收藏
下载资源

arp欺骗防御解决方案

上传人:第*** 文档编号:30497559 上传时间:2018-01-29 格式:DOC 页数:7 大小:945.50KB
返回 下载 相关 举报
arp欺骗防御解决方案_第1页
第1页 / 共7页
arp欺骗防御解决方案_第2页
第2页 / 共7页
arp欺骗防御解决方案_第3页
第3页 / 共7页
arp欺骗防御解决方案_第4页
第4页 / 共7页
arp欺骗防御解决方案_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《arp欺骗防御解决方案》由会员分享,可在线阅读,更多相关《arp欺骗防御解决方案(7页珍藏版)》请在金锄头文库上搜索。

1、ARP 欺骗防御解决方案摘要:ARP 欺 骗,一个让我们耳熟能详的网络安全事件,普遍存在于校园网、企业网等网络环境中,给我们的工作、学习和生活带来了很大的不便,轻则网络变慢、时断时续,重则直接无法上网、重要信息被窃取,可以说, ARP 欺骗是网络的一块顽疾。分析 ARP 欺骗,就不得不研究一下 ARP 协议,因为这种攻击行为正是利用了 ARP 协议本身的漏洞来实现的。关键词:网络现状;问题和挑战;ARP 欺骗;802.1X1 网络现状1.1 现状描述福建省仙游一中局域网建于 2004 年,采用单核心结构,即设置 1 台 BigHammer800 交换机,楼宇设备间的网络设备均以一条链路连到中心

2、交换机。BigHammer 800 上配置 1 块 4 口的千兆光纤模块,用于楼宇之间主干网的连接以及用于连接千兆服务器。会聚层和接入层安排如下:道德办公楼设置一台 Hammer24 交换机用于桌面系统连接,由 Hammer24 光纤接入 BIG800。挺虎科学楼设置两台 Hammer24 交换机用于桌面系统连接,由一台带两个光纤接口的Hammer24 交换机光纤接入 BIG800,另一口光纤连接科学楼另一设备间的 Hammer24。1.2 福建仙游一中校园网拓扑1.3 面临的问题和挑战由于我校校园网建设时间比较久,当时建网所用设备的一些功能逐渐不能满足现在高速发展的信息技术需要,特别是近年来

3、随着网络病毒、ARP 欺骗、DDOS 攻击等安全威胁的不断增多,我校校园网遇到了前所未有的挑战。各个教研室、老师等经常性报告网络断线、内网访问速度慢、时断时续等各种各样的问题,在深入分析了我校的校园网设备状况和故障现象后,我们认为在我校校园网内目前存在着严重的 ARP 欺骗隐患,而且到目前为止依靠现有的设备还不能根除 ARP 欺骗的问题。为了解决我校 ARP 欺骗的问题,本人深入分析了 ARP 协议的原理,从原理入手分析 ARP欺骗形成的原因,并且最终根据 ARP 的原理总结出来了一些解决方案。2 ARP 协议与 ARP 欺骗ARP 欺骗,一个让我们耳熟能详的网络安全事件,普遍的存在于校园网、

4、企业网等网络环境中,给我们的工作、学习和生活带来了很大的不便,轻则网络变慢、时断时续,重则直接无法上网、重要信息被窃取,可以说,ARP 欺骗是网络的一块顽疾。分析 ARP 欺骗,就不得不研究一下 ARP 协议,因为这种攻击行为正是利用了 ARP 协议本身的漏洞来实现的。2.1ARP 协议我们知道,ARP 协议是“Address Resolution Protocol”(地址解析协议)的缩写,它的作用,就是将IP 地址转换为 MAC 地址。在局域网中,网络中实际传输的是 “数据帧”,数据帧如果要到达目的地,就必须知道对方的 MAC 地址,这个协议不认 IP 地址。但这个目标 MAC 地址是如何获

5、得的呢?它就是通过 ARP协议获得的。所谓“地址解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。ARP 协议的基本功能就是通过目标设备的 IP 地址,查询目标设备的 MAC 地址,以保证通信的顺利进行。每台安装有 TCP/IP 协议的电脑里都有一个 ARP 缓存表,表里的 IP 地址与 MAC 地址是一一对应的,例如下表所示。表 1 ARP 缓存表举例我们以主机 A(192.168.16.1)向主机 B(192.168.16.2)发送数据为例。当发送数据时,主机 A 会在自己的 ARP 缓存表中寻找是否有目标 IP 地址。如果找到了,也就知道了目标 MAC 地址,直接

6、把目标MAC 地址写入帧里面发送就可以了;如果在 ARP 缓存表中没有找到相对应的 IP 地址,主机 A 就会在网络上发送一个广播,目标 MAC 地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2 的 MAC 地址是什么?”网络上其他主机并不响应 ARP 询问,只有主机 B 接收到这个帧时,才向主机 A 做出这样的回应:“192.168.16.2 的 MAC 地址是 bb-bb-bb-bb-bb-bb”。这样,主机 A 就知道了主机 B 的 MAC 地址,它就可以向主机 B 发送信息了。同时它还更新了自己的 ARP 缓存表,下次

7、再向主机 B 发送信息时,直接从 ARP 缓存表里查找就可以了。ARP 缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少 ARP 缓存表的长度,加快查询速度。以上就是 ARP 协议的作用以及其工作过程,看来是很简单的,也正因为其简单的原理,没有其他措施的保障,也就使得 ARP 欺骗产生了。下面我们来看看 ARP 欺骗到底是怎么回事。2.2 ARP 欺骗原理为什么会有 ARP 欺骗,这还要从 ARP 协议说起。前面我们介绍了,当源主机不知道目标主机的 MAC 地址的话,就会发起广播询问所有主机,然后目标主机回复它,告知其正确的 MAC 地址,漏洞就在这里。

8、如果一个有不轨图谋的主机想收到源主机发来的信息(可能是用户名、密码、银行账号之类的信息) ,那么它只需也向源主机回复一下,响应的 IP 地址没错,但 MAC 地址却变成了发起欺骗的主机的,这样,信息就发到它那里去了(前面说了,数据帧只认 MAC 地址) 。这是一种欺骗的方式,还有一种方式,是利用了“免费 ARP”的机制。所谓免费 ARP 就是不需要别人问,一上来就先告诉别人,我的 IP 地址是多少,我的 MAC 地址是多少,别的主机无需广播,就已经知道了该主机的 IP 和 MAC,下次需要发到这个 IP 的时候,直接发就行了。既然是主动发起的,就可以被别有用心的人利用了,用一个假冒的 IP 地

9、址(可能是网关的或者重要服务器的地址)加上自己的 MAC 出去骗别人,就把重要的信息都骗到这里来了。下面我们来看看 ARP 欺骗的具体操作过程。2.2.1 局域网主机冒充网关进行 ARP 欺骗欺骗过程:如下图所示, Pc A 跟网关 GW C 通讯时,要知道 GW 的 MAC 地址,如果 PC B 假冒 GW 告诉 PC A , GW 的 MAC 地址是 MAC B; 或者干脆告诉 PC A, GW 的 MAC 地址是 MAC X, 那么,PC A 就受骗了,pc A 的数据就到不了网关,造成断线。I P : CM A C : CI P : AM A C : A网关 CP C A P C BI

10、 P : BM A C : B图 1-1 主机式 ARP 欺骗原理图2.2.2 局域网主机冒充其他主机欺骗网关欺骗过程:网络通讯是一个双向的过程,也就是说,只有保证 PC A - Gw C 以及 Gw C - PC A 都没问题,才能确保正常通讯。假如,PC B 冒充主机 PC A,告诉 GW C:PC A 的 MAC 是 MAC B, 网关就受骗了,那么,PC A 到 GW C 没有问题,可是,GW C 到不了 PC A,因而造成网络断线。以上两种欺骗,尤其是第二种类型的欺骗,现在更为常见。从本质上说,同一局域网内(这里指在同一网段)的任何两个点的通讯都可能被欺骗,无论是主机到网关,网关到主

11、机,主机到服务器,服务器到主机,还有主机之间都是一样,都可能产生进行 ARP 欺骗, 欺骗本质都是一样。2.2.3 其他欺骗类型 主机冒用其它主机,欺骗其它主机的方式:如主机 A 冒用主机 B 的 MAC,欺骗主机 C,以达到监听主机 B 和主机 C 的目的. 并且导致主机 B 到主机 C 之间的网络连接中断。 外网欺骗:外网冒用路由器 A 的 MAC,欺骗更上一级的路由器 B,导致更上一级的路由器被骗,将内网信息全部转发给外网恶意主机。3 防御 ARP 欺骗的解决方案概览面对 ARP 欺骗带来的危害日益升级,越来越多的网络深受其害,在网络安全界也涌现出了多种 ARP 欺骗的防御方案,我在这里

12、简单加以总结。3.1 接入交换机/网关手动绑定目前主流的安全接入交换机/网关都具有 IP、MAC 绑定功能,有的厂家的安全接入交换机甚至提供了6 元素(IP、MAC、VLAN ID、交换机端口号、用户名、密码)的绑定,可以通过在接入交换机上将下联每台主机的 IP 和 MAC 地址绑定起来,将不符合 IP、MAC 绑定信息的报文全部丢弃,这样有效的防住了内网用户冒充网关或其他主机来欺骗内网其他用户的目的。这种方法的局限性: 配置工作量大,每台交换机下所连的所有用户都要一一手动绑定,对于交换机下联客户机变换频繁的场合,基本无可用性; 无法防御来自外部的 ARP 欺骗,只对本交换机所接用户负责; 无

13、法适用于采用动态 IP 的场合。接入交换机/网关手动绑定的方法,是现在采用的比较多的手段,但由于其以上的局限性,所以要配合其他手段才能完善的防御 ARP 欺骗。3.2 主机端手动绑定通过 Windows 自带的 ARP -S 命令,可以将特定的 IP 地址和 MAC 地址进行绑定,实现一定的 ARP 欺骗防御。这种方法的局限性: 配置麻烦,主机需要通信的目标很多,不可能一个一个都绑起来; 容易失效,这种方法进行的绑定,一拔掉网线或者关机、注销就全部失效了,如果想继续使用,就需要重新绑定; 只能进行主机端的防御,如果网关遭欺骗则无能为力。跟接入交换机绑定一样,主机端手动绑定也是只能实现部分防御,

14、需要与其他方法结合来完善。3.3 网关定期发送免费 ARP这是一种抑制的方法,因为 ARP 表项有老化期,经过一段时间就需要重新更新,所以通过网关定期发送免费 ARP,不时的“提醒”主机,真正的网关在这里,来防止伪装成网关的 ARP 欺骗。这种方法的局限性: 网关定期发送免费 ARP,对于网关设备的性能提出了很高的要求,同时,大量的免费 ARP 报文无疑也大大占用了网络的带宽; 由于很多 ARP 欺骗也是通过频繁大量发送免费 ARP 报文来实现的,所以如果网关这么做,欺骗只需要将发送的频率加大几倍就依然可以欺骗成功。3.4 主机安装 ARP 防御软件目前这类软件很多,其基本原理与上一个方法相同

15、,就是每个主机都不停的发送免费 ARP 广播,来告诉别人自己的 IP 和 MAC 的绑定关系,以达到抑制欺骗 ARP 报文的目的。这种方法的局限性:同上一个方法一样,这种方法也是通过耗费大量网络带宽来实现的,所以在许多主机安装了 ARP 防火墙的网络中,网络性能往往都会非常低下,因为大量的带宽都被免费 ARP 报文占用了。以上就是目前常见的几种防范 ARP 欺骗的解决方案,我们可以看到,每个方案各有利弊,都无法完善方便的防住 ARP 欺骗。只有通过多种手段的结合,配合完善的内网管理机制,才能实现 ARP 欺骗的真正防御。4 三重立体 ARP 防御解决方案ARP 欺骗攻击存在的原因,究其根本在于

16、 ARP 协议本身的不完善,通信双方的交互流程缺乏一个授信机制,使得非法的攻击者能够介入到正常的 ARP 交互中进行欺骗。要从根本上解决 ARP 欺骗的问题,必须要在局域网内的通信双方之间建立起一个可信任的验证体系。目前在业界最完善的 “ARP 三重立体防御体系” ,正是为了应对现在日益严重的 ARP 欺骗现象而制定的,整个解决方案遵循以下思路进行:4.1 方案原理4.1.1 用户身份合法性验证通过部署这种解决方案,实行基于 IEEE 802.1X 协议的身份认证系统,所有用户都必须要经过统一集中的身份鉴权认证方能允许接入网络。统一的身份认证系统确保了所有网络中的在线用户都有合法的身份信息,并且利用 802.1X 协议基于 MAC 地址的逻辑端口认证特性,保障了认证系统的中央服务端能够在用户认证过程中获取到用户真实的 IP-MAC 对应信息。4.1.2 确保真实 ARP 信息来源防治 ARP 欺骗的最重要一个环节是确保 ARP 信息的真实可靠。对于局域网通信最主要的两个对象:网关和用户来说,网关的 IP-MA

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号