ARP欺骗与防御手段分析_第1页
ARP欺骗与防御手段分析_第2页
ARP欺骗与防御手段分析_第3页
ARP欺骗与防御手段分析_第4页
ARP欺骗与防御手段分析_第5页
已阅读5页,还剩10页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、ARP欺骗与防御手段神州数码网络公司目 录1.ARP欺骗41.1.ARP协议工作原理41.2.ARP协议的缺陷41.3.ARP协议报文格式51.4.ARP攻击的种类61.4.1.ARP网关欺骗61.4.2.ARP主机欺骗71.4.3.网段扫描91. ARP欺骗在与用户的沟通过程中,感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的,会造成网络丢包、不能访问网关、IP地址冲突等等。多台设备短时间内发送大量ARP报文还会引起设备的CPU利用率上升,严重时可能会引起核心设备的宕机。如何解决ARP攻击的问题呢?首先要

2、从ARP攻击的原理开始分析。1.1. ARP协议工作原理在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。TCP/IP协议栈维护着一个ARP cache表,在构造网络数据包时,首先从ARP表中找目标IP对应的MAC地址,如果找不到,就发一个ARP request广播包,请求具有该IP地址的主机报告它的MAC地址,当收到目标IP所有者的ARP reply后,更新ARP cache。ARP cache有老化机制。1.

3、2. ARP协议的缺陷ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。1.3. ARP协议报文格式66222目地MAC地址源MAC地址帧类型硬件类型协议类型11264硬件地址长度协议地址长度类型发送端MAC地址发送端IP地址64接收端MAC地址接收端IP地

4、址 报文的前两个字段分别为目地MAC地址和源MAC地址,长度共12个字节。当报文中,目地MAC地址为全1(FF:FF:FF:FF:FF:FF)时候,代表为二层广播报文。同一个广播域的主机均会收到。第三个字段是帧类型,长度2个字节。对于ARP报文,这个字段的值为“0806”。接下来两个2字节的字段表示硬件地址类型和对应映射的协议类型。硬件地址类型值为“0001”代表以太网地址。协议类型值为“0800”代表IP地址。后跟两个1字节的字段表示硬件地址长度和协议地址长度。这两个字段具体数值分别为“6”和“4”代表硬件地址长度使用6字节表示和协议地址长度使用4字节表示。类型字段,长度2个字节。这个字段的

5、值表示出ARP报文属于那种操作。ARP请求(值为“01”,ARP应答(值为“02”),RARP请求(值为“03”)和RARP应答(值为“04”)。最后四个字段为发送端MAC地址、发送端IP地址、接收端MAC地址、接收端IP地址。(其中,发送端MAC地址与字段2的源MAC地址重复。)1.4. ARP攻击的种类针对ARP攻击的不同目地,可以把ARP攻击分为网关欺骗、主机欺骗、MAC地址扫描几类。下面分析一下每种ARP攻击使用的方法和报文格式。1.4.1. ARP网关欺骗在ARP的攻击中,网关欺骗是一种比较常见的攻击方法。通过伪装的ARP Request报文或Reply报文到修改PC机网关的MAC-

6、IP对照表的目地。造成PC机不能访问网关,将本应发向网关的数据报文发往被修改的MAC地址。网关欺骗的报文格式:主要参数:Destination Address :00:0B:CD:61:C1:26 (被欺骗主机的MAC地址)Source Address :00:01:01:01:01:01 (网关更改的虚假MAC地址)Type : 1 (ARP的请求报文)Source Physics :00:01:01:01:01:01Source IP :Destination Physics :00:0B:CD:61:C1:26Destination IP :按上面的格式制作的数据包会对MAC地址为00:

7、0B:CD:61:C1:26的主机发起网关欺骗,将这台PC机的网关211.68.199.1对应的MAC地址修改为00:01:01:01:01:01这个伪装的MAC地址。可以看到,上面这个网关欺骗的报文为单播ARP请求报文(Reply类同,在此不做详细介绍)。直接针对目地主机。对于这样的报文,唯有将它在进入端口的时候丢弃,才能保证网络当中的PC机不会受到这样的攻击。1.4.2. ARP主机欺骗ARP主机欺骗的最终目地是修改PC机或交换机设备的MAC表项。将原本正确的表项修改为错误的MAC地址。最终导致PC机不能访问网络。ARP主机欺骗可以使用单播报文实现也可以使用广播报文实现。使用单播报文:主要

8、参数:Destination Address :00:10:C6:DD:A6:28 (被欺骗主机的MAC地址)Source Address :00:01:01:01:01:01 (101更改的虚假MAC地址)Type : 2 (ARP的应答报文)Source Physics :00:01:01:01:01:01Source IP :Destination Physics :00:10:C6:DD:A6:28Destination IP :这个单播报文会导致211.68.199.103这台PC机将本机MAC表中的211.68.199.101对应的MAC地址更改为00:01:01:01:01:01

9、这个错误的IP地址。导致103发往101的数据包发到一个错误的地址。广播报文:主要参数:Destination Address :FF:FF:FF:FF:FF:FF (全FF的广播地址)Source Address :00:01:01:01:01:01 (广播的虚假MAC地址)Type : 1 (ARP的请求报文)Source Physics :00:01:01:01:01:01Source IP :Destination Physics :00:00:00:00:00:00Destination IP :这个数据包表面上类似于正常的ARP请求报文,目地地址为全F的广播,接收端的MAC地址为全

10、0的未知地址。意义为IP为101的PC机寻找IP为103的PC机的MAC地址。但当把报文中的两个源MAC地址修改为一个错误的MAC地址之后。这种报文就会引起全网PC机及交换机将211.68.199.101这台PC机的MAC地址修改为00:01:01:01:01:01这个错误的IP地址。针对主机欺骗的防护,一方面需要保护交换机的MAC表项。确保交换机拥有正确的MAC表。另一方面,针对PC机的MAC表的保护就只能使这种不合法的数据包不进入到交换机中才能完全防御ARP的主机欺骗。1.4.3. 网段扫描有很多的工具可以实现MAC地址扫描的工作。MAC扫描的报文格式也非常简单,就是一个IP地址对多个或整

11、个网段的ARP请求报文。严格的来说,正确的网段扫描本身对网络不会产生不利的影响。但因为网段扫描时使用的是广播报文,多台PC同时进行大量的扫描的时候会在网络中产生拥塞。更重要的一点,很多的ARP攻击病毒在发起攻击之前都需要获取到网段内IP和MAC地址的对照关系。就会利用到网段扫描。数据包的格式:主要参数:Destination Address :FF:FF:FF:FF:FF:FF (全F的目地址为二层的广播)Source Address :00:10:C6:DD:A6:28 (发起ARP扫描PC的MAC地址)Type : 1 (ARP的请求报文)Source Physics :00:10:C6:

12、DD:A6:28Source IP :211.68.199.201 (发起ARP扫描PC的IP地址)Destination Physics :00:00:00:00:00:00 (需寻找的IP对应的MAC地址未知)Destination IP :211.68.99.2 (需寻找的IP地址)将这个报文复制多份,并将Destination IP的地址改为多个不重复的IP地址即可对多个IP或网段进行扫描。另外,在ARP请求报文中含有的两个源MAC地址修改为错误的MAC地址后,这个报文就变成了主机欺骗的报文。针对网段扫描的防护首先着眼于单个端口单位时间内进入的ARP报文数量入手。PC机在正常的没有任何

13、操作的时候是不会对网络当中发送大量的ARP请求的。当端口进入的ARP包超过一个限值时判断受到了网段扫描的攻击。就对端口进行关闭,防止大量数据包进入。2. DCN对ARP攻击防御的几种手段ARP攻击的几种攻击方式在前面已经进行过分析。结合ARP攻击的不同形式,我们有多种方法来进行防御。在下面的命令和配置取自3950-52CT和3950-26S,具体其他型号设备在配置命令或下面提到的几种技术支持能力的方面,请及时查看具体型号设备的用户手册和版本更新通知。2.1. 网关欺骗防御ARP-GUARD针对网关欺骗采用的报文中必需要含有网关的IP条目,我们可以使用Arp-Guard来保护网关不会被修改。应用

14、的时候,在接口模式下“Arp-guard ip 网关IP地址”。接口上启用后,这个接口对于进入的数据包中携带有网关IP地址的ARP报文将会丢弃而不进行转发。对于上行端口,绝不要设置Arp-Guard以免出现网络中断。配置命令:Switch>enableSwitch#config terminalSwitch(config)#interface Ethernet 0/0/1Switch(Config-Ethernet0/0/1)#2.2. 主机欺骗防御主机欺骗的防御针对主机欺骗的两个方向来考虑。一、欺骗交换机表项1、 采用静态MAC与IP绑定的作法,实现手工绑定。2、 结合DHCP做Dhc

15、p Snooping 的Binding Arp方式,实现自动静态绑定。二、欺骗主机及交换机表项3、 结合DHCP做Dhcp Snooping的端口user-control方式,控制端口进入的数据包的源IP和MAC地址与Dhcp Snooping下发表一致的报文通过。4、 MAC ACL,使端口接收数据包的时候检查数据包的源地址与设定的地址相同。2.2.1. MAC-IP静态绑定switch>enable switch#config terminal switch(Config)#interface vlan 1switch(Config-If-Vlan1)#arp 211.68.199.

16、101 00-0B-CD-61-C1-26配置完成后,通过show arp来检查ARP表项是否已修改为静态表项。2.2.2. DHCP SnoopingDHCP Snooping的Binding Arp功能和手工绑定有相似的地方。都是将动态的ARP表项转为静态的ARP表项。不同的是手工绑定需要手工去配置,工作量较大并且比较繁琐,DHCP Snooping在有DHCP的环境下,绑定是自动完成的。另外,DHCP Snooping在端口下配置ip dhcp snooping binding user-control。配置之后非信任端口只转发源MAC和IP与下发表项条目相同的数据包。可以阻止网关及主机

17、ARP欺骗。在没有DHCP服务器的时候,可以用DHCP Snooping手工绑定方式实现。I. Dhcp Snooping的Binding Arp方式switch>enable switch#config terminal switch(Config)#ip dhcp snooping enable switch(Config)#ip dhcp snooping binding enableswitch(Config)#ip dhcp snooping binding arp switch(Config)#interface ethernet 0/0/1switch(Config-Eth

18、ernet0/0/1)#ip dhcp snooping trust (DHCP服务器连接端口需设置Trust)switch(Config-Ethernet0/0/2)#exitII.Dhcp Snooping的端口User-control方式switch>enable switch#config terminal switch(Config)#ip dhcp snooping enable switch(Config)#ip dhcp snooping binding enableswitch(Config)#interface ethernet 0/0/1switch(Config-

19、Ethernet0/0/1)#ip dhcp snooping trust (DHCP服务器连接端口需设置Trust)switch(Config-Ethernet0/0/1)#interface ethernet 0/0/2switch(Config-Ethernet0/0/2)#ip dhcp snooping binding user-control switch(Config-Ethernet0/0/2)#exitIII.Dhcp Snooping的手工绑定方式switch>enable switch#config terminal switch(Config)#ip dhcp s

20、nooping enable switch(Config)#ip dhcp snooping binding enableswitch(Config)#ip dhcp snooping binding user 00-0B-CD-61-C1-28 address 211.68.199.104 255.255.255.0 vlan 1 interface ethernet 0/0/15显示示例:switch#show ip dhcp snooping interface ethernet 0/0/15interface Ethernet0/0/15 user config:trust attri

21、bute: untrustaction: nonebinding dot1x: disabledbinding user: disabledrecovery interval:0(s)Alarm info: 0Binding info: 1-DHCP Snooping Binding built at MON JAN 01 01:37:01 2001 Time Stamp: 978313021 Ref Count: 1 Vlan: 1, Port: Ethernet0/0/15 Lease: 4294967295(s) Flag: 2Expired Binding: 0Request Bind

22、ing: 02.2.3. MAC ACL(目前3950-X系列交换机不支持该方式)配置MAC ACLSwitch(config)#access-list 1101 deny any any untagged-eth2 12 2 0806 20 2 0002 28 4 D344C765命令解释1101 编号为1100-1199的列表为MAC-IP ACL。也叫ACL-XUntagged-eth2 未打标的以太网帧12 2 数据包的第12个字节开始,向后偏移2个字节。(也就是帧类型字段)0806 帧类型字段的值。代表ARP。20 2 ARP数据包中的“类型”字段。0002 类型字段的值,代表ARP的应答报文。28 4 发送端的IP地址字段。D344C765 211.68.199.101的16进制地址表示。应用ACLSwitch(config)#firewall enableSwitch(config)#interface e 0/0/15Switch(config-ethernet0/0/15)#mac access-group 1101 in traffic-statistic配置应用后,可以使ACL去匹配数

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论