摘 要:摘要:目前企业基本都运用信息网络进行内部工作,因此通过信息网络的攻击与破坏的行为也越来越多。本文提出开启交换机DHCP Snooping功能如何解决网络中ARP欺骗包。
关键词:关键词:局域网;ARP ;入侵检测
中图分类号:TP393.08 文献标识码:A 文章编号:
1.前言
随着信息网络在企业中应用范围不断扩大,对信息网络的攻击与破坏的行为也越来越多。ARP协议对信息网络安全具有非常重要的意义,通过伪造MAC和IP地址和进行ARP欺骗,可以使信息网络中的终端经常掉线或大面积的网络中断,威胁企业局域网的安全运行。本文对企业信息网络管理者如何熟悉ARP协议和掌握防范网络攻击作一阐述。
2 ARP欺骗攻击方式
2.1 ARP欺骗攻击原理
假设局域网内有以下三台主机的主机名、IP地址、MAC地址分别如下:
表1 局域网内三台主机IP/MAC地址对应表
在正常情况下,当主机A与主机B之间的数据通信时,主机A与主机B之间的数据流向以及它们各自的ARP缓存表如下:
主机A的ARP缓存表中:
Interface: 192.168.0.1
Internet Address Physical Address Type
192.168.0.2 02-02-02-02-02-02 dynamic
主机B的ARP缓存表中:
Interface: 192.168.0.2
Internet Address Physical Address Type
192.168.0.1 01-01-01-01-01-01 dynamic
当主机C出现,并实施ARP欺骗攻击。主机C首先向主机B发送了一个ARP数据包,作用相当于告诉主机B:“嘿,我是192.168.0.1,我的MAC地址是03-03-03-03-03-03”,接着他也向主机A发送了一个ARP数据包,作用相当于告诉主机A:“嘿,我是192.168.0.2,我的MAC地址是03-03-03-03-03-03”。于是,主机A与主机B之间的数据流向,以及它们各自的ARP缓存表就变成如下所示:
主机A的ARP缓存表中:
Interface: 192.168.0.1
Internet Address Physical Address Type
192.168.0.2 03-03-03-03-03-03 dynamic
主机B的ARP缓存表中:
Interface: 192.168.0.2
Internet Address Physical Address Type
192.168.0.1 03-03-03-03-03-03 dynamic
从以上的现象可以看出,主机C实施ARP欺骗后,主机A和主机B之间的数据通信都 将首先发送到主机C,这就形成了ARP欺骗。
2.2 ARP欺骗攻击方式
ARP欺骗根据欺骗对象的不同可以分为三种:
⑴ 只欺骗受害主机。使攻击者可以监听一台或多台受害主机的通信,从而获得私密信息。
⑵ 只欺骗路由器、网关。使受害主机无法对外提供服务。
⑶ 双向欺骗,就是两种欺骗方法的同时使用。
3.解决方案
采用DHCP Snooping模式的部署的ARP防御
典型组网
部署思路
(1)在接入交换机上开启DHCP snooping 功能,并配置与DHCP 服务器相连的端口为DHCP snooping 信任端口。
(2)在接入交换机上为静态IP 地址分配模式的主机或者服务器配置对应的IP 静态绑定表项。
(3)在接入交换机对应VLAN 上开启ARP 入侵检测功能,并配置该交换机的上行口为ARP 信任端口。
(4)在接入交换机的直接连接客户端的端口上配置ARP 报文限速功能,配置ARP报文过滤,同时全局配置因ARP 报文超速而被阻塞的时间。
4 .原因分析
4.1 ARP入侵检测机制
DHCP Snooping绑定表都被Dynamic ARP Inspection (DAI)使用,通过对所有的ARP请求数据包来源端口进行IP+MAC匹配检测,交换机可以确定请求这是否是合法的用户,如果用户不合法,那么就会拒绝。同时对于一些特殊机器也可以通过使用手动添加ARP访问表的手段达到目的。DAI配置是针对VLAN操作,同一VLAN可以自定义DAI 的开启和关闭,而其中某个端口的ARP请求报文数量也可以通过DAI控制。
我们为了防止ARP中间人的攻击,通过三层接入交换机支持对收到的ARP报文判断合法性。那么这样做的原理是啥?因为三层接入交换机可以动态获取静态配置合法用户的IP+MAC对应关系。同时在收到用户通过网络发送过来的ARP报文的时候,我们首先检查报文中的源IP地址和源MAC地址的绑定关系与所获取的合法用户IP+MAC对应关系表项是否匹配,这样就可以轻松的判断该报文是否是合法的ARP报文。
通过过滤掉所有非法ARP报文的方式来实现所有ARP欺骗攻击。如下图:
4.2 动态IP地址分配环境的工作机制
交换机上的安全特性之一DHCP Snooping,他指的是交换机上的信任端口和不信任端口,,通过建立和维护DHCP Snooping绑定表,对于不信任端口的DHCP报文进行截获和嗅探,可以过滤掉不值得信任的信息和来自这些端口的不正常的DHCP 报文。
如果当用户给动态IP地址进行分配环境的时候。接入交换机会对用户的IP地址申请过程自动进行监控,这样就可以学习到合法用户IP+MAC之间的对应关系。据此可以依据该表项实现对合法ARP报文的确认和非法ARP报文的淘汰。当开通DHCP Snooping功能之后,并接入交换机采取监听HCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。
DHCP Snooping表项中记录的主要信息一般包括如下内容:端口信息、客户端获取IP地址的类型、租约信息、分配给客户端的MAC地址、VLAN信息、客户端的IP地址、,如图所示:
DHCP Snooping表项示意图
4.3 静态IP地址分配环境的工作机制
有一些不能够通过动态IP地址而得到的个别用户,和部分服务器和打印机,三层交换机一般也可以支持手工配置用户的IP+MAC相应联系,从而能够形成静态合法用户的IP+MAC表项,也就是用户的IP地址、MAC地址和连接用户的端口之间的绑定关系。
接入交换机可以依据配置的静态表项实现对合法ARP报文的确认,和非法ARP报文的过滤。从而可以很好的解决静态IP地址分配环境下的部署问题。
4.4 ARP信任端口设置
在实际组网中,交换机的上行口会接收其他设备的请求和应答的ARP报文,这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
4.5 Ip Source Guard
IP Source Guard一般都使用DHCP snooping绑定表信息,同时并配置在交换机端口上,通过检测所有经过定义端口的报文。检查流量的IP地址和MAC地址是否在DHCP snooping绑定表,如果不在绑定表中则阻塞这些流量。
5.结语
以上给出的ARP欺骗和攻击防御解决方案,可以很好的解决企业网以及其它大型网络环境中的ARP欺骗和攻击问题。同时能根本解决大型网络中DHCP环境下ARP欺骗问题,将ARP欺骗包发生源头控制,使其在网络中无法泛滥。熟练掌握ARP欺骗问题的解决方法也是网络技术人员必备的技能之一。
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。 返回通信学论文列表