IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁(yè)網(wǎng)絡(luò)安全安全防護(hù) → 有效的阻擋ARP“中間人“攻擊

有效的阻擋ARP“中間人“攻擊

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

??? 電信級(jí)IP技術(shù)的發(fā)展成熟使得話音、數(shù)據(jù)、視頻和移動(dòng)等應(yīng)用的融合成為必然,統(tǒng)一通訊已成為發(fā)展的趨勢(shì)。以IP技術(shù)為核心進(jìn)行網(wǎng)絡(luò)改造并承載多種新型業(yè)務(wù)以提升競(jìng)爭(zhēng)力,是固網(wǎng)運(yùn)營(yíng)商的發(fā)展方向。而以太網(wǎng)技術(shù)由于標(biāo)準(zhǔn)化程度高、應(yīng)用廣泛、帶寬提供能力強(qiáng)、擴(kuò)展性良好、技術(shù)成熟,設(shè)備性價(jià)比高,對(duì)IP的良好支持,成為城域網(wǎng)和接入網(wǎng)的發(fā)展趨勢(shì)。但是,由于以太網(wǎng)技術(shù)的開放性和其應(yīng)用廣泛,也帶來了一些安全上的問題。特別是當(dāng)網(wǎng)絡(luò)由原有的單業(yè)務(wù)承載轉(zhuǎn)為多業(yè)務(wù)承載時(shí),安全問題帶來的影響愈發(fā)明顯,已經(jīng)逐步影響到業(yè)務(wù)的開展和部署。

??? 目前接入網(wǎng)常見的攻擊包括ARP"中間人"攻擊、IP/MAC欺騙攻擊、DHCP/ARP報(bào)文泛洪攻擊等。

??? 網(wǎng)絡(luò)攻擊

??? ARP"中間人"攻擊

??? 按照ARP協(xié)議的設(shè)計(jì),一個(gè)主機(jī)即使收到的ARP應(yīng)答并非自身請(qǐng)求得到的,也會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信,但也為"ARP欺騙"創(chuàng)造了條件。

??? 如下圖示,Host A和Host C通過Switch進(jìn)行通信。此時(shí),如果有黑客(Host B)想探聽Host A和Host C之間的通信,它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文,使Host A和Host C用MAC_B更新自身ARP映射表中與對(duì)方IP地址相應(yīng)的表項(xiàng)。此后,Host A 和Host C之間看似"直接"的通信,實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的,即Host B擔(dān)當(dāng)了"中間人"的角色,可以對(duì)信息進(jìn)行了竊取和篡改。這種攻擊方式就稱作"中間人(Man-In-The-Middle)攻擊"。

IP/MAC欺騙攻擊

IP/MAC欺騙攻擊


????
??? 常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙,黑客可以偽造報(bào)文的源地址進(jìn)行攻擊,其目的一般為偽造身份或者獲取針對(duì)IP/MAC的特權(quán),另外此方法也被應(yīng)用于DoS( Deny of Service,拒絕服務(wù))攻擊,嚴(yán)重的危害了網(wǎng)絡(luò)安全。

??? 為了防止IP/MAC欺騙攻擊,H3C低端以太網(wǎng)交換機(jī)提供了IP過濾特性,開啟該功能后,交換機(jī)可以強(qiáng)制經(jīng)過某一端口流量的源地址符合動(dòng)態(tài)獲取的DHCP Snooping表項(xiàng)或靜態(tài)配置的IP與MAC綁定表項(xiàng)的記錄,防止攻擊者通過偽造源地址來實(shí)施攻擊。此外,該功能也可以防止用戶隨便指定IP地址,造成的網(wǎng)絡(luò)地址沖突等現(xiàn)象。

??? DHCP報(bào)文泛洪攻擊

??? DHCP報(bào)文泛洪攻擊是指:惡意用戶利用工具偽造大量DHCP報(bào)文發(fā)送到服務(wù)器,一方面惡意耗盡了IP資源,使得合法用戶無法獲得IP資源;另一方面,如果交換機(jī)上開啟了DHCP Snooping功能,會(huì)將接收到的DHCP報(bào)文上送到CPU。因此大量的DHCP報(bào)文攻擊設(shè)備會(huì)使DHCP服務(wù)器高負(fù)荷運(yùn)行,甚至?xí)?dǎo)致設(shè)備癱瘓。

??? ARP報(bào)文泛洪攻擊

??? ARP報(bào)文泛洪類似DHCP泛洪,同樣是惡意用戶發(fā)出大量的ARP報(bào)文,造成L3設(shè)備的ARP表項(xiàng)溢出,影響正常用戶的轉(zhuǎn)發(fā)。

??? 安全防范

??? 對(duì)于上述的幾種攻擊手段,H3C接入網(wǎng)解決方案在用戶接入側(cè)利用DHCP SNOOPING,提供相應(yīng)的防范手段。

??? DHCP Snooping表項(xiàng)的建立

??? 開啟DHCP Snooping功能后,H3C接入交換機(jī)根據(jù)設(shè)備的不同特點(diǎn)可以分別采取監(jiān)聽DHCP-REQUEST廣播報(bào)文和DHCP-ACK單播報(bào)文的方法來記錄用戶獲取的IP地址等信息。目前,交換機(jī)的DHCP Snooping表項(xiàng)主要記錄的信息包括:分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息。

??? ARP入侵檢測(cè)功能

??? ARP入侵檢測(cè)功能工作機(jī)制

??? 為了防止ARP中間人攻擊,接入交換機(jī)支持將收到的ARP(請(qǐng)求與回應(yīng))報(bào)文重定向到CPU,結(jié)合DHCP Snooping安全特性來判斷ARP報(bào)文的合法性并進(jìn)行處理,具體如下。

??? 當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配,且ARP報(bào)文的入端口及其所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)一致,則為合法ARP報(bào)文,進(jìn)行轉(zhuǎn)發(fā)處理。

??? 當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不匹配,或ARP報(bào)文的入端口,入端口所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不一致,則為非法ARP報(bào)文,直接丟棄,并通過Debug打印出丟棄信息提示用戶。

ARP入侵檢測(cè)功能示意圖
ARP入侵檢測(cè)功能示意圖

????
??? 手工配置IP靜態(tài)綁定表項(xiàng)

??? DHCP Snooping表只記錄了通過DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息,如果用戶手工配置了固定IP地址,其IP地址、MAC地址等信息將不會(huì)被DHCP Snooping表記錄,因此不能通過基于DHCP Snooping表項(xiàng)的ARP入侵檢測(cè),導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。

??? 為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡(luò),交換機(jī)支持手工配置IP靜態(tài)綁定表的表項(xiàng),即:用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。以便正常處理該用戶的報(bào)文。

??? ARP信任端口設(shè)置

??? 由于實(shí)際組網(wǎng)中,交換機(jī)的上行口會(huì)接收其他設(shè)備的請(qǐng)求和應(yīng)答的ARP報(bào)文,這些ARP報(bào)文的源IP地址和源MAC地址并沒有在DHCP Snooping表項(xiàng)或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請(qǐng)求和應(yīng)答報(bào)文能夠通過ARP入侵檢測(cè)問題,交換機(jī)支持通過配置ARP信任端口,靈活控制ARP報(bào)文檢測(cè)功能。對(duì)于來自信任端口的所有ARP報(bào)文不進(jìn)行檢測(cè),對(duì)其它端口的ARP報(bào)文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測(cè)。

??? IP過濾功能

??? IP過濾功能是指交換機(jī)可以通過DHCP Snooping表項(xiàng)和手工配置的IP靜態(tài)綁定表,對(duì)非法IP報(bào)文進(jìn)行過濾的功能。

??? 在端口上開啟該功能后,交換機(jī)首先下發(fā)ACL規(guī)則,丟棄除DHCP報(bào)文以外的所有IP報(bào)文。(同時(shí),需要考慮DHCP Snooping信任端口功能是否啟動(dòng)。如果沒有啟動(dòng),則丟棄DHCP應(yīng)答報(bào)文,否則,允許DHCP應(yīng)答報(bào)文通過。)接著,下發(fā)ACL規(guī)則,允許源IP地址為DHCP Snooping表項(xiàng)或已經(jīng)配置的IP靜態(tài)綁定表項(xiàng)中的IP地址的報(bào)文通過。

??? 交換機(jī)對(duì)IP報(bào)文有兩種過濾方式:

??? 根據(jù)報(bào)文中的源IP地址進(jìn)行過濾。如果報(bào)文的源IP地址、接收?qǐng)?bào)文的交換機(jī)端口號(hào)與DHCP Snooping動(dòng)態(tài)表項(xiàng)或手工配置的IP靜態(tài)綁定表項(xiàng)一致,則認(rèn)為該報(bào)文是合法的報(bào)文,允許其通過;否則認(rèn)為是非法報(bào)文,直接丟棄。

??? 根據(jù)報(bào)文中的源IP地址和源MAC地址進(jìn)行過濾。如果報(bào)文的源IP地址、源MAC地址、接收?qǐng)?bào)文的交換機(jī)端口號(hào),與DHCP Snooping動(dòng)態(tài)表項(xiàng)或手工配置的IP靜態(tài)綁定表項(xiàng)一致,則認(rèn)為該報(bào)文是合法的報(bào)文,允許其通過;否則認(rèn)為是非法報(bào)文,直接丟棄。

??? DHCP/ARP報(bào)文限速功能

??? 為了防止DHCP報(bào)文泛洪攻擊,接入交換機(jī)支持配置端口上對(duì)DHCP/ARP報(bào)文的限速功能。開啟該功能后,交換機(jī)對(duì)每秒內(nèi)該端口接收的DHCP/ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì),如果每秒收到的報(bào)文數(shù)量超過設(shè)定值,則認(rèn)為該端口處于超速狀態(tài)(即受到攻擊)。此時(shí),交換機(jī)將關(guān)閉該端口,使其不再接收任何報(bào)文,從而避免設(shè)備受到大量報(bào)文攻擊而癱瘓。

??? 同時(shí),設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能,對(duì)于配置了報(bào)文限速功能的端口,在其因超速而被交換機(jī)關(guān)閉后,經(jīng)過一段時(shí)間可以自動(dòng)恢復(fù)為開啟狀態(tài)。

??? 用戶隔離

??? 運(yùn)營(yíng)商網(wǎng)絡(luò)中,通過用戶隔離技術(shù)可以有效的防范用戶間的相互影響,同樣也可以避免ARP"中間人"攻擊、偽DHCP服務(wù)器攻擊等。

??? 通過上述幾種技術(shù)的配套使用,可以有效的降低在接入網(wǎng)中常見的安全隱患,保障運(yùn)營(yíng)商業(yè)務(wù)的正常運(yùn)行。

關(guān)鍵詞標(biāo)簽:ARP攻擊

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關(guān)下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置