随着校园网规模的不断扩大, ARP攻击问题便在校园网安全管理当中显得尤为突出。怎样有效的防御ARP攻击, 一直是校园网络安全管理的重中之重。我结合我的网管工作, 与大家分享一下我们学校防御A R P攻击的经验。
1 ARP协议及工作原理
ARP协议是“AddressResolution Protocol” (地址解析协议) 的缩写。一个主机要和另一个主机进行通信, 必须要知道目标主机的MAC地址。ARP协议便可以将IP地址解析为相应的MAC地址。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标M A C地址的过程。实现地址解析的第一步是产生ARP Request报文。该报文以本机IP和本机MAC作为源地址, 以目标主机IP和全F的MAC广播为目的地址发给网络中除自己外的所有设备。除目标主机外, 所有设备都会丢弃该请求报文, 因为目的IP地址与本机不同。目标主机收到该请求报文, 将原地址存入ARP表中。然后目的主机以单播方式发送目的地址为PC1的IP, 目的MAC为PC1的MAC, 源IP为PC2的IP, 源MAC为PC2的MAC的ARPReply应答报文给PC1。PC1接收到ARP应答报文后, 获得P C 2的M A C地址, 并将它作为一条新记录加入到A R P高速缓存表。A R P协议将保存在高速缓存中的每一个映射地址项目都设置生存时间, 超过生存时间的项目就从高速缓存中删除掉。此外, 如果源主机没有发送ARP请求而收到其他主机的ARP响应数据帧, 源主机也会在本地ARP缓冲区中缓存该主机物理地址和I P地址的对应关系。也就是说如果主机收到ARP应答报文, 不管原来它有没有发送过请求报文, 都会主动更新自己的A R P缓存, 这就给A R P攻击创造了条件。
2 ARP协议攻击原理
2.1 ARP协议漏洞
(1) ARP请求以广播方式进行, 局域网内所以主机都可以接收到。这样攻击者可以伪装ARP应答, 达到欺骗的目的。 (2) ARP地址转换表的动态更新, 攻击者可以利用动态更新修改地址转换表。 (3) ARP协议的响应不可控。
2.2 ARP协议攻击
通过伪造IP地址和MAC地址发送大量的虚假ARP报文, 实现ARP欺骗, 并且能在网络中产生大量的A R P通信量使网络阻塞。
3 校园网常见ARP攻击类型
3.1 ARP Flood攻击
A R P泛洪, 只要是瞬间发送大量的ARP Request数据包给Switch, 填满switch的MACTable, 导致Switch工作异常, ARP Flood三层攻击瞬间发出大量ARP Request数据包, 至三层设备的CPU利用率过高。
3.2 ARP Spoof
针对ARP协议的各类欺骗, 其原理就是破坏正常的IP和MAC的对应方式, 将数据流导向其他方向, 从而实现数据窃取或中断网络等目的。
4 我校防御ARP欺骗攻击的具体方案
我校局域网分为办公区和学生区两部分。办公区接入层交换机为锐捷S2126G, 学生区密集接入层交换机为S2625G, 楼宇汇聚为锐捷S3760, 网关设备为思科C6509。开始我们采用的是D H C P嗅探 (D H C P-Snooping) +动态ARP检测技术 (简称DAI) 。在应用中我们发现DHCP-Snooping+DAI虽然能够较好的解决ARP欺骗问题, 但由于D A I采用软件技术对A R P报文进行检查, 需要将所有A R P报文通过C P U进行处理, 因此在单位时间内发送大量ARP报文对设备进行攻击时, DAI功能会占用大量CPU, 使CPU利用率过高, 从而影响其它协议的正常运行。所以如果网络中短时间内出现大量ARP报文, 需要慎用DAI功能。
后来我们使用D H C P-S n o o p i n g+ARP-Check应用方案。DHCP-Snooping通过窥探DHCP报文交互流程, 把用户成功申请到的I P地址、用户M A C、所属V L A N、端口、租约时间等信息组成一个用户记录表项, 添加到D H C P-S n o o p i n g数据库中, ARP-Check通过硬件过滤ARP欺骗报文, 保证送到CPU的A R P报文都是合法的, 有效降低了CPU的负荷。DHCP-Snooping功能在将DHCP-Snooping数据库用户信息添加到I P报文硬件过滤表时, 同时添加到A R P报文硬件过滤表。A R P-C h e c k根据ARP报文硬件过滤表对ARP欺骗报文进行过滤。DHCP-Snooping+ARP-Check应用方案相比DHCP-Snooping+DAI应用方案具有明显的优势, 可以避免设备在受到ARP欺骗报文攻击时CPU利用率过高的问题。
除此之外, ARP泛洪攻击会产生大量的ARP报文, 消耗网络带宽资源和交换机CPU资源, 造成网络速度急剧降低。因此可以通过设置交换机端口的ARP报文最大接收速率, 对每个端口单位时间内接收到的ARP报文数量进行限制。配置如下。
5 结语
自从采用锐捷的整体防范ARP方案以后, 我们学校基本上杜绝了ARP欺骗攻击, 网络趋于稳定。A R P协议的安全缺陷来源于协议自身设计的不足, 在IPV6环境中, NDP协议的相应功能有效地代替了ARP协议, 并且定义了可达性检测过程, 这样就不可能出现A R P欺骗。
摘要:本文阐述了基于ARP协议的攻击原理, 以及由此引发的网络安全问题, 并结合我校的局域网结构和实际应用环境, 来谈谈我们如何防御ARP攻击。
关键词:ARP攻击,防御
参考文献
[1] 王燕, 张新刚.基于ARP协议的攻击及防御方法分析[J].微计算机信息, 2007.
【校园网中ARP攻击及防御方法】相关文章:
ARP欺骗的防御策略09-11
《站长必读:防御DDOS攻击终极指南》04-07
校园网络安全防御方法论文04-25
从接入节点谈 和DDOS攻击防御04-20
校园网络安全防御方法论文提纲11-15
攻击方法与安全策略的订制04-09
防火墙攻击方法研究论文04-15
关于传说中的拒绝服务攻击CC04-22
浅谈黑客攻击技术及防范对策09-11
高职院校数字化校园网络安全及其防御策略09-10