徐龙伟-ARP协议安全防护课件

1、计算机网络研讨计算机网络研讨第八周组员：组员： 12121408 朱 伟 12121447 蒋 涛 12121407 徐龙伟徐龙伟-ARP协议安全防护研讨题目徐龙伟-ARP协议安全防护 地址解析协议，即地址解析协议，即ARP（Address Resolution Protocol） 是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基

2、础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。徐龙伟-ARP协议安全防护一、ARP协议工作原理 主机A的IP地址为192.168.1.1， MAC地址为 0A-11-22-33-44-01； 主机B的IP地址为 192.168.1.2，

3、MAC地址为0A-11-22-33-44-02； 当主机A要与主机B通信时，地址解析协议可以将主机B的IP地址（192.168.1.2）解析成主机B的MAC地址，以下为工作流程。徐龙伟-ARP协议安全防护第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。第2步：如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与

4、自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。第4步：主机B将包含其MAC地址的ARP回复消息直接发送回主机A。第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。徐龙伟-ARP协议安全防护工作要素ARP缓存ARP缓存是个用来储存IP地址和MAC地址的缓冲区，其本质

5、就是一个IP地址-MAC地址的对应表，表中每一个条目分别记录了网络上其他主机的IP地址和对应的MAC地址。每一个以太网或令牌环网络适配器都有自己单独的表。当地址解析协议被询问一个已知IP地址节点的MAC地址时，先在ARP缓存中查看，若存在，就直接返回与之对应的MAC地址，若不存在，才发送ARP请求向局域网查询。徐龙伟-ARP协议安全防护为使广播量最小，ARP维护IP地址到MAC地址映射的缓存以便将来使用。ARP缓存可以包含动态和静态项目。动态项目随时间推移自动添加和删除。每个动态ARP缓存项的潜在生命周期是10分钟。新加到缓存中的项目带有时间戳，如果某个项目添加后2分钟内没有再使用，则此项目过

6、期并从ARP缓存中删除；如果某个项目已在使用，则又收到2分钟的生命周期；如果某个项目始终在使用，则会另外收到2分钟的生命周期，一直到10分钟的最长生命周期。静态项目一直保留在缓存中，直到重新启动计算机为止。徐龙伟-ARP协议安全防护ARP工作媒介报文硬件类型协议类型硬件地址长度协议长度操作类型发送方硬件地址（0-3字节）发送方硬件地址（4-5字节）发送方IP地址（0-1字节）发送方IP地址（2-3字节）目标硬件地址（0-1字节）目标硬件地址（2-5字节）目标IP地址（0-3字节）徐龙伟-ARP协议安全防护硬件类型：指明了发送方想知道的硬件接口类型，以太网的值为1；协议类型：指明了发送方提供的高

7、层协议类型，IP为0800（16进制）；硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用；操作类型：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；发送方硬件地址（0-3字节）：源主机硬件地址的前3个字节；发送方硬件地址（4-5字节）：源主机硬件地址的后3个字节；发送方IP地址（0-1字节）：源主机硬件地址的前2个字节；发送方IP地址（2-3字节）：源主机硬件地址的后2个字节；目标硬件地址（0-1字节）：目的主机硬件地址的前2个字节；目标硬件地址（2-5字节）：目的主机硬件地址的后4个字

8、节；目标IP地址（0-3字节）：目的主机的IP地址。3 徐龙伟-ARP协议安全防护二、ARP欺骗地址解析协议是建立在网络中各个主机互相信任的基础上的，它的诞生使得网络能够更加高效的运行，但其本身也存在缺陷： ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的限制的，只保存最近使用的地址的映射关系表项，这使得攻击者有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可

9、以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。5 ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。徐龙伟-ARP协议安全防护常见ARP欺骗形式 1、假冒ARP reply包（单播） XXX，I have IP YYY and my MAC is ZZZ！ 2、假冒ARP reply包（广播） Hello everyone！ I have IP YYY and my MAC is ZZZ！ 向所有人散布虚假的IP/MAC 3、假冒ARP request（广播） I have IP XXX and my MAC

10、 is YYY. Who has IP ZZZ？ tell me please！ 表面为找IP ZZZ的MAC，实际是广播虚假的IP、MAC映射（XXX，YYY）徐龙伟-ARP协议安全防护 4、假冒ARP request（单播） 已知IP ZZZ的MAC Hello IP ZZZ！ I have IP XXX and my MAC is YYY. 5、假冒中间人 欺骗主机（MAC为MMM）上启用包转发 向主机AAA发假冒ARP Reply： AAA，I have IP BBB and my MAC is MMM， 向主机BBB发假冒ARP Reply： BBB，I have IP AAA an

11、d my MAC is MMM 由于ARP Cache的老化机制，有时还需要做周期性连续欺骗。徐龙伟-ARP协议安全防护三、ARP欺骗的防范 不要把网络安全信任关系建立在IP基础上或MAC基础上（RARP同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。 设置静态的MAC-IP对应表，不要让主机刷新设定好的转换表。 除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 使用“proxy”代理IP的传输。徐龙伟-ARP协议安全防护 使用硬件屏蔽主机。设置好路

12、由，确保IP地址能到达合法的路径（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。 管理员定期用响应的IP包中获得一个RARP请求，然后检查ARP响应的真实性。 管理员定期轮询，检查主机上的ARP缓存。 使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。 若感染ARP病毒，可以通过清空ARP缓存、指定ARP对应关系、添加路由信息、使用防病毒软件等方式解决。徐龙伟-ARP协议安全防护 1、运营商可采用、运营商可采用Super VLAN或或PVLAN技术技术所谓Super VLAN也叫VLAN聚合，这种技术在同一个子网中化出多个Sub V

13、LAN，而将整个IP子网指定为一个VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默认网关IP地址，不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口化为一个Sub VLAN，则实现了所有端口的隔离，也就避免了ARP欺骗。PVLAN即私有VLAN（Private VLAN） ，PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。PVLAN和Super

14、VLAN技术都可以实现端口隔离，但实现方式、出发点不同。PVLAN是为了节省VLAN，而SuperVlan的初衷是节省IP地址。徐龙伟-ARP协议安全防护 2、单位局域网可采用、单位局域网可采用IP与与MAC绑定绑定在PC上IP+MAC绑，网络设备上IP+MAC+端口绑。但不幸的是Win 98/me、未打arp补丁的win 2000/xp sp1（现在大多都已经打过了）等系统 使用arp -s所设置的静态ARP项还是会被ARP欺骗所改变。如果网络设备上只做IP+MAC绑定，其实也是不安全的，假如同一二层下的某台机器发伪造的arp reply（源ip和源mac都填欲攻击的那台机子的）给网关，还是

15、会造成网关把流量送到欺骗者所连的那个（物理）端口从而造成网络不通。对于采用了大量傻瓜交换机的局域网，用户自己可以采取支持arp过滤的防火墙等方法。推荐Look nStop防火墙，支持arp协议规则自定义。最后就是使用ARPGuard啦（才拉到正题上），但它只是保护主机和网关间的通讯。徐龙伟-ARP协议安全防护四、ARPGuard的原理1、第一次运行（或检测到网关IP改变）时获取网关对应的MAC地址，将网卡信息、网关IP、网关MAC等信息保存到配置文件中，其他时候直接使用配置文件。2、移去原默认路由（当前网卡的）3、产生一个随机IP，将它添加成默认网关。4、默认网关IP 和网关的MAC绑定（使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表项）5、周期性检测ARP Cache中原默认网关（不是随机IP那个） 网关的MAC在ARP Cache的值是否被改写，若被改写就报警。徐龙伟-ARP协议安全防护