接入網(wǎng)經(jīng)常見的arp攻擊及防范

電信級IP技術(shù)的發(fā)展成熟使得話音、數(shù)據(jù)、視頻和移動等應(yīng)用的融合成為必然， 統(tǒng)一通訊已成為發(fā)展的趨勢。 以IP技術(shù)為核心進(jìn)行網(wǎng)絡(luò)改造并承載多種新型業(yè)務(wù)以提升競爭力， 是固網(wǎng)運營商的發(fā)展方向。 而以太網(wǎng)技術(shù)由于標(biāo)準(zhǔn)化程度高、應(yīng)用廣泛、帶寬提供能力強(qiáng)、擴(kuò)展性良好、技術(shù)成熟， 設(shè)備性價比高， 對IP的良好支持， 成為城域網(wǎng)和接入網(wǎng)的發(fā)展趨勢。 但是， 由于以太網(wǎng)技術(shù)的開放性和其應(yīng)用廣泛， 也帶來了一些安全上的問題。 特別是當(dāng)網(wǎng)絡(luò)由原有的單業(yè)務(wù)承載轉(zhuǎn)為多業(yè)務(wù)承載時， 安全問題帶來的影響愈發(fā)明顯， 已經(jīng)逐步影響到業(yè)務(wù)的開展和部署。

　　目前接入網(wǎng)常見的攻擊包括ARP“中間人“攻擊、IP/MAC欺騙攻擊、DHCP/ARP報文泛洪攻擊等。

　　網(wǎng)絡(luò)攻擊

　　ARP“中間人”攻擊

　　按照ARP協(xié)議的設(shè)計， 一個主機(jī)即使收到的ARP應(yīng)答并非自身請求得到的， 也會將其IP地址和MAC地址的對應(yīng)關(guān)系添加到自身的ARP映射表中。 這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信， 但也為“ARP欺騙”創(chuàng)造了條件。

　　如下圖示， Host A和Host C通過Switch進(jìn)行通信。 此時， 如果有黑客(Host B)想探聽Host A和Host C之間的通信， 它可以分別給這兩臺主機(jī)發(fā)送偽造的ARP應(yīng)答報文， 使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應(yīng)的表項。 此后， Host A 和Host C之間看似“直接”的通信， 實際上都是通過黑客所在的主機(jī)間接進(jìn)行的， 即Host B擔(dān)當(dāng)了“中間人”的角色， 可以對信息進(jìn)行了竊取和篡改。 這種攻擊方式就稱作“中間人(Man-In-The-Middle)攻擊”。

　　常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙， 黑客可以偽造報文的源地址進(jìn)行攻擊， 其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)， 另外此方法也被應(yīng)用于DoS( Deny of Service， 拒絕服務(wù))攻擊， 嚴(yán)重的危害了網(wǎng)絡(luò)安全。

　　為了防止IP/MAC欺騙攻擊， H3C低端以太網(wǎng)交換機(jī)提供了IP過濾特性， 開啟該功能后， 交換機(jī)可以強(qiáng)制經(jīng)過某一端口流量的源地址符合動態(tài)獲取的DHCP Snooping表項或靜態(tài)配置的IP與MAC綁定表項的記錄， 防止攻擊者通過偽造源地址來實施攻擊。 此外， 該功能也可以防止用戶隨便指定IP地址， 造成的網(wǎng)絡(luò)地址沖突等現(xiàn)象。

　　DHCP報文泛洪攻擊

　　DHCP報文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP報文發(fā)送到服務(wù)器， 一方面惡意耗盡了IP資源， 使得合法用戶無法獲得IP資源;另一方面,如果交換機(jī)上開啟了DHCP Snooping功能， 會將接收到的DHCP報文上送到CPU。 因此大量的DHCP報文攻擊設(shè)備會使DHCP服務(wù)器高負(fù)荷運行， 甚至?xí)��?dǎo)致設(shè)備癱瘓。

　　ARP報文泛洪攻擊

　　ARP報文泛洪類似DHCP泛洪， 同樣是惡意用戶發(fā)出大量的ARP報文， 造成L3設(shè)備的ARP表項溢出， 影響正常用戶的轉(zhuǎn)發(fā)。

　　安全防范

　　對于上述的幾種攻擊手段， H3C接入網(wǎng)解決方案在用戶接入側(cè)利用DHCP SNOOPING， 提供相應(yīng)的防范手段。

　　DHCP Snooping表項的建立

　　開啟DHCP Snooping功能后， H3C接入交換機(jī)根據(jù)設(shè)備的不同特點可以分別采取監(jiān)聽DHCP-REQUEST廣播報文和DHCP-ACK單播報文的方法來記錄用戶獲取的IP地址等信息。 目前， 交換機(jī)的DHCP Snooping表項主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息。 ARP入侵檢測功能

　　ARP入侵檢測功能工作機(jī)制

　　為了防止ARP中間人攻擊， 接入交換機(jī)支持將收到的ARP(請求與回應(yīng))報文重定向到CPU， 結(jié)合DHCP Snooping安全特性來判斷ARP報文的合法性并進(jìn)行處理， 具體如下。

　　l 當(dāng)ARP報文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項匹配， 且ARP報文的入端口及其所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項一致， 則為合法ARP報文， 進(jìn)行轉(zhuǎn)發(fā)處理。

　　l 當(dāng)ARP報文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項不匹配， 或ARP報文的入端口， 入端口所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項不一致， 則為非法ARP報文， 直接丟棄， 并通過Debug打印出丟棄信息提示用戶。

　　手工配置IP靜態(tài)綁定表項

　　DHCP Snooping表只記錄了通過DHCP方式動態(tài)獲取IP地址的客戶端信息， 如果用戶手工配置了固定IP地址， 其IP地址、MAC地址等信息將不會被DHCP Snooping表記錄， 因此不能通過基于DHCP Snooping表項的ARP入侵檢測， 導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。

　　為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡(luò)， 交換機(jī)支持手工配置IP靜態(tài)綁定表的表項， 即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。 以便正常處理該用戶的報文。

　　ARP信任端口設(shè)置

　　由于實際組網(wǎng)中， 交換機(jī)的上行口會接收其他設(shè)備的請求和應(yīng)答的ARP報文， 這些ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooping表項或者靜態(tài)綁定表中。 為了解決上行端口接收的ARP請求和應(yīng)答報文能夠通過ARP入侵檢測問題， 交換機(jī)支持通過配置ARP信任端口， 靈活控制ARP報文檢測功能。 對于來自信任端口的所有ARP報文不進(jìn)行檢測， 對其它端口的ARP報文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測。 IP過濾功能

　　IP過濾功能是指交換機(jī)可以通過DHCP Snooping表項和手工配置的IP靜態(tài)綁定表， 對非法IP報文進(jìn)行過濾的功能。

　　在端口上開啟該功能后， 交換機(jī)首先下發(fā)ACL規(guī)則， 丟棄除DHCP報文以外的所有IP報文。 (同時， 需要考慮DHCP Snooping信任端口功能是否啟動。 如果沒有啟動， 則丟棄DHCP應(yīng)答報文， 否則， 允許DHCP應(yīng)答報文通過。 )接著， 下發(fā)ACL規(guī)則， 允許源IP地址為DHCP Snooping表項或已經(jīng)配置的IP靜態(tài)綁定表項中的IP地址的報文通過。

　　交換機(jī)對IP報文有兩種過濾方式：

　　根據(jù)報文中的源IP地址進(jìn)行過濾。 如果報文的源IP地址、接收報文的交換機(jī)端口號與DHCP Snooping動態(tài)表項或手工配置的IP靜態(tài)綁定表項一致， 則認(rèn)為該報文是合法的報文， 允許其通過;否則認(rèn)為是非法報文， 直接丟棄。

　　根據(jù)報文中的源IP地址和源MAC地址進(jìn)行過濾。 如果報文的源IP地址、源MAC地址、接收報文的交換機(jī)端口號， 與DHCP Snooping動態(tài)表項或手工配置的IP靜態(tài)綁定表項一致， 則認(rèn)為該報文是合法的報文， 允許其通過;否則認(rèn)為是非法報文， 直接丟棄。

　　DHCP/ARP報文限速功能

　　為了防止DHCP報文泛洪攻擊， 接入交換機(jī)支持配置端口上對DHCP/ARP報文的限速功能。 開啟該功能后， 交換機(jī)對每秒內(nèi)該端口接收的DHCP/ARP報文數(shù)量進(jìn)行統(tǒng)計， 如果每秒收到的報文數(shù)量超過設(shè)定值， 則認(rèn)為該端口處于超速狀態(tài)(即受到攻擊)。 此時， 交換機(jī)將關(guān)閉該端口， 使其不再接收任何報文， 從而避免設(shè)備受到大量報文攻擊而癱瘓。

　　同時， 設(shè)備支持配置端口狀態(tài)自動恢復(fù)功能， 對于配置了報文限速功能的端口， 在其因超速而被交換機(jī)關(guān)閉后， 經(jīng)過一段時間可以自動恢復(fù)為開啟狀態(tài)。

　　用戶隔離

　　運營商網(wǎng)絡(luò)中， 通過用戶隔離技術(shù)可以有效的防范用戶間的相互影響， 同樣也可以避免ARP“中間人”攻擊、偽DHCP服務(wù)器攻擊等。

　　通過上述幾種技術(shù)的配套使用， 可以有效的降低在接入網(wǎng)中常見的安全隱患， 保障運營商業(yè)務(wù)的正常運行。