ARP協議的缺陷及ARP欺騙的防范
學術部專家團隊 供搞
ARP協議是建立在信任局域網內所有結點的基礎上的���,它很高效,但卻不安全。它是無狀態的協議,不會檢查自己是否發過請求包��,也不管(其實也不知道)是否是合法的應答��,只要收到目標MAC是自己的ARP reply包或arp廣播包(包括ARP request和ARP reply),都會接受并緩存����。
一���、ARP協議工作原理
在TCP/IP協議中���,每一個網絡結點是用IP地址標識的��,IP地址是一個邏輯地址����。而在以太網中數據包是靠48位MAC地址(物理地址)尋址的���。因此����,必須建立IP地址與MAC地址之間的對應(映射)關系,ARP協議就是為完成這個工作而設計的�����。
TCP/IP協議棧維護著一個ARP cache表�,在構造網絡數據包時,首先從ARP表中找目標IP對應的MAC地址��,如果找不到����,就發一個ARP request廣播包,請求具有該IP地址的主機報告它的MAC地址�����,當收到目標IP所有者的ARP reply后���,更新RP cache.ARP cache有老化機制��。
二、ARP協議的缺陷
ARP協議是建立在信任局域網內所有結點的基礎上的����,它很高效�����,但卻不安全。它是無狀態的協議��,不會檢查自己是否發過請求包�,也不管(其實也不知道)是否是合法的應答,只要收到目標MAC是自己的ARP reply包或arp廣播包(包括ARP request和ARP reply),都會接受并緩存���。這就為ARP欺騙提供了可能,惡意節點可以發布虛假的ARP報文從而影響網內結點的通信,甚至可以做“中間人”�����。
三���、常見ARP欺騙形式
1��、假冒ARP reply包(單播)
XXX���,I have IP YYY and my MAC is ZZZ���!
2、假冒ARP reply包(廣播)
Hello everyone! I have IP YYY and my MAC is ZZZ�!
向所有人散布虛假的IP/MAC
3�����、假冒ARP request(廣播)
I have IP XXX and my MAC is YYY.
Who has IP ZZZ? tell me please!
表面為找IP ZZZ的MAC�,實際是廣播虛假的IP��、MAC映射(XXX,YYY)
4��、假冒ARP request(單播)
已知IP ZZZ的MAC
Hello IP ZZZ�����! I have IP XXX and my MAC is YYY.
5�����、假冒中間人
欺騙主機(MAC為MMM)上啟用包轉發
向主機AAA發假冒ARP Reply:
AAA�,I have IP BBB and my MAC is MMM����,
向主機BBB發假冒ARP Reply:
BBB,I have IP AAA and my MAC is MMM
由于ARP Cache的老化機制�,有時還需要做周期性連續欺騙�����。
四、ARP欺騙的防范
1�����、運營商可采用Super VLAN或PVLAN技術
所謂Super VLAN也叫VLAN聚合��,這種技術在同一個子網中化出多個Sub VLAN,而將整個IP子網指定為一個VLAN聚合(Super VLAN)���,所有的Sub VLAN都使用Super VLAN的默認網關IP地址,不同的Sub VLAN仍保留各自獨立的廣播域�。子網中的所有主機只能與自己的默認網關通信�。如果將交換機或IP DSLAM設備的每個端口化為一個Sub VLAN��,則實現了所有端口的隔離��,也就避免了ARP欺騙。
PVLAN即私有VLAN(Private VLAN) ��,PVLAN采用兩層VLAN隔離技術���,只有上層VLAN全局可見�,下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口化為一個(下層)VLAN��,則實現了所有端口的隔離�。
PVLAN和SuperVLAN技術都可以實現端口隔離,但實現方式、出發點不同。PVLAN是為了節省VLAN�����,而SuperVlan的初衷是節省IP地址�。
2、單位局域網可采用IP與MAC綁定
在PC上IP+MAC綁,網絡設備上IP+MAC+端口綁。但不幸的是Win 98/me、未打arp補丁的win 2000/xp sp1(現在大多都已經打過了)等系統 使用arp -s所設置的靜態ARP項還是會被ARP欺騙所改變���。
如果網絡設備上只做IP+MAC綁定,其實也是不安全的��,假如同一二層下的某臺機器發偽造的arp reply(源ip和源mac都填欲攻擊的那臺機子的)給網關�����,還是會造成網關把流量送到欺騙者所連的那個(物理)端口從而造成網絡不通��。
對于采用了大量傻瓜交換機的局域網,用戶自己可以采取支持arp過濾的防火墻等方法��。推薦Look ‘n’Stop防火墻����,支持arp協議規則自定義�����。
最后就是使用ARPGuard啦(才拉到正題上)�,但它只是保護主機和網關間的通訊��。
五��、ARPGuard的原理
ARPGuard可以保護主機和網關的通訊不受ARP欺騙的影響。
1���、第一次運行(或檢測到網關IP改變)時獲取網關對應的MAC地址,將網卡信息���、網關IP��、網關MAC等信息保存到配置文件中,其他時候直接使用配置文件�����。
2、移去原默認路由(當前網卡的)
3��、產生一個隨機IP��,將它添加成默認網關��。
4、默認網關IP 和網關的MAC綁定(使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項)
5����、周期性檢測ARP Cache中原默認網關(不是隨機IP那個) 網關的MAC在ARP Cache的值是否被改寫��,若被改寫就報警。
6����、針對有些攻擊程序只給網關設備(如路由器或三層交換機)發欺騙包的情況。由于此時本機ARP Cache中網關MAC并未被改變��,因此只有主動防護���,即默認每秒發10個ARP reply包來維持網關設備的ARP Cache(可選)
7����、程序結束時恢復默認網關和路由。
值得說明的是程序中限定了發包間隔不低于100ms�,主要是怕過量的包對網絡設備造成負擔�����。如果你遭受的攻擊太猛烈,你也可以去掉這個限制���,設定一個更小的數值,保證你的通訊正常��。
