學(xué)術(shù)部專家團(tuán)隊(duì) 供搞
ARP協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點(diǎn)的基礎(chǔ)上的,它很高效,但卻不安全。它是無狀態(tài)的協(xié)議,不會檢查自己是否發(fā)過請求包,也不管(其實(shí)也不知道)是否是合法的應(yīng)答,只要收到目標(biāo)MAC是自己的ARP reply包或arp廣播包(包括ARP request和ARP reply),都會接受并緩存。
一、ARP協(xié)議工作原理
在TCP/IP協(xié)議中,每一個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)是用IP地址標(biāo)識的,IP地址是一個(gè)邏輯地址。而在以太網(wǎng)中數(shù)據(jù)包是靠48位MAC地址(物理地址)尋址的。因此,必須建立IP地址與MAC地址之間的對應(yīng)(映射)關(guān)系,ARP協(xié)議就是為完成這個(gè)工作而設(shè)計(jì)的。
TCP/IP協(xié)議棧維護(hù)著一個(gè)ARP cache表,在構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包時(shí),首先從ARP表中找目標(biāo)IP對應(yīng)的MAC地址,如果找不到,就發(fā)一個(gè)ARP request廣播包,請求具有該IP地址的主機(jī)報(bào)告它的MAC地址,當(dāng)收到目標(biāo)IP所有者的ARP reply后,更新RP cache.ARP cache有老化機(jī)制。
二、ARP協(xié)議的缺陷
ARP協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點(diǎn)的基礎(chǔ)上的,它很高效,但卻不安全。它是無狀態(tài)的協(xié)議,不會檢查自己是否發(fā)過請求包,也不管(其實(shí)也不知道)是否是合法的應(yīng)答,只要收到目標(biāo)MAC是自己的ARP reply包或arp廣播包(包括ARP request和ARP reply),都會接受并緩存。這就為ARP欺騙提供了可能,惡意節(jié)點(diǎn)可以發(fā)布虛假的ARP報(bào)文從而影響網(wǎng)內(nèi)結(jié)點(diǎn)的通信,甚至可以做“中間人”。
三、常見ARP欺騙形式
1、假冒ARP reply包(單播)
XXX,I have IP YYY and my MAC is ZZZ!
2、假冒ARP reply包(廣播)
Hello everyone! I have IP YYY and my MAC is ZZZ!
向所有人散布虛假的IP/MAC
3、假冒ARP request(廣播)
I have IP XXX and my MAC is YYY.
Who has IP ZZZ? tell me please!
表面為找IP ZZZ的MAC,實(shí)際是廣播虛假的IP、MAC映射(XXX,YYY)
4、假冒ARP request(單播)
已知IP ZZZ的MAC
Hello IP ZZZ! I have IP XXX and my MAC is YYY.
5、假冒中間人
欺騙主機(jī)(MAC為MMM)上啟用包轉(zhuǎn)發(fā)
向主機(jī)AAA發(fā)假冒ARP Reply:
AAA,I have IP BBB and my MAC is MMM,
向主機(jī)BBB發(fā)假冒ARP Reply:
BBB,I have IP AAA and my MAC is MMM
由于ARP Cache的老化機(jī)制,有時(shí)還需要做周期性連續(xù)欺騙。
四、ARP欺騙的防范
1、運(yùn)營商可采用Super VLAN或PVLAN技術(shù)
所謂Super VLAN也叫VLAN聚合,這種技術(shù)在同一個(gè)子網(wǎng)中化出多個(gè)Sub VLAN,而將整個(gè)IP子網(wǎng)指定為一個(gè)VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默認(rèn)網(wǎng)關(guān)IP地址,不同的Sub VLAN仍保留各自獨(dú)立的廣播域。子網(wǎng)中的所有主機(jī)只能與自己的默認(rèn)網(wǎng)關(guān)通信。如果將交換機(jī)或IP DSLAM設(shè)備的每個(gè)端口化為一個(gè)Sub VLAN,則實(shí)現(xiàn)了所有端口的隔離,也就避免了ARP欺騙。
PVLAN即私有VLAN(Private VLAN) ,PVLAN采用兩層VLAN隔離技術(shù),只有上層VLAN全局可見,下層VLAN相互隔離。如果將交換機(jī)或IP DSLAM設(shè)備的每個(gè)端口化為一個(gè)(下層)VLAN,則實(shí)現(xiàn)了所有端口的隔離。
PVLAN和SuperVLAN技術(shù)都可以實(shí)現(xiàn)端口隔離,但實(shí)現(xiàn)方式、出發(fā)點(diǎn)不同。PVLAN是為了節(jié)省VLAN,而SuperVlan的初衷是節(jié)省IP地址。
2、單位局域網(wǎng)可采用IP與MAC綁定
在PC上IP+MAC綁,網(wǎng)絡(luò)設(shè)備上IP+MAC+端口綁。但不幸的是Win 98/me、未打arp補(bǔ)丁的win 2000/xp sp1(現(xiàn)在大多都已經(jīng)打過了)等系統(tǒng) 使用arp -s所設(shè)置的靜態(tài)ARP項(xiàng)還是會被ARP欺騙所改變。
如果網(wǎng)絡(luò)設(shè)備上只做IP+MAC綁定,其實(shí)也是不安全的,假如同一二層下的某臺機(jī)器發(fā)偽造的arp reply(源ip和源mac都填欲攻擊的那臺機(jī)子的)給網(wǎng)關(guān),還是會造成網(wǎng)關(guān)把流量送到欺騙者所連的那個(gè)(物理)端口從而造成網(wǎng)絡(luò)不通。
對于采用了大量傻瓜交換機(jī)的局域網(wǎng),用戶自己可以采取支持arp過濾的防火墻等方法。推薦Look ‘n’Stop防火墻,支持arp協(xié)議規(guī)則自定義。
最后就是使用ARPGuard啦(才拉到正題上),但它只是保護(hù)主機(jī)和網(wǎng)關(guān)間的通訊。
五、ARPGuard的原理
ARPGuard可以保護(hù)主機(jī)和網(wǎng)關(guān)的通訊不受ARP欺騙的影響。
1、第一次運(yùn)行(或檢測到網(wǎng)關(guān)IP改變)時(shí)獲取網(wǎng)關(guān)對應(yīng)的MAC地址,將網(wǎng)卡信息、網(wǎng)關(guān)IP、網(wǎng)關(guān)MAC等信息保存到配置文件中,其他時(shí)候直接使用配置文件。
2、移去原默認(rèn)路由(當(dāng)前網(wǎng)卡的)
3、產(chǎn)生一個(gè)隨機(jī)IP,將它添加成默認(rèn)網(wǎng)關(guān)。
4、默認(rèn)網(wǎng)關(guān)IP 和網(wǎng)關(guān)的MAC綁定(使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項(xiàng))
5、周期性檢測ARP Cache中原默認(rèn)網(wǎng)關(guān)(不是隨機(jī)IP那個(gè)) 網(wǎng)關(guān)的MAC在ARP Cache的值是否被改寫,若被改寫就報(bào)警。
6、針對有些攻擊程序只給網(wǎng)關(guān)設(shè)備(如路由器或三層交換機(jī))發(fā)欺騙包的情況。由于此時(shí)本機(jī)ARP Cache中網(wǎng)關(guān)MAC并未被改變,因此只有主動(dòng)防護(hù),即默認(rèn)每秒發(fā)10個(gè)ARP reply包來維持網(wǎng)關(guān)設(shè)備的ARP Cache(可選)
7、程序結(jié)束時(shí)恢復(fù)默認(rèn)網(wǎng)關(guān)和路由。
值得說明的是程序中限定了發(fā)包間隔不低于100ms,主要是怕過量的包對網(wǎng)絡(luò)設(shè)備造成負(fù)擔(dān)。如果你遭受的攻擊太猛烈,你也可以去掉這個(gè)限制,設(shè)定一個(gè)更小的數(shù)值,保證你的通訊正常。