|
常見的ARP安全隱患和對應的預防方法
1.ARP泛洪攻擊
ARP泛洪攻擊就是攻擊者通過偽造大量源IP地址變化的ARP報文頻繁向網絡中發(fā)送����,使得交換機端口在接收到這些請求包后����,頻繁地處理這些ARP報文����,占用大量的系統資源和設備CPU資源。這樣一一來����,使設備的ARP表溢出(超出所能存儲的容量范圍),合法用戶的ARP報文就不能生成有效的ARP表項����,導致正常通信中斷����。另外����,通過向設備發(fā)送大量目標IP地址不能解析的IP報文,使設備反復地對目標IP地址進行解析����,導致CPU負荷過重,也是泛洪攻擊的一種����。
在H3C設備中,可以通過限制VLAN中學習到的ARP表項數量來預防ARP泛洪攻擊����。ARP報文限速功能來預防ARP泛洪攻擊。在設備的指定VLAN接口����,配置允許學習動態(tài)ARP表項的最大個數。當該VLAN接口動態(tài)學習到的ARP表項超過限定的最大值后����,將不進行動態(tài)地址表項的學習����,從而防止某一VLAN內的惡意用戶發(fā)動ARP泛洪攻擊造成的危害����。
2. “中間人攻擊”
按照ARP協議的設計,一個主機即使收到的ARP應答并非自身請求得到的����,也會將其IP地址和MAC地址的對應關系添加到自身的ARP映射表中。這樣可以減少網絡上過多的ARP數據通信����,但也為“ARP 欺騙”創(chuàng)造了條件。
如圖17-1所示����,Host A和Host C通過Switch進行通信����。此時,如果有黑客(Host B)想探聽Host A和Host C之間的通信����,它可以分別給這兩臺主機發(fā)送偽造的ARP應答報文����,使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應的表項����。此后,Host A 和Host C之間看似“直接”的通信����,實際上都是通過黑客所在的主機間接進行的,即Host B擔當了“中間人”的角色����,可以對信息進行了竊取和篡改。這種攻擊方式就稱作“中間人(Man-In-The-Middle)攻擊����。
為了防止黑客或攻擊者通過ARP報文實施“中間人”攻擊,在一些H3C交換機中(如S3100����、S5600系列等)支持ARP入侵檢測功能。啟用了ARP入侵檢測功能后����,對于ARP信任端口����,不進行用戶合法性檢查����;對于ARP非信任端口,需要進行用戶合法性檢查����,以防止仿冒用戶的攻擊。
用戶合法性檢查是根據ARP報文中源IP地址和源MAC地址檢查用戶是否是所屬VLAN所在端口上的合法用戶����,包括基于IP Source Guard靜態(tài)綁定表項的檢查、基于DHCP Snooping安全表項的檢查����、基于802.1X安全表項的檢查和OUI MAC地址的檢查。
首先進行基于IP Source Guard靜態(tài)綁定表項檢查����。如果找到了對應源IP地址和源MAC地址的靜態(tài)綁定表項����,認為該ARP報文合法����,進行轉發(fā)����。如果找到了對應源IP地址的靜態(tài)綁定表項但源MAC地址不符,認為該ARP報文非法����,進行丟棄。如果沒有找到對應源IP地址的靜態(tài)綁定表項����,繼續(xù)進行DHCP Snooping安全表項、802.1X安全表項和MAC地址檢查����。
在基于IP Source Guard靜態(tài)綁定表項檢查之后進行基于DHCP Snooping安全表項、802.1X安全表項和MAC地址檢查����,只要符合三者中任何一個,就認為該ARP報文合法����,進行轉發(fā)����。其中����,MAC地址檢查指的是,只要ARP報文的源MAC地址為MAC地址����,并且使能了Voice VLAN功能,就認為是合法報文����,檢查通過。
如果所有檢查都沒有找到匹配的表項����,則認為是非法報文,直接丟棄����。
開啟ARP入侵檢測功能以后,用戶可以通過配置ARP嚴格轉發(fā)功能����,使從指定VLAN的非信任端口上接收的合法ARP請求報文只能通過已配置的信任端口進行轉發(fā);而從非信任端口上接收的合法ARP應答報文����,首先按照報文中的目的MAC地址進行轉發(fā),若目的MAC地址不在MAC地址表中����,則將此ARP應答報文通過信任端口進行轉發(fā)。
但是開啟了ARP入侵檢測功能后����,需要將ARP報文上送到CPU處理,如果攻擊者惡意構造大量ARP報文發(fā)往交換機的某一端口����,會導致CPU負擔過重,從而造成其他功能無法正常運行甚至設備癱瘓����。于是H3C又有另一種配合的解決方案,就是在端口上配置ARP報文限速功能����。開啟某個端口的ARP報文限速功能后,交換機對每秒內該端口接收的ARP報文數量進行統計,如果每秒收到的ARP報文數量超過設定值����,則認為該端口處于超速狀態(tài)(即受到ARP報文攻擊)。此時����,交換機將關閉該端口,使其不再接收任何報文����,從而避免大量ARP報文攻擊設備。同時����,設備支持配置端口狀態(tài)自動恢復功能,對于配置了ARP限速功能的端口����,在其因超速而被交換機關閉后,經過一段時間可以自動恢復為開啟狀態(tài)����。
3. 仿冒網關攻擊
按照ARP協議的設計,網絡設備收到目的IP地址是本接口IP地址的ARP報文(無論此ARP報文是否為自身請求得到的)����,都會將其IP地址和MAC地址的對應關系添加到自身的ARP映射表中����。這樣可以減少網絡上過多的ARP數據通信����,但也為“ARP欺騙”創(chuàng)造了條件����。
實際網絡環(huán)境,特別是校園網中����,最常見的ARP攻擊方式是“仿冒網關”攻擊。即:攻擊者偽造ARP報文����,發(fā)送源IP地址為網關IP地址,源MAC地址為偽造的MAC地址的ARP報文給被攻擊的主機����,使這些主機更新自身ARP表中網關IP地址與MAC地址的對應關系。這樣一來����,主機訪問網關的流量����,被重定向到一個錯誤的MAC地址����,導致該用戶無法正常訪問外網。
如圖17-2所示����,因為主機A仿冒網關向主機B發(fā)送了偽造的網關ARP報文,導致主機B的ARP表中記錄了錯誤的網關地址映射關系(本來正確的MAC地址應該是1-1-1����,現在卻被更新為2-2-2),這樣主機在上網時發(fā)送給網關報文時會錯誤地發(fā)送到仿冒的網關中����,從而正常的數據不能被網關接收,造成所有更新了錯誤的網關ARP表項的用戶主機都上不了網����。
圖17-2 仿冒網關攻擊示意圖
仿冒網關攻擊是一種比較常見的攻擊方式,如果攻擊源發(fā)送的是廣播ARP報文����,或者根據其自身所掌握的局域網內主機的信息依次地發(fā)送攻擊報文����,就可能會導致整個局域網通信的中斷����,是ARP攻擊中影響較為嚴重的一種����。
為了防御“仿冒網關”的ARP攻擊,在一些H3C交換機中(如S3100����、S5600等系列)中提供了基于網關IP/MAC的ARP報文過濾功能。為防御交換機下行端口(下行端口通常是直接連接用戶的)可能收到的源IP地址為網關IP地址的ARP攻擊報文����,可將接入交換機下行端口和網關IP進行綁定。綁定后����,該端口接收的源IP地址為網關IP地址的ARP報文將被丟棄,其他ARP報文允許通過����。為防御交換機上行端口(通常是直接連接網關設備的)可能收到的源IP地址為網關IP地址����,源MAC地址為偽造的MAC地址的ARP攻擊報文����,可將接入交換機級聯端口或上行端口和網關IP地址、網關MAC地址進行綁定����。綁定后,該端口接收的源IP地址為指定的網關IP地址����,源MAC地址為非指定的網關MAC地址的ARP報文將被丟棄,其他ARP報文允許通過����。這樣一來,這些仿冒網關的ARP報文就不起作用了����。
【注意】ARP信任端口功能比端口支持基于網關IP/MAC的ARP報文過濾功能的優(yōu)先級高,即:如果接入交換機級聯端口或上行端口被配置為ARP信任端口����,則該端口上對于網關IP地址����、網關MAC地址的綁定不生效
4. 欺騙網關攻擊
惡意用戶可能通過工具軟件����,發(fā)送偽造網絡中其他設備(或主機)的源IP或源MAC地址的ARP報文,從而導致途徑網絡設備上的ARP表項刷新到錯誤的端口上����,導致正常主機的網絡流量中斷����。
主機A以主機B的IP地址(10.10.01.3)為源IP地址和仿冒的MAC地址(5-5-5)為源MAC地址冒充主機B向網關發(fā)送了偽造的主機B的ARP報文,導致網關中關于主機B的ARP表中記錄了錯誤的主機B地址映射關系����,這來來自互聯網發(fā)往主機B的的數據包就不能正確地被主機B接收。
為了防御這一類ARP攻擊����,H3C的一些交換機(如S3100、S5600系列)中提供了ARP報文源MAC一致性檢查功能����。通過檢查ARP報文中的源MAC地址和以太網報文頭中的源MAC地址是否一致����,來校驗其是否為偽造的ARP報文����。如果一致,則該ARP報文通過一致性檢查����,交換機進行正常的表項學習;如果不一致����,則認為該ARP報文是偽造報文,交換機不學習動態(tài)ARP表項的學習����,也不根據該報文刷新ARP表項。
5. 欺騙其他用戶攻擊
這種攻擊方式與上面介紹的欺騙網關攻擊一樣����,只不過,這里攻擊者的仿冒報文不是發(fā)送給風關,而是發(fā)送給其他用戶主機����。如圖17-4所示,主機A以主機B的IP地址(10.10.10.3)為源IP地址����,仿冒的MAC地址(5-5-5)向主機C發(fā)送了偽造的主機B的ARP報文,導致主機C的ARP表中記錄了錯誤的主機B地址映射關系����,從而導致主機C發(fā)送給主機BR 正常的數據報文不能正確地被主機B接收。
防止欺騙其他用戶的攻擊方法也是采用前面介紹的ARP報文源MAC一致性檢查功能����,不再贅述。,
通常需要配置以上所介紹的ARP攻擊防御功能的設備如下所示:
l 配置VLAN接口學習動態(tài)ARP表項的最大數目:網關設備
l 配置ARP報文源MAC一致性檢查功能:網關設備����、接入設備
l 配置基于網關IP/MAC的ARP報文過濾功能:接入設備
l 配置ARP入侵檢測功能:網關設備����、接入設備
l 配置ARP報文限速功能:網關設備、接入設備
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.riomediacenter.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商����!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
