ARP攻击与防范

ARP攻击与防范

刘丽华

(西安邮电学院陕西西安

710000)

【摘要】本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止局域网中常见的“仿冒网关”、“欺骗网关”、欺骗终端用户泛洪等攻击形式同时详细分析了不同攻击方式相应的解决方案“”、ARP。,。

关键词】【ARP攻击;MAC;DHCPSnooping;交换机

【Abstract】ThispaperdescribeshowtouseDHCPmonitoringmodeofEthernetswitchtopreventattack-ARPfunction,topreventtheLANincommon\"forginggateway\\"deceivingthegateway\\"deceivingtheend-user\ARP-floodandotheroffensiveforms.Atthesametime,adetailedanalysispresentedaboutdifferentsolutionsofARP-attacks.

【Keywords】ARPattackMAC;DHCPSnooping;Switch

1.引言

近来,许多局域网网络都出现了ARP攻击现象,严重者甚至造成大面积网络不能正常访问,给网络使用者带来了极大的不便,本

导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。

4.ARP攻击防御解决方案

根据ARP攻击的特点,本文提出了“全面防御,模块定制”的ARP

文作者就深受其害。传统的ARP防攻击解决方法是作MAC地址绑定攻击防御理念,并给出了两种解决方案。和在客户端上安装ARP防攻击软件,但是其使用具有很多的局限性。1.DHCP监控模式下的ARP攻击防御解决方案基于多年的局域网维护经验,本文详细地分析了常见的ARP攻击方这种方式适合动态分配IP地址的网络场景,需要接入交换机支式,进而就每种攻击从网络设备的角度(即为交换机)给出了相应的解决方案。实践证明,本文提出的解决方案很好地解决了ARP攻击。

持DHCPSnooping功能。通过全网部署,可以有效的防御“仿冒网

关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。

2.认证方式下的ARP攻击防御解决方案

这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景,且只能防御“仿冒网关”的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过认证协议(802.1x)登录网络,认证服务器会识别客户端,并下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”攻击。详见表1-1。

表1—1

攻击方式

动态获取IP地址的用户进行\"仿冒网关\"、\"欺骗网关\"、\"欺骗终端用户\"、\"

ARP中间人攻击\"手工配置IP地址的用户进行\"仿冒网关\"、\"欺骗网关\"、\"欺骗终端用户\"、\"

ARP中间人攻击\"

ARP泛洪攻击

动态和手工配置IP地址的用户进行\"

仿冒网关\"攻击

2.ARP协议基本原理

ARP(AddressResolutionProtocol,地址解析协议),主要用于从IP地址到以太网MAC地址的解析,建立一个ARP转发表项。在以太网中,数据的最终转发是依托于ARP表项来进行的,可见ARP表项是以太网转发的基石,如果ARP的学习过程发生问题,则会直接导致以太网数据转发的异常。

一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。

3.常见的ARP攻击的形式

(1)仿冒网关

攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问。

(2)欺骗网关

攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问。

(3)欺骗终端用户

攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。

(4)“中间人”攻击

ARP“中间人”攻击,又称为ARP双向欺骗。如HostA和HostC通过Switch进行通信。此时,如果有恶意攻击者(HostB)想探听HostA和HostC之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使HostA和HostC用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,HostA和HostC之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即HostB担当了中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称“作“中间人(Man-In-The-Middle)攻击”。

(5)ARP报文泛洪攻击

恶意用户利用工具构造大量ARP报文发往交换机的某一端口,

常见网络攻击和防范对照表

防御方法

配置DHCPSnooping、ARP入侵检测

功能配置IP静态绑定表项、ARP入侵检测

功能

配置ARP报文限速功能

配置认证模式的ARP攻击防御解决方案(RADIUS服务器下发网关配置功

能)

4.1DHCPSnooping功能

DHCPSnooping是运行在二层接入设备上的一种DHCP安全特性,其工作原理如下:

首先,通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系;其次,通过将与合法DHCP服务器相连的端口设置为DHCPSnooping信任端口,保证客户端从合法的服务器获取IP地址。

其中,信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址;不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。

4.2IP静态绑定功能

DHCPSnooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCPSnooping表记录。因此,需要在交换机手工配置IP静态绑定表的表项,实现用户的IP地址、MAC地址及接入交换机连接该用户的端口之间的绑定关系。这样,该固定用户的报文就不会被ARP入侵检测功能过滤。

(下转第63页)

78

科技信息○IT技术论坛○SCIENCE&TECHNOLOGYINFORMATION2008年第26期

当视音频不同步时,又分为两种情况:

情况1,NT>NC,此时视频落后于音频播放,考虑到视频播放的连续性,不主动丢弃视频帧,以免引起图像跳跃感,因此应提高视频播放速度,以使NC达到NT,算法首先计算同步调整期间的视频播放帧频率

fT-NCm=

Ntn-tT

其中tT=TB+1000f×NT-NC

s

然后按照此帧频率播放下一视频帧至NT后一视频帧,由此实现视音频同步。

情况2,NT图1-2两种视频调整方法示意图

●

(上接第78页)4.3ARP入侵检测功能

部分厂商的以太网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCPSnooping安全特性来判断ARP报文的合

法性并进行处理,具体如下。

●当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCPSnooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCPSnooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。

●当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCPSnooping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCPSnooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃。4.4ARP报文限速功能

开启交换机某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量

ARP报文攻击设备。

同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一

段时间可以自动恢复为开启状态。

4.5RADIUS服务器下发网关配置功能

3.3实验结果及数据分析

本算法应用于系统中时,经过反复试验,最后采取以下的参数设置,达到了最佳效果。音频帧大小为10毫秒,视频图像格式是352×288的CIF格式,正常播放帧速为15帧/秒,同步调整间隔na等于3。实验中对接收端接收到的具有不同σav值的视音频数据进行同步调整,调整前后播放端视音频同步情况列于表中。

由表可看出,对接收到均方根误差σav=116.31的视音频码流,进行同步调整后同步比例由调整前的23.06%提高到96.61%,而失步比例由调整前的7.42%降到了0.09%,从其余σav值的同步实验结果也可以得到同样的结论。

表1-1

同步算法实验数据比较

σav(m

s)115.26106.32172.68.35116.31306.32同步

5.8810.586.7221.1923.060.12同步调整前

临界82.7072.3228.1669.8569.520.65失步11.4217.0565.128.967.4299.23同步

98.3496.6184.49.1696.6195.28同步调整后

临界1.663.3014.460.833.304.60失步

0.00

0.09

1.06

0.01

0.09

0.12

4.小结

本文重点研究了对接收端回放效果有着重大影响的视音频同步技术,设计出媒体间同步算法。这两项工作解决了视音频传输时对QoS有重大影响的两大难题,为系统运行质量提供了保证。科●

【参考文献】

[1]沈少华.H.26视频压缩技术在远程视频会议系统中的应用[J].中国多媒体通

信,2006(12):46-51.

[2]许林.基于FPGA的视频数据解析及回放技术[J].电讯技术,2005(5):26-30.[3]隆益民.远程视频会议系统的构建[J].网络安全技术与应用,2006(11):34-39.

作者简介:潘燕燕(1982.10—),福建交通职业技术学院教师,工程硕士。

[责任编辑:韩铭]

RADIUS(RemoteAuthenticationDial-InUserService,远程认证拨号用户服务),是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性的网络中。作为网络中的业务管理核心,可以与以太网交换机等网络产品共同组网,完成用户的认证、授权、计费和权限管理。

认证模式的ARP攻击防御解决方案,不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过802.1x认证登录网络,并在RADIUS服务器上进行用户网关的设置,RADIUS服务器会通过接入交换机,下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”攻击。

5.结束语

本文简单介绍了ARP协议的基本原理,进而详细介绍了ARP攻击的几种形式,并从局域网网络硬件设备的角度,提出了“全面防御,模块定制”的ARP攻击防御理念。实践证明,该解决方案可以有效地降低ARP攻击对局域网络带来的影响。科●

作者简介:刘丽华(1979—),女,陕西乾县人,西安邮电学院信息与管理工程系教师。研究方向:计算机网络、信息经济。

[责任编辑:张慧]

63