ARP欺騙攻擊防護

一、什么是ARP？

地址解析協(xié)議（Address Resolution Protocol， ARP）是在僅知道主機的IP地址時確定其物理地址的一種協(xié)議。 因IPv4和以太網(wǎng)的廣泛應用， 其主要用作將IP地址翻譯為以太網(wǎng)的MAC地址， 但其也能在ATM和FDDI IP網(wǎng)絡中使用。 從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。 ARP具體說來就是將網(wǎng)絡層（IP層， 也就是相當于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層， 也就是相當于OSI的第二層）的MAC地址。

假設:

計算機A的IP為192.168.1.1,MAC地址為00-11-22-33-44-01;

計算機B的IP為192.168.1.2,MAC地址為00-11-22-33-44-02;

ARP工作原理如下:

在TCP/IP協(xié)議中,A給B發(fā)送IP包,在包頭中需要填寫B(tài)的IP為目標地址,但這個IP包在以太網(wǎng)上傳輸?shù)臅r候,還需要進行一次以太包的封裝,在這個以太包中,目標地址就是B的MAC地址.

計算機A是如何得知B的MAC地址的呢？解決問題的關鍵就在于ARP協(xié)議。

在A不知道B的MAC地址的情況下,A就廣播一個ARP請求包,請求包中填有B的IP(192.168.1.2),以太網(wǎng)中的所有計算機都會接收這個請求,而正常的情況下只有B會給出ARP應答包,包中就填充上了B的MAC地址,并回復給A。

A得到ARP應答后,將B的MAC地址放入本機緩存,便于下次使用。

本機MAC緩存是有生存期的,生存期結束后,將再次重復上面的過程。

二、誰能根本防護ARP欺騙攻擊？

ARP欺騙/攻擊反復襲擊， 是近來網(wǎng)絡行業(yè)普遍了解的現(xiàn)象， 隨著ARP攻擊的不斷升級， 不同的解決方案在市場上流傳。 但是最近發(fā)現(xiàn)， 有一些方案， 從短期看來似乎有效， 實際上對于真正的ARP攻擊發(fā)揮不了作用， 也降低局域網(wǎng)工作效率。 我公司的技術服務人員接到很多用戶反應說有些ARP防制方法很容易操作和實施， 但經(jīng)過實際深入了解后， 發(fā)現(xiàn)長期效果都不大。

對于ARP攻擊防制， 最好的方法是先踏踏實實把基本防制工作做好， 才是根本解決的方法。 由于市場上的解決方式眾多， 我們無法一一加以說明優(yōu)劣， 因此我們僅從ARP攻擊防制的基本思想來進行解釋。 我們認為您如果能了解這個基本思想， 就能自行判斷何種防制方式有效， 也能了解為何雙向綁定是一個較全面又持久的解決方式。

I、不堅定的ARP協(xié)議

一般計算機中的原始的ARP協(xié)議， 很像一個思想不堅定， 容易被其它人影響的人， ARP欺騙/攻擊就是利用這個特性， 誤導計算機作出錯誤的行為。 ARP攻擊的原理， 互聯(lián)網(wǎng)上很容易找到， 這里不再覆述。 原始的ARP協(xié)議運作， 會附在局域網(wǎng)接收的廣播包或是ARP詢問包， 無條件覆蓋本機緩存中的ARP/MAC對照表。 這個特性好比一個意志不堅定的人， 聽了每一個人和他說話都信以為真， 并立刻以最新聽到的信息作決定。

就像一個沒有計劃的快遞員， 想要送信給"張三"， 只在馬路上問"張三住那兒？"， 并投遞給最近和他說"我就是！"或"張三住那間！"， 來決定如何投遞一樣。 在一個人人誠實的地方， 快遞員的工作還是能切實地進行；但若是旁人看快遞物品值錢， 想要欺騙取得的話， 快遞員這種工作方式就會帶來混亂了。

我們再回來看ARP攻擊和這個意志不堅定快遞員的關系。 常見ARP攻擊對象有兩種， 一是網(wǎng)絡網(wǎng)關， 也就是路由器， 二是局域網(wǎng)上的計算機， 也就是一般用戶。 攻擊網(wǎng)絡網(wǎng)關就好比發(fā)送錯誤的地址信息給快遞員， 讓快遞員整個工作大亂， 所有信件無法正常送達；而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員， 讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機。

由于一般的計算機及路由器的ARP協(xié)議的意志都不堅定， 因此只要有惡意計算機在局域網(wǎng)持續(xù)發(fā)出錯誤的ARP訊息， 就會讓計算機及路由器信以為真， 作出錯誤的傳送網(wǎng)絡包動作。 一般的ARP就是以這樣的方式， 造成網(wǎng)絡運作不正常， 達到盜取用戶密碼或破壞網(wǎng)絡運作的目的。 針對ARP攻擊的防制， 常見的方法， 可以分為以下三種作法：

• 1、利用ARP echo傳送正確的ARP訊息：通過頻繁地提醒正確的ARP對照表， 來達到防制的效果。

   

• 2、利用綁定方式， 固定ARP對照表不受外來影響：通過固定正確的ARP對照表， 來達到防制的效果。

   

• 3、舍棄ARP協(xié)議， 采用其它尋址協(xié)議：不采用ARP作為傳送的機制， 而另行使用其它協(xié)議例如PPPoE方式傳送。

以上三種方法中， 前兩種方法較為常見， 第三種方法由于變動較大， 適用于技術能力較佳的應用。 下面針對前兩種方法加以說明。

PK 賽之"ARP echo"

ARP echo是最早開發(fā)出來的ARP攻擊解決方案， 但隨著ARP攻擊的發(fā)展， 漸漸失去它的效果。 現(xiàn)在， 這個方法不但面對攻擊沒有防制效果， 還會降低局域網(wǎng)運作的效能， 但是很多用戶仍然以這個方法來進行防制。 以前面介紹的思想不堅定的快遞員的例子來說， ARP echo的作法， 等于是時時用電話提醒快遞員正確的發(fā)送對象及地址， 減低他被鄰近的各種信息干擾的情況。

但是這種作法， 明顯有幾個問題：第一， 即使時時提醒， 但由于快遞員意志不堅定， 仍會有部份的信件因為要發(fā)出時剛好收到錯誤的信息， 以錯誤的方式送出去；這種情況如果是錯誤的信息頻率特高， 例如有一個人時時在快遞員身邊連續(xù)提供信息， 即使打電話提醒也立刻被覆蓋， 效果就不好；第二， 由于必須時時提醒， 而且為了保證提醒的效果好， 還要加大提醒的間隔時間， 以防止被覆蓋， 就好比快遞員一直忙于接聽總部打來的電話， 根本就沒有時間可以發(fā)送信件， 耽誤了正事；第三， 還要專門指派一位人時時打電話給快遞員提醒， 等于要多派一個人手負責， 而且持續(xù)地提醒， 這個人的工作也很繁重。

以ARP echo方式對應ARP攻擊， 也會發(fā)生相似的情況。 第一， 面對高頻率的新式ARP攻擊， ARP echo發(fā)揮不了效果， 掉線斷網(wǎng)的情況仍舊會發(fā)生。 ARP echo的方式防制的對早期以盜寶為目的的攻擊軟件有效果， 但碰到最近以攻擊為手段的攻擊軟件則公認是沒有效果的。 第二， ARP echo手段必須在局域網(wǎng)上持續(xù)發(fā)出廣播網(wǎng)絡包， 占用局域網(wǎng)帶寬， 使得局域網(wǎng)工作的能力降低， 整個局域網(wǎng)的計算機及交換機時時都在處理ARP echo廣播包， 還沒受到攻擊局域網(wǎng)就開始卡了。 第三， 必須在局域網(wǎng)有一臺負責負責發(fā)ARP echo廣播包的設備， 不管是路由器、服務器或是計算機， 由于發(fā)包是以一秒數(shù)以百計的方式來發(fā)送， 對該設備都是很大的負擔。

圖一：ARP攻擊防制方法-----"ARP echo"

常見的ARP echo處理手法有兩種， 一種是由路由器持續(xù)發(fā)送， 另一則是在計算機或服務器安裝軟件發(fā)送。 路由器持續(xù)發(fā)送的缺點是路由器原本的工作就很忙， 因此無法發(fā)送高頻率的廣播包， 被覆蓋掉的機會很大， 因此面對新型的ARP攻擊防制效果小。 因此， 有些解決方法， 就是拿ARP攻擊的軟件來用， 只是持續(xù)發(fā)出正確的網(wǎng)關、服務器對照表， 安裝在服務器或是計算機上， 由于服務器或是計算機運算能力較強， 可以同一時間內發(fā)出更多廣播包， 效果較大， 但是這種作法一則大幅影響局域網(wǎng)工作， 因為整個局域網(wǎng)都被廣播包占據(jù)， 另則攻擊軟件通常會設定更高頻率的廣播包， 誤導局域網(wǎng)計算機， 效果仍然有限。

此外， ARP echo一般是發(fā)送網(wǎng)關及MAC的對照信息， 對于防止局域網(wǎng)計算機被騙有效果， 對于路由器沒有效果， 仍需作綁定的動作才可。

PK 賽之"ARP綁定"

ARP echo的作法是不斷提醒計算機正確的ARP對照表， ARP綁定則是針對ARP協(xié)議"思想不堅定"的基本問題來加以解決。 ARP綁定的作法， 等于是從基本上給這個快遞員培訓， 讓他把正確的人名及地址記下來， 再也不受其它人的信息干擾。 由于快遞員腦中記住了這個對照表， 因此完全不會受到有心人士的干擾， 能有效地完成工作。 在這種情況下， 無論如何都可以防止因受到攻擊而掉線的情況發(fā)生。

但是ARP綁定并不是萬靈藥， 還需要作的好才有完全的效果。 第一， 即使這個快遞員思想正確， 不受影響， 但是攻擊者的網(wǎng)絡包還是會小幅影響局域網(wǎng)部份運作， 網(wǎng)管必須通過網(wǎng)絡監(jiān)控或掃瞄的方法， 找出攻擊者加以去除；第二， 必須作雙向綁定才有完全的效果， 只作路由器端綁定效果有限， 一般計算機仍會被欺騙， 而發(fā)生掉包或掉線的情況。

雙向綁定的解決方法， 最為網(wǎng)管不喜歡的就是必須一臺一臺加以綁定， 增加工作量。 但是從以上的說明可知道， 只有雙向綁定才能有效果地解決ARP攻擊的問題， 而不會發(fā)生防制效果不佳、局域網(wǎng)效率受影響、影響路由器效能或影響服務器效能的缺點。 也就是說雙向綁定是個硬工夫， 可以較全面性地解決現(xiàn)在及未來ARP攻擊的問題， 網(wǎng)管為了一時的省事， 而采取片面的ARP echo解決方式， 未來還是要回來解決這個問題。

圖二：ARP攻擊防制方法-----"ARP雙向綁定"

II、現(xiàn)階段唯一解決方案----雙向綁定

以上以思想不堅定的快遞員情況， 說明了常見的ARP攻擊防制方法。 ARP攻擊利用的就是ARP協(xié)議的意志不堅， 只有以培訓的方式讓ARP協(xié)議的意志堅定， 明白正確的工作方法， 才能從根本解決問題。 只是依賴頻繁的提醒快遞員正確的作事方法， 但是沒有能從快遞員意志不堅的特點著手， 就好像只管不教， 最終大家都很累， 但是效果仍有限。

經(jīng)我公司技術團隊仔細研究， 建議：面對這種新興攻擊， 取巧用省事的方式準備， 最后的結果可能是費事又不管用， 必須重新來過。 ARP雙向綁定雖然對管理帶來一定的工作量， 但是其效果確是從根本上解決了問題。

三、網(wǎng)域ARP欺騙攻擊防護專區(qū)實現(xiàn)方式介紹：

從影響網(wǎng)絡連接通暢的方式來看， ARP欺騙分為二種， 一種是對路由器ARP表的欺騙；另一種是對內網(wǎng)PC的網(wǎng)關欺騙。

第一種ARP欺騙的原理是——截獲網(wǎng)關數(shù)據(jù)。 它通知路由器一系列錯誤的內網(wǎng)MAC地址， 并按照一定的頻率不斷進行， 使真實的地址信息無法通過更新保存在路由器中， 結果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址， 造成正常PC無法收到信息。 第二種ARP欺騙的原理是——偽造網(wǎng)關。 它的原理是建立假網(wǎng)關， 讓被它欺騙的PC向假網(wǎng)關發(fā)數(shù)據(jù)， 而不是通過正常的路由器途徑上網(wǎng)。 在PC看來， 就是上不了網(wǎng)了， “網(wǎng)絡掉線了”。

基于以上兩種ARP欺騙的方式， 我公司在上海電信外高橋數(shù)據(jù)中心采用獨立網(wǎng)段加上雙向綁定的方法設立了防ARP欺騙攻擊專區(qū)， 拓樸結構示意圖如下：

ARP欺騙攻擊防護實現(xiàn)方式:

外部防護

• 1、此防護區(qū)域使用獨立網(wǎng)關， 從電信路由層以獨立VLAN的物理結構方式接入， 與其他非防護區(qū)域服務器完全隔離

內部防護

• 2、防護專區(qū)中心交換機以機柜為單位劃分VLAN， 保證機柜之間無法直接通信， 防止機柜之間的ARP 欺騙攻擊。 防護專區(qū)中心交換機進行 IP段—MAC---交換機端口 配對綁定， 服務器只能在指定交換機機柜和指定交換機端口使用,防止內部ARP攻擊機截獲網(wǎng)關數(shù)據(jù)， 進行欺騙攻擊。

  3、機柜交換機進行 IP—MAC—交換機端口 配對綁定， 服務器只能在指定交換機端口使用， 防止內部ARP攻擊機發(fā)送虛假IP 地址， 虛假MAC地址， 偽造網(wǎng)關， 進行欺騙攻擊。

  4、機柜交換機進行 網(wǎng)關IP—網(wǎng)關MAC 靜態(tài)綁定， 為機柜內部服務器提供靜態(tài)的網(wǎng)關MaC地址解析。