局域网中ARP欺骗攻击原理和防范措施探讨

摘　要：摘要：目前企业基本都运用信息网络进行内部工作，因此通过信息网络的攻击与破坏的行为也越来越多。本文提出开启交换机DHCP Snooping功能如何解决网络中ARP欺骗包。

关键词：关键词：局域网；ARP ；入侵检测

中图分类号：TP393.08    文献标识码：A    文章编号：
    1．前言
    随着信息网络在企业中应用范围不断扩大，对信息网络的攻击与破坏的行为也越来越多。ARP协议对信息网络安全具有非常重要的意义，通过伪造MAC和IP地址和进行ARP欺骗，可以使信息网络中的终端经常掉线或大面积的网络中断，威胁企业局域网的安全运行。本文对企业信息网络管理者如何熟悉ARP协议和掌握防范网络攻击作一阐述。
    2  ARP欺骗攻击方式
    2.1  ARP欺骗攻击原理
假设局域网内有以下三台主机的主机名、IP地址、MAC地址分别如下：
表1 局域网内三台主机IP/MAC地址对应表

    在正常情况下，当主机A与主机B之间的数据通信时，主机A与主机B之间的数据流向以及它们各自的ARP缓存表如下：
    主机A的ARP缓存表中：
Interface: 192.168.0.1
  Internet Address      Physical Address      Type
  192.168.0.2         02-02-02-02-02-02     dynamic  
    主机B的ARP缓存表中：
Interface: 192.168.0.2
  Internet Address      Physical Address      Type
  192.168.0.1         01-01-01-01-01-01     dynamic  
    当主机C出现，并实施ARP欺骗攻击。主机C首先向主机B发送了一个ARP数据包，作用相当于告诉主机B：“嘿，我是192.168.0.1，我的MAC地址是03-03-03-03-03-03”，接着他也向主机A发送了一个ARP数据包，作用相当于告诉主机A：“嘿，我是192.168.0.2，我的MAC地址是03-03-03-03-03-03”。于是，主机A与主机B之间的数据流向，以及它们各自的ARP缓存表就变成如下所示：
    主机A的ARP缓存表中：
Interface: 192.168.0.1
  Internet Address      Physical Address      Type
  192.168.0.2         03-03-03-03-03-03     dynamic  
    主机B的ARP缓存表中：
Interface: 192.168.0.2
  Internet Address      Physical Address      Type
  192.168.0.1         03-03-03-03-03-03     dynamic  
    从以上的现象可以看出，主机C实施ARP欺骗后，主机A和主机B之间的数据通信都 将首先发送到主机C，这就形成了ARP欺骗。
    2.2  ARP欺骗攻击方式
    ARP欺骗根据欺骗对象的不同可以分为三种：
    ⑴ 只欺骗受害主机。使攻击者可以监听一台或多台受害主机的通信，从而获得私密信息。
    ⑵ 只欺骗路由器、网关。使受害主机无法对外提供服务。
    ⑶ 双向欺骗，就是两种欺骗方法的同时使用。
    3．解决方案
    采用DHCP Snooping模式的部署的ARP防御
    典型组网

    部署思路
    （1）在接入交换机上开启DHCP snooping 功能，并配置与DHCP 服务器相连的端口为DHCP snooping 信任端口。
    （2）在接入交换机上为静态IP 地址分配模式的主机或者服务器配置对应的IP 静态绑定表项。
    （3）在接入交换机对应VLAN 上开启ARP 入侵检测功能，并配置该交换机的上行口为ARP 信任端口。
    （4）在接入交换机的直接连接客户端的端口上配置ARP 报文限速功能，配置ARP报文过滤，同时全局配置因ARP 报文超速而被阻塞的时间。
    4 .原因分析
    4.1  ARP入侵检测机制
    DHCP Snooping绑定表都被Dynamic ARP Inspection (DAI)使用，通过对所有的ARP请求数据包来源端口进行IP+MAC匹配检测，交换机可以确定请求这是否是合法的用户，如果用户不合法，那么就会拒绝。同时对于一些特殊机器也可以通过使用手动添加ARP访问表的手段达到目的。DAI配置是针对VLAN操作，同一VLAN可以自定义DAI 的开启和关闭，而其中某个端口的ARP请求报文数量也可以通过DAI控制。
    我们为了防止ARP中间人的攻击，通过三层接入交换机支持对收到的ARP报文判断合法性。那么这样做的原理是啥？因为三层接入交换机可以动态获取静态配置合法用户的IP+MAC对应关系。同时在收到用户通过网络发送过来的ARP报文的时候，我们首先检查报文中的源IP地址和源MAC地址的绑定关系与所获取的合法用户IP+MAC对应关系表项是否匹配，这样就可以轻松的判断该报文是否是合法的ARP报文。
    通过过滤掉所有非法ARP报文的方式来实现所有ARP欺骗攻击。如下图： 

    4.2 动态IP地址分配环境的工作机制
    交换机上的安全特性之一DHCP Snooping，他指的是交换机上的信任端口和不信任端口，，通过建立和维护DHCP Snooping绑定表，对于不信任端口的DHCP报文进行截获和嗅探，可以过滤掉不值得信任的信息和来自这些端口的不正常的DHCP 报文。
    如果当用户给动态IP地址进行分配环境的时候。接入交换机会对用户的IP地址申请过程自动进行监控，这样就可以学习到合法用户IP+MAC之间的对应关系。据此可以依据该表项实现对合法ARP报文的确认和非法ARP报文的淘汰。当开通DHCP Snooping功能之后，并接入交换机采取监听HCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。
    DHCP Snooping表项中记录的主要信息一般包括如下内容：端口信息、客户端获取IP地址的类型、租约信息、分配给客户端的MAC地址、VLAN信息、客户端的IP地址、，如图所示：
 
    DHCP Snooping表项示意图
   4.3  静态IP地址分配环境的工作机制
    有一些不能够通过动态IP地址而得到的个别用户，和部分服务器和打印机，三层交换机一般也可以支持手工配置用户的IP+MAC相应联系，从而能够形成静态合法用户的IP+MAC表项，也就是用户的IP地址、MAC地址和连接用户的端口之间的绑定关系。
   接入交换机可以依据配置的静态表项实现对合法ARP报文的确认，和非法ARP报文的过滤。从而可以很好的解决静态IP地址分配环境下的部署问题。
    4.4  ARP信任端口设置
    在实际组网中，交换机的上行口会接收其他设备的请求和应答的ARP报文，这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题，交换机支持通过配置ARP信任端口，灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
    4.5  Ip Source Guard
    IP Source Guard一般都使用DHCP snooping绑定表信息，同时并配置在交换机端口上，通过检测所有经过定义端口的报文。检查流量的IP地址和MAC地址是否在DHCP snooping绑定表，如果不在绑定表中则阻塞这些流量。

    5. 结语
    以上给出的ARP欺骗和攻击防御解决方案，可以很好的解决企业网以及其它大型网络环境中的ARP欺骗和攻击问题。同时能根本解决大型网络中DHCP环境下ARP欺骗问题，将ARP欺骗包发生源头控制，使其在网络中无法泛滥。熟练掌握ARP欺骗问题的解决方法也是网络技术人员必备的技能之一。