shí)性就會(huì)將其記入本機(jī)ARP緩存。由此攻擊者就可以向某一主機(jī)發(fā)送偽ARP應(yīng)答報(bào)文，使其發(fā)送的信息無法到達(dá)預(yù)期的主機(jī)或到達(dá)錯(cuò)誤的主機(jī)，這就構(gòu)成了一個(gè)ARP欺騙。

1.3 中間人攻擊

ARP協(xié)議并不只是在發(fā)送了ARP請(qǐng)求后才接收ARP應(yīng)答，ARP會(huì)主動(dòng)提供ARP響應(yīng)，這種主動(dòng)的ARP響應(yīng)稱為無故ARP（Gratuitous ARP）。攻擊者可以利用GARP在網(wǎng)段上假冒一個(gè)IP地址，在主機(jī)或網(wǎng)關(guān)之間實(shí)施地址欺騙。例如主機(jī)A和交換機(jī)網(wǎng)關(guān)進(jìn)行通信時(shí)，攻擊者主機(jī)B可以分別向主機(jī)A和網(wǎng)關(guān)發(fā)送與自己MAC對(duì)應(yīng)的ARP應(yīng)答報(bào)文，使主機(jī)A和網(wǎng)關(guān)用攻擊者B的MAC更新至自身ARP緩存表，這就造成了A和網(wǎng)關(guān)之間看似直接通信，實(shí)際都是通過攻擊者B所在的主機(jī)間接進(jìn)行的，B可以對(duì)數(shù)據(jù)進(jìn)行竊取和篡改，擔(dān)當(dāng)了中間人的角色。

2ARP檢測(cè)

網(wǎng)絡(luò)管理員在不能上網(wǎng)的樓棟登入銳捷交換機(jī)，交換機(jī)出現(xiàn)告警顯示“ARP-4-DUPLICATE：Duplicate address 172.16.103.2 on VLAN 78，sourced by 206b.e759.a77b”。

運(yùn)行命令show arp，查看ARP表項(xiàng)發(fā)現(xiàn)IP地址為172.16.103.2的MAC地址與網(wǎng)關(guān)172.16.103.254的MAC地址相同，說明局域網(wǎng)內(nèi)存在著欺騙網(wǎng)關(guān)類型的ARP攻擊。

通過告警的MAC地址，運(yùn)行show mac-address-table查到206b.e759.a77b對(duì)應(yīng)的端口為GigabitEthernet 0/7，對(duì)該端口運(yùn)行shutdown進(jìn)行關(guān)閉隔離[2]。

3防止ARP攻擊

3.1 防治方法

當(dāng)局域網(wǎng)發(fā)生ARP病毒攻擊，在找出攻擊源進(jìn)行隔離后，還需防范局域網(wǎng)內(nèi)其他主機(jī)的ARP攻擊風(fēng)險(xiǎn)。一般的防范辦法有用戶主機(jī)安裝安全軟件如360安全衛(wèi)士開啟局域網(wǎng)ARP防護(hù)。對(duì)主機(jī)和網(wǎng)關(guān)進(jìn)行雙向綁定，所謂雙向綁定，就是主機(jī)端對(duì)本機(jī)MAC地址與IP地址進(jìn)行綁定，交換機(jī)上把用戶的IP地址和MAC地址與接入的端口綁定。由于學(xué)生宿舍接入節(jié)點(diǎn)眾多，電腦、路由器、手機(jī)等移動(dòng)設(shè)備參差不齊，加上學(xué)生換屆終端設(shè)備流動(dòng)頻繁，都將增加網(wǎng)絡(luò)管理的困難性。

3.2 Dhcp Snooping

Dhcp Snooping技術(shù)是在交換機(jī)上創(chuàng)建可信端口，可信端口是與DHCP服務(wù)器直接或間接相連的端口。交換機(jī)可信端口允許ARP響應(yīng)，若ARP響應(yīng)進(jìn)入交換機(jī)的不可信任端口，則可將ARP響應(yīng)的內(nèi)容與DHCP綁定表比較驗(yàn)證其正確性。若ARP響應(yīng)與DHCP表不一致，則丟棄該ARP響應(yīng)。Dhcp Snooping技術(shù)的ARP審查特性可以保護(hù)網(wǎng)絡(luò)免遭ARP攻擊。

3.3 Dhcp Snooping配置

樓棟使用的是一臺(tái)50口銳捷2652交換機(jī)，上聯(lián)端口為GigabitEthernet 0/50端口，其余49口為用戶端接入端口。

在RG-2652開啟Dhcp Snooping功能：

RG-2652>enable

RG-2652#configure

RG-2652（config）#ip dhcp snooping

端口GigabitEthernet 0/50設(shè)為Dhcp Snooping信任端口：

RG-2652（config）#interface GigabitEthernet 0/50

RG-2652 （config-if-GigabitEthernet 0/50）#ip dhcp snooping trust

RG-2652#write

4結(jié)束語

目前大多數(shù)的交換機(jī)都支持Dhcp Snooping技術(shù) ，在交換機(jī)上作該配置很大程度上減少了ARP攻擊的概率，但并不是完全防治。對(duì)防范ARP攻擊的方式還有很多種，如安裝ARP防火墻，如使用網(wǎng)管軟件對(duì)每臺(tái)終端設(shè)備進(jìn)行管理等。本文在交換機(jī)使用Dhcp Snooping技術(shù)對(duì)在一定范圍的小型局域網(wǎng)有效，而更高明的ARP攻擊將來也會(huì)面臨，如何保證網(wǎng)絡(luò)安全運(yùn)行，需要我們進(jìn)一步探究。

參考文獻(xiàn)

[1] 尹淑玲.網(wǎng)絡(luò)安全技術(shù)教程[M].湖北：武漢大學(xué)出版社，2014：52.

[2] 李俊民.網(wǎng)絡(luò)安全與黑客攻防[M].北京：電子工業(yè)出版社，2011：73.

作者簡(jiǎn)介：

李智洋（1989-），男，江西贛州人;助理實(shí)驗(yàn)師，理學(xué)學(xué)士，現(xiàn)就職單位：廣東財(cái)經(jīng)大學(xué)，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。