局域网内arp攻击与防护技术研究

局域网内arp攻击与防护技术研究内容摘要：

对目标造成麻烦，7 使某些服务被暂停甚至 无响应 ，都属于拒绝服务攻击。 “ 攻击者 ” 进行拒绝服务攻击，实际上让 服务器 实现两种效果：一是迫使服务器的 缓冲区 满，不接收新的请求；二是使用 IP 欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。 ARP 溢出攻击：令网络设备的协议栈受到破坏， 究其原因是因为这是由于网络协议本身的安全缺陷造成的。 ARP 泛洪攻击不是以盗取用户数据为目的，它是以破坏网络为目的，属于损人不利己的行为。 ARP 扫描攻击 攻击 者 向局域网内的所有主机发送 ARP 请求，从而获得正在运行主机的 IP 和MAC 地址映射。 攻击 者 通过 ARP 扫描获得所要攻击主机的 地址信息， 从而 利用这些地址伪造针对性报文进行 网络监听 和 盗取用户数据 等 隐蔽式攻击。 IP 地址冲突 ARP 攻击者 会做出 局域网 内 有 IP 地址冲突 的假象。 因为这个不符合 唯一性 的 要求，受害 者 主机会 不断向被攻击主机 弹出警告。 大量的攻击数据包能令受害者耗费大量的 网络和 系统资源。 事例：某公司安装了防护软件，遇到 ARP 攻击会弹出报警。 一次某人将其主机的IP 地址更改成了以 .254 结尾。 结果公司内所有的电脑都弹出了被 ARP 攻击的警告。 经分析可能是由于主机发现局域网上有两台网关，将其视为 ARP 攻击而作了报警。 分为单播型和广播型的 IP 地址冲突。 虚拟主机攻击 攻击者通过在网络内构建虚拟网卡，将自己虚拟成网络内的一台主机，拥有虚拟的物理地址和 IP 地址，会对应其他主机发送过来的 ARP 请求返回一个包含虚拟 MAC 地址和 IP 地址的 ARP 响应，并且自己也会发送 ARP 请求。 虚拟主机攻击会占用局域网内的 IP 地址资源，使得正常运行的主机发生 IP 地址冲突，并且大量的虚拟主机攻击会使局域网内的主机无法正常获得 IP 地址。 5 ARP 常用防护措施 要做到 ARP 的防护，需要从上面说到的三 个相关的设备 (称作网元 )开始研究。 8 图 51 网元设备 主机端 手动绑定 ARP 表 在本机的命令提示符中，首先将原有的 ARP 缓存清除： arp –d 图 52 清空 ARP 表 (清空后查看，只剩下网关的映射 ) 接着手动添加静态的 ARP 映射： arp s 00aa0062c608 9 图 53 添加静态 ARP 表项 手动绑定静态的 ARP 表，最为节省成本，但是配置麻烦，因为主机可能需要通信的目标很多，不可能每一个通信过的主机都要绑定。 而 且容易失效，若局域网使用 DHCP动态分配 IP 地址，那么每次断开网线或者重启电脑，就需要重新绑定。 在范围上，我们只能做到本机上的 ARP 防御，如果网关遭到欺骗就无能为力了，所以需要其他方法的结合来完善。 安装 ARP 防护软件 这里简单的说，就是每台主机不停的发送正确的 ARP 广播，来告诉其他主机自己的 IP 和 MAC 地址的绑定关系。 也有不少缺点，若攻击的 ARP 报文频率上升，错误的不断覆盖正确的映射，大量消耗带宽，主机 ARP 表更新频繁，容易掉线。 一般来说， 一台计算机安装比较好的防火墙软件后 ， 可以显著的 防 范这台计算机被ARP 欺骗，并能检测出感染主机的 MAC 地址 [4]。 如果防火墙软件被安装在感染主机上时，它可以 阻止感染主机对外发起 ARP 攻击。 但是防火墙软件不是杀毒软件，不具备查杀 ARP 病毒的能力。 但是我们可以 手动利用软件 查看 ARP 病毒的运行的进程，将其在硬盘上定位，找到并将其杀查。 10 图 54 ARP 防火墙 查看到发送攻击数据的进程的 ID 号，双击此数据即可查看进程的详细信息： 图 55 查看病毒路径 找到进程路径之后，选择清除动作，终止进程，删除病毒文件。 交换机端 ARP 防御 在交换机上绑定各个主机正确的 IP 和 MAC 地址，之后收到 ARP 报文时，会对其进行检查，若符合则转发，若不符合则丢弃。 我们这里要做的是如何建立真实的 ARP表。 交换机上手动绑定 在端口上设置安全地址和 ARP CHECK。 这种方法成本低，但是显然工作量大而且不方便维护，同时无法适应动态环境，如 DHCP。 cisco(config)arp arpa 动态 ARP 检查 (DAI) Dynamic ARP Inspection 配置 DAI 之后，交换机就会跟 DHCP 进行互动， DHCP 的详细信息会经过交换机，交换机获得其 IP 和 MAC 地址的映射。 也就是说，交换机可以自动化的进行绑定，适用11 于动态环境。 具体配置命令如下： 步骤一： 配置 DHCP snooping con t ip dhcp snooping //开启 dhcp snooping int f 0/1 ip dhcp snooping trust //设置上连口为信任端口（注意：缺省所有端口都是不信任端口）。 只有此接口连接的服务器发 出的 DHCP 响应报 文 才能够被转发。 exit int f 0/2 ip verify source portsecurity //配置 dhcp snooping 地址绑定 exit int f 0/3 ip verify source portsecurity //配置 dhcp snooping 地址绑定 步骤二： 配置 DAI ip arp inspection //启用全局的 DAI ip arp inspection vlan 2 //启用 vlan2 的 DAI 报文检查功能 ip arp inspection vlan 3 //启用 vlan3 的 DAI 报文检查功能 交换机手动绑定网关 原理同上，将网关的 IP 和 MAC 地址绑定，若攻击者发送一个虚假 ARP，交换机对照自己的表项，发现不同则将其丢弃。 用于防冒充网关攻击 网关端 ARP 防御 网关绑定主机的 ARP 表 现在有很多路由器提供 IP /MAC 绑定功能，你可以将内网的电脑的 IP 与其 MAC地址绑定在一起，使路由器对没有绑定的 IP /MAC 进行分析，当内网有 ARP 欺骗攻击的时候，其伪造 ARP 报文向路由器发送消息，这时候由于伪造的 IP/MAC 映射关系并不在路由器的 IP /MAC 绑定列表里面，路由器会拒绝这类消息，将其丢弃。 缺点是工作量大维护不方便，只能防欺骗网关攻击，不适应 DHCP 环境。 使用具有 ARP 防护功能的路由器 这类路由器中提到的 ARP防护功能，其实它的原理就是定期的发送自己正确的 ARP 信息。 以普通小型的，图形界面配置的路由器为例，首先打开浏览器输入路由器 IP 地12 址，进入登陆管理页面，在管理页面的选项栏中选择 “ 防火墙配置 ” —— “ 防 止 ARP病毒攻击 ” ，再根据 具体 网络情况输入防止 ARP 病毒攻击每秒发送的帧。 设置 ARP 服务器 公司可在局域网内设置一台保存着局域网内所有可信任范围内主机的 MAC 地址和IP 地址的映射关系的机器，作为 ARP 服务器。 局域网内有主机请求查询 ARP，这台服务器通过查询存在自己的 ARP 缓存的静态记录，然后响应这些请求。 我们还可以设置局域网内部其他主机只使用来自 ARP 服务器的 ARP 响应。 ARP 泛洪攻击的防御 利用交换机的 ARP 流量和端口的限速功能。 6 ARP 攻击和防御演示 图 61 实验拓 扑图 ARP 欺骗主机 攻击软件使用 ，抓包软件使用的是 Wireshark。 我们想通过更改所有机器到网关的 MAC 地址，来实现攻击。 使用我们自己定义的13 错误的广播报文，来广播错误的网关 MAC 地址。 为了实验方便，我们将虚拟机 和路由器接口 的 MAC 地址手动更改为容易识别的地址，更改方式如下： 图 62 路由器修改接口 MAC 地址 图 63 主机 网卡地址选项 在配置 —— 高级选项卡中，找到网络地址项，设定值。 之后可以在命令提示符中查看 MAC 地址是否变化。 图 64 查看 MAC 地址 打开攻击软件 ，并扫描局域网 ： 14 图 65 WinArpAttacker 界面 首先我现在的网络状态是正常的。 图 66 查看 ARP 项。