论文部分内容阅读
摘要近年来许多校园网络都出现了ARP攻击现象,后果严重甚至造成大面积网络不能正常访问,学校深受其害。笔者对该问题进行了系统研究,以期可以更好的防范和避免ARP攻击带来的危害。
关键词网络安全 ARP攻击 分布式防范 网关
中图分类号:TO393文献标识码:A
1 概述
1.1 ARP攻击概述
近来,许多校园网络都出现了ARP①攻击现象,严重者甚至造成大面积网络瘫痪,阻隔学校对外网的访问,学校深受其害。针对此情况本文给出了有效的防ARP攻击解决方案。要解决ARP攻击问题,我们必须先了解ARP攻击的类型、原理,做到对症下药,以便更好解决这一问题。
1.2 ARP攻击的类型
目前ARP攻击中有网关仿冒、欺骗网关、欺骗终端用户三种类型。本文将作如下详细分析:
1.2.1 网关仿冒
ARP病毒通过发送错误的网关MAC对应关系给其它受害者,导致其它终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图:
图1网关仿冒攻击示意图
如上图所示,攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。从而网络中主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
1.2.2欺骗网关
攻击者发送错误的终端用户的IP+MAC的对应关系给网关,导致网关无法和合法终端用户正常通信。目前校园的攻击方式大多是这种方式。见下图:
图2欺骗网关攻击示意图
如上图,攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已經更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
1.2.3 欺骗终端用户
这种攻击类型,攻击者发送错误的终端用户/服务器的IP+MAC的对应关系给受害的终端用户,导致同网段内两个终端用户之间正常通信中断。这种攻击在校园中也有出现,但是相比较而言,盖然性较低。见下图:
如上图,攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给这个用户的所有数据被重定向到一个错误的MAC地址,导致该用户外网访问无法正常进行。
2解决方案介绍
2.1 认证模式
2.1.1总体思路
用户在认证时,通过CAMS服务器下发网关的IP-MAC对应关系到INOD客户端。INOD客户端将该对应关系在主机上绑定。从而有效防止主机被虚假的网关ARP表项欺骗。如下图:
图4认证模式示意图
2.1.2 防ARP攻击处理机制及流程
(1)处理机制。iNode客户端②,通过同CAMS③服务器配合,由管理员在CAMS上设置正确的网关IP、MAC对应列表,并传送至客户端,客户端无论当前ARP缓存是何种状态,均按照CAMS系统下发的IP、MAC列表更新本地的ARP缓存,并周期性更新,保证用户主机网关MAC地址的正确性,从而保证用户主机报文发往正确的设备。
(2)处理流程。iNode防止ARP攻击方案,第一步是设置本地正确的ARP列表。本地ARP列表设置流程如下图所示:
图5iNode设置本地ARP流程
iNode客户端在发起1x认证后,CAMS在认证成功报文中返回管理员预设置的ARP列表。用户主机在获取IP地址、获取网关IP后,在CAMS下发的ARP列表中查询是否有同本主机网关IP对应的ARP列表项,如果存在,则根据CAMS下发的信息更新本地ARP缓存,如果不存在,则向用户发出告警信息,错误原因可能是管理员配置不当,也可能是用户的DHCP请求没有得到正确的DHCP Server回应,造成本地网关IP不在CAMS下发的ARP列表范围内。为了防止用户上线过程中网关ARP列表信息被篡改,iNode客户端根据CAMS下发的正确信息周期性的更新本地ARP缓存。
2.2 DHCP 监控模式
2.2.1总体思路
接入交换机通过监控用户的正常动态IP地址获取过程,获取正常用户的IP-MAC对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的ARP报文,来防止接入的用户主机进行ARP欺骗攻击。如下图:
为了对已经没有用处的DHCP Snooping④动态表项的老化部分定期删除,以优化系统,防范安全隐患。具体实现过程为:当DHCP Snooping至少记录了一条正式表项时,交换机会启动20秒的租约定时器,即每隔20秒轮询一次DHCP Snooping表项,通过表项记录的租约时间、系统当前时间与表项添加时间的差值来判断该表项是否已经过期。若记录的表项租约时间小于系统当前时间与表项添加时间的差值,则说明该表项已经过期,将删除该条表项,从而实现DHCP Snooping动态表项的老化。
需要注意的是:DHCP Snooping表项的老化功能有一定的局限性,当DHCP服务器端的租约设置为无限期或者很长时,会出现老化不及时的现象。
2.2.2 ARP入侵检测功能
(1)ARP入侵检测功能工作机制。为了防止ARP中间人攻击,接入交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃,并通过Debug打印出丢弃信息提示用户。
图8ARP入侵检测功能示意图
(2)手工配置IP静态绑定表项。DHCP Snooping表只记录了通过DHCP方式动态获得客户端的IP地址,如果用户的IP地址背用户更换,那么该用户的IP地址等一些信息将不能被DHCP Snooping表记录,因此不能通过基于DHCP Snooping表项的ARP入侵检测,这就会是该用户不能正常访问外网。
为了可以使这些合法的用户正常的访问网络,交换机可以支持手工配置IP静态绑定表的表项。这样可以使该用户的报文顺利得到处理。
(3)ARP信任端口设置。ARP信任端口设置由于实际组网中,交换机的上行口将自动接收信息和应答报文,这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooing表项或者静态绑定表中。为了解决上行端口这种接收和应答可以顺利通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能,只检测来源自其它端口的ARP报文,但是不检测来自于信任端口的报文。
3总结
ARP防攻击解决方案具有较强的适应性,符合校园网的设置,对ARP攻击问题可以起到很好的预防和解决,应大力推广,以促进该问题的尽快解决。
注释
①ARP:地址解析协议.
②iNode客户端:网络终端设备上的软件,用来发起认证请求.
③CAMS:AAA服务器(认证、授权、计费服务器).
④DHCP Snooping:DHCP监听.
参考文献
[1]王达.网管员必读:网络组建[M].北京:电子工业出版社,2007.
[2]邓清华,陈松乔.ARP 欺骗攻击及其防范[J].微机发展,2004.14(8).
[3]王佳,李志蜀.基于ARP 协议的攻击原理分析[J].微电子学与计算机,2004.21(4).
关键词网络安全 ARP攻击 分布式防范 网关
中图分类号:TO393文献标识码:A
1 概述
1.1 ARP攻击概述
近来,许多校园网络都出现了ARP①攻击现象,严重者甚至造成大面积网络瘫痪,阻隔学校对外网的访问,学校深受其害。针对此情况本文给出了有效的防ARP攻击解决方案。要解决ARP攻击问题,我们必须先了解ARP攻击的类型、原理,做到对症下药,以便更好解决这一问题。
1.2 ARP攻击的类型
目前ARP攻击中有网关仿冒、欺骗网关、欺骗终端用户三种类型。本文将作如下详细分析:
1.2.1 网关仿冒
ARP病毒通过发送错误的网关MAC对应关系给其它受害者,导致其它终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图:
图1网关仿冒攻击示意图
如上图所示,攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。从而网络中主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
1.2.2欺骗网关
攻击者发送错误的终端用户的IP+MAC的对应关系给网关,导致网关无法和合法终端用户正常通信。目前校园的攻击方式大多是这种方式。见下图:
图2欺骗网关攻击示意图
如上图,攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已經更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
1.2.3 欺骗终端用户
这种攻击类型,攻击者发送错误的终端用户/服务器的IP+MAC的对应关系给受害的终端用户,导致同网段内两个终端用户之间正常通信中断。这种攻击在校园中也有出现,但是相比较而言,盖然性较低。见下图:
如上图,攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给这个用户的所有数据被重定向到一个错误的MAC地址,导致该用户外网访问无法正常进行。
2解决方案介绍
2.1 认证模式
2.1.1总体思路
用户在认证时,通过CAMS服务器下发网关的IP-MAC对应关系到INOD客户端。INOD客户端将该对应关系在主机上绑定。从而有效防止主机被虚假的网关ARP表项欺骗。如下图:
图4认证模式示意图
2.1.2 防ARP攻击处理机制及流程
(1)处理机制。iNode客户端②,通过同CAMS③服务器配合,由管理员在CAMS上设置正确的网关IP、MAC对应列表,并传送至客户端,客户端无论当前ARP缓存是何种状态,均按照CAMS系统下发的IP、MAC列表更新本地的ARP缓存,并周期性更新,保证用户主机网关MAC地址的正确性,从而保证用户主机报文发往正确的设备。
(2)处理流程。iNode防止ARP攻击方案,第一步是设置本地正确的ARP列表。本地ARP列表设置流程如下图所示:
图5iNode设置本地ARP流程
iNode客户端在发起1x认证后,CAMS在认证成功报文中返回管理员预设置的ARP列表。用户主机在获取IP地址、获取网关IP后,在CAMS下发的ARP列表中查询是否有同本主机网关IP对应的ARP列表项,如果存在,则根据CAMS下发的信息更新本地ARP缓存,如果不存在,则向用户发出告警信息,错误原因可能是管理员配置不当,也可能是用户的DHCP请求没有得到正确的DHCP Server回应,造成本地网关IP不在CAMS下发的ARP列表范围内。为了防止用户上线过程中网关ARP列表信息被篡改,iNode客户端根据CAMS下发的正确信息周期性的更新本地ARP缓存。
2.2 DHCP 监控模式
2.2.1总体思路
接入交换机通过监控用户的正常动态IP地址获取过程,获取正常用户的IP-MAC对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的ARP报文,来防止接入的用户主机进行ARP欺骗攻击。如下图:
为了对已经没有用处的DHCP Snooping④动态表项的老化部分定期删除,以优化系统,防范安全隐患。具体实现过程为:当DHCP Snooping至少记录了一条正式表项时,交换机会启动20秒的租约定时器,即每隔20秒轮询一次DHCP Snooping表项,通过表项记录的租约时间、系统当前时间与表项添加时间的差值来判断该表项是否已经过期。若记录的表项租约时间小于系统当前时间与表项添加时间的差值,则说明该表项已经过期,将删除该条表项,从而实现DHCP Snooping动态表项的老化。
需要注意的是:DHCP Snooping表项的老化功能有一定的局限性,当DHCP服务器端的租约设置为无限期或者很长时,会出现老化不及时的现象。
2.2.2 ARP入侵检测功能
(1)ARP入侵检测功能工作机制。为了防止ARP中间人攻击,接入交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃,并通过Debug打印出丢弃信息提示用户。
图8ARP入侵检测功能示意图
(2)手工配置IP静态绑定表项。DHCP Snooping表只记录了通过DHCP方式动态获得客户端的IP地址,如果用户的IP地址背用户更换,那么该用户的IP地址等一些信息将不能被DHCP Snooping表记录,因此不能通过基于DHCP Snooping表项的ARP入侵检测,这就会是该用户不能正常访问外网。
为了可以使这些合法的用户正常的访问网络,交换机可以支持手工配置IP静态绑定表的表项。这样可以使该用户的报文顺利得到处理。
(3)ARP信任端口设置。ARP信任端口设置由于实际组网中,交换机的上行口将自动接收信息和应答报文,这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooing表项或者静态绑定表中。为了解决上行端口这种接收和应答可以顺利通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能,只检测来源自其它端口的ARP报文,但是不检测来自于信任端口的报文。
3总结
ARP防攻击解决方案具有较强的适应性,符合校园网的设置,对ARP攻击问题可以起到很好的预防和解决,应大力推广,以促进该问题的尽快解决。
注释
①ARP:地址解析协议.
②iNode客户端:网络终端设备上的软件,用来发起认证请求.
③CAMS:AAA服务器(认证、授权、计费服务器).
④DHCP Snooping:DHCP监听.
参考文献
[1]王达.网管员必读:网络组建[M].北京:电子工业出版社,2007.
[2]邓清华,陈松乔.ARP 欺骗攻击及其防范[J].微机发展,2004.14(8).
[3]王佳,李志蜀.基于ARP 协议的攻击原理分析[J].微电子学与计算机,2004.21(4).