论文部分内容阅读
【摘 要】arp病毒经常造成企业网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等现象。
【关键词】arp病毒 仿冒网关 ACL访问控制列表
一、ARP病毒及其攻击介绍
ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。它经常造成我们企业网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等现象。
按照TCP/IP协议的原理,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
晋煤集团网络中,常见的ARP攻击有如下几种形式:
(一)仿冒网关
攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
(二)欺骗网关
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
(三)欺骗终端用户
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
(四)“中间人”攻击
ARP “中间人”攻击,又称为ARP双向欺骗。例如,Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
(五)ARP报文泛洪攻击
恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
二.解决方案:
(一)阻止仿冒网关IP的arp攻击
1.二层交换机
3652是三层设备,其中ip:100.1.1.1是所有pc的网关,3652上的网关mac地址为000f-e200-3999。PC-B上装有arp攻击软件。现在需要对3126_A进行一些特殊配置,目的是过滤掉仿冒网关IP的arp报文。
对于二层交换机如3126c等支持ACL number为5000到5999的交换机,可以配置acl来进行报文过滤。
(1)全局配置deny 所有源IP是网关的arp报文(自定义规则)
ACL num 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
rule0目的:把整个3126C_A端口冒充网关的ARP报文禁掉,其中蓝色部分64010101是网关ip地址的16进制表示形式:100.1.1.1=64010101。
rule1目的:把上行口的网关ARP报文允许通过,蓝色部分为网关3652的mac地址000f-e200-3999。
注意配置Rule时的配置顺序,上述配置为先下发后生效的情况。
在S3126C-A系统视图下发acl规则:
[S3126C-A]packet-filter user-group 5000
这样只有3126C_A上连设备能够下发网关的ARP报文,其它pc就不能发送假冒网关的arp响应报文。
(二)三层交换机
对于三层设备,需要配置过滤源IP是网关的arp报文的acl规则,配置如下acl规则:
ACL num 5000
rule 0 deny 0806 ffff 24 64010105 ffffffff 40
rule0目的:把所有3652E端口冒充网关的ARP报文禁掉,其中蓝色部分64010105是网关ip地址的16进制表示形式:100.1.1.5=64010105。
三、阻止仿冒他人IP的arp攻击
作为网关的设备有可能会出现arp错误表项,因此在网关设备上还需对仿冒他人IP的arp攻击报文进行过滤。
当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3652)的,这样3652上就会学习错误的arp,如下所示:
------ 错误 arp 表项-----
IP Address MAC Address VLAN ID Port Name Aging
100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20
100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20
PC-D的arp表项应该学习到端口e0/8上,而不应该学习到e0/2端口上。
①在3652上配置静态arp,可以防止该现象:arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
②同理,S3652E上也可以配置静态arp来防止设备学习到错误的arp表项。
③对于三层设备(3600系列),除了可以配置静态arp外,还可以配置IP+mac+port绑定,比如在3126C端口4上作如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4,则ip为100.1.1.4并且mac为000d-88f8-09fa的arp报文可以通过e0/4端口,仿冒其它设备arp报文无法通过,从而不会出现错误arp表项。
参考文献:
[1]计算机网络基础及应用 吴晓葵主编 高等教育出版社 2008
[2]计算机网络安全案例教程 陈昶 杨艳春主编 北京大学出版社.2008
[3]网络操作系统与配置管理 王达主编 电子工业出版社 2008
【关键词】arp病毒 仿冒网关 ACL访问控制列表
一、ARP病毒及其攻击介绍
ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。它经常造成我们企业网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等现象。
按照TCP/IP协议的原理,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
晋煤集团网络中,常见的ARP攻击有如下几种形式:
(一)仿冒网关
攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
(二)欺骗网关
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
(三)欺骗终端用户
攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
(四)“中间人”攻击
ARP “中间人”攻击,又称为ARP双向欺骗。例如,Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
(五)ARP报文泛洪攻击
恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
二.解决方案:
(一)阻止仿冒网关IP的arp攻击
1.二层交换机
3652是三层设备,其中ip:100.1.1.1是所有pc的网关,3652上的网关mac地址为000f-e200-3999。PC-B上装有arp攻击软件。现在需要对3126_A进行一些特殊配置,目的是过滤掉仿冒网关IP的arp报文。
对于二层交换机如3126c等支持ACL number为5000到5999的交换机,可以配置acl来进行报文过滤。
(1)全局配置deny 所有源IP是网关的arp报文(自定义规则)
ACL num 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
rule0目的:把整个3126C_A端口冒充网关的ARP报文禁掉,其中蓝色部分64010101是网关ip地址的16进制表示形式:100.1.1.1=64010101。
rule1目的:把上行口的网关ARP报文允许通过,蓝色部分为网关3652的mac地址000f-e200-3999。
注意配置Rule时的配置顺序,上述配置为先下发后生效的情况。
在S3126C-A系统视图下发acl规则:
[S3126C-A]packet-filter user-group 5000
这样只有3126C_A上连设备能够下发网关的ARP报文,其它pc就不能发送假冒网关的arp响应报文。
(二)三层交换机
对于三层设备,需要配置过滤源IP是网关的arp报文的acl规则,配置如下acl规则:
ACL num 5000
rule 0 deny 0806 ffff 24 64010105 ffffffff 40
rule0目的:把所有3652E端口冒充网关的ARP报文禁掉,其中蓝色部分64010105是网关ip地址的16进制表示形式:100.1.1.5=64010105。
三、阻止仿冒他人IP的arp攻击
作为网关的设备有可能会出现arp错误表项,因此在网关设备上还需对仿冒他人IP的arp攻击报文进行过滤。
当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3652)的,这样3652上就会学习错误的arp,如下所示:
------ 错误 arp 表项-----
IP Address MAC Address VLAN ID Port Name Aging
100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20
100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20
PC-D的arp表项应该学习到端口e0/8上,而不应该学习到e0/2端口上。
①在3652上配置静态arp,可以防止该现象:arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
②同理,S3652E上也可以配置静态arp来防止设备学习到错误的arp表项。
③对于三层设备(3600系列),除了可以配置静态arp外,还可以配置IP+mac+port绑定,比如在3126C端口4上作如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4,则ip为100.1.1.4并且mac为000d-88f8-09fa的arp报文可以通过e0/4端口,仿冒其它设备arp报文无法通过,从而不会出现错误arp表项。
参考文献:
[1]计算机网络基础及应用 吴晓葵主编 高等教育出版社 2008
[2]计算机网络安全案例教程 陈昶 杨艳春主编 北京大学出版社.2008
[3]网络操作系统与配置管理 王达主编 电子工业出版社 2008