分享

更多

   

H3C助您全面防御ARP欺骗攻击 1 ARP欺骗攻击的危害性 当您的计算机网络连接正常,却无法打开网页;当您的计算机网络出现频繁断线,同时网速变得非常慢。这些都可能是由于存在ARP

2012-11-06  tcwl123

H3C助您全面防御ARP欺骗攻击

1           ARP欺骗攻击的危害性

当您的计算机网络连接正常,却无法打开网页;当您的计算机网络出现频繁断线,同时网速变得非常慢。这些都可能是由于存在ARP欺骗攻击及ARP中毒,所表现出来的网络故障情况。

ARP欺骗攻击不仅导致校园网不稳定,极大影响数字校园业务的正常运行,更严重的是利用ARP欺骗攻击可进一步实施中间人攻击和网关仿冒攻击。如果校园网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和网关,让所有网络流量都经过攻击者主机进行转发,攻击者通过截获的信息可得到游戏、网银、文件服务等系统的用户名和口令,这种攻击行为就称为中间人攻击。这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。由此可见,中间人攻击是一种非常恶劣的网络恶意攻击行为。而ARP仿冒网关,攻击者冒充网关发送免费ARP,其它同一网络内的用户收到后,更新自己的ARP表项,后续,受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。

为什么杀毒软件、防火墙都挡不住ARP 欺骗攻击呢?主要由于ARP欺骗攻击的木马程序,通常会伪装成常用软件的一部分被下载并被激活,或者作为网页的一部分自动传送到浏览者的电脑上并被激活,或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级,杀毒软件常常会失去作用。

2           ARP欺骗攻击的原理

局域网上的一台主机,如果接收到一个ARP报文,即使该报文不是该主机所发送的ARP请求的应答报文,该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。

1-1 以太网ARP协议报文结构

ARP欺骗攻击就利用了这点,攻击者主动发送ARP报文,发送者的MAC地址为攻击者主机的MAC地址,发送者的IP地址为被攻击主机的IP地址。通过不断发送这些伪造的ARP报文,让局域网上所有的主机和网关ARP表,其对应的MAC地址均为攻击者的MAC地址,这样所有的网络流量都会发送给攻击者主机。由于ARP欺骗攻击导致了主机和网关的ARP表的不正确,这种情况我们也称为ARP中毒。

1-2 ARP欺骗攻击是如此简单

 

由于ARP中毒后,所有的流量都需要经过攻击者进行转发。如果攻击者具有转发能力,在攻击开始和攻击结束是都会引发一次网络中断,攻击过程中网络速度变慢,网速变慢原因跟发送大量的ARP流量消耗了带宽以及其本身处理能力有限有很大关系;如果攻击者不具有转发能力,网络出现传输中断,直到攻击停止及ARP表恢复正常。

3           H3C助您全面防御ARP欺骗攻击

由于ARP欺骗攻击,利用了ARP协议的设计缺陷,光靠包过滤、IP+MAC+端口绑定等传统办法是比较难解决的。

通过对ARP欺骗攻击原理的剖析,如果要防御该类型攻击,最理想的办法是在接入层对ARP报文进行内容有效性检查,对于没有通过检查的报文进行丢弃处理。在接入层交换机上采取的这种技术,我们称为ARP入侵检测。

在网络实际部署中,有时候不能在所有的接入层部署ARP入侵检测。为了防止出现ARP中毒引起的中间人攻击,最好在网络核心交换机或者汇聚三层交换机上部署ARP欺骗防御策略。ARP欺骗防御可以避免网关设备的ARP表被攻击者非法改写。

对于不能在全网接入交换机部署ARP入侵检测的网络,不能单纯靠网络设备进行ARP欺骗攻击防御。因为不管是ARP入侵检测,还是ARP欺骗防御,都不能防止终端主机受到ARP中毒攻击,也不能对发起ARP欺骗攻击的终端PC进行强制下线惩罚。因此对于不能在全网接入交换机部署ARP入侵检测的情况,还需要通过部署端点准入系统或者安全接入认证系统(CAMS/EAD系统),进一步加强ARP欺骗攻击的控制和管理。

根据客户实际的网络环境,H3C结合接入交换机、核心交换机、CAMS/EAD系统的ARP欺骗攻击特性,可以为您部署全面的ARP欺骗攻击防御方案。以下就从这三个方面描述H3C如何能做到有效防御ARP欺骗攻击的。

3.1       接入层交换机部署ARP入侵检测

交换机要防御ARP攻击,就必须能够识别并读取ARP报文内容,然后根据报文内容判断是否存在欺骗攻击行为,对于ARP欺骗报文进行丢弃处理。

在接入层就是利用接入交换机的ARP入侵检测(ARP Intrusion Inspection)功能,进行ARP欺骗攻击防御。

1--3 接入交换机部署ARP入侵检测

 

ARP入侵检测在接入交换机进行部署,接入交换机同时启用DHCP Snooping对DHCP报文进行监测。DHCP Snooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息,并形成一个DHCP Snooping绑定表。交换机端口接收到的ARP报文后,通过查找DHCP Snooping建立的绑定关系表,来判断ARP应答报文的发送者源IP、源MAC是否合法。若ARP报文中的发送者源MAC、IP匹配绑定表中的内容,则认为是合法的报文,允许通过;否则认为是欺骗攻击报文,就进行丢弃。

ARP入侵检测能够防止接入终端发起任何ARP欺骗攻击,如果全网部署AII功能,可有效解决ARP欺骗攻击问题。

另外由于ARP欺骗攻击,经常伴随者发送大量的ARP报文,消耗网络带宽资源和交换机CPU资源,造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速,对每个端口单位时间内接收到的ARP报文进行限制,很好地保障了网络带宽资源和交换机CPU资源。

3.2       核心交换机部署ARP欺骗防御

如果网络中的某台接入层交换机没有部署ARP入侵检测,ARP欺骗攻击就会在该交换机所属的一个广播域内得逞,这样在局部范围内会发生ARP中毒行为,甚至可能会引起中间人攻击。

为了防止因ARP欺骗而发生的中间人攻击行为,需要在网络核心交换机交换机上部署ARP欺骗防御技术。ARP欺骗防御可以避免网关设备的ARP表被攻击者非法改写,既避免网关设备发生ARP中毒情况。

这样只要终端PC没有发生ARP中毒,网络通讯就可以正常进行;如果终端PC发生ARP中毒,其ARP表中的网关IP地址所对应的MAC地址被恶意修改,终端PC的网络通信就会受到严重影响。

1--4 核心/汇聚交换机部署ARP欺骗防御

 

核心/汇聚交换机有多种手段可以防御ARP欺骗攻击。目前可以支持三种方式:

1)       第一种为固定MAC地址方法,对于动态ARP第一次学习到后就不允许再通过ARP学习对MAC地址进行修改,只有等ARP老化后才允许学习新的MAC;

2)       第二种为多元素固定法,对于动态ARP学习和已解析的短静态ARP的MAC地址及其对应的端口、VLAN都不允许修改,只有等ARP老化后才允许学习新的MAC;

3)       主动确认方法:启用主动确认方式防攻击时,在收到涉及MAC地址变化的ARP报文时,不对此ARP直接进行修改,而是先对原ARP表项对应用户发一个单播确认,如果收到应答报文,则不允许修改ARP表;如果一定时间内没有收到应答报文,则对新用户发起一个单播请求,收到应答后才允许修改ARP表。

如图1-4所示,攻击者试图欺骗网关,告诉网关用户C的MAC地址应该是攻击者的MAC地址。由于启用网关了ARP欺骗防御技术,有效避免了网关ARP表中用户C的ARP表项被非法修改。

对于前两种ARP欺骗攻击防御办法,比较适用于IP地址、MAC地址、端口、VLAN都相对稳定的情况,比如核心交换机只直接连接服务器,在核心交换机上启用这种固定MAC方式防止ARP欺骗攻击还是非常有效的。当然如果服务器比较少时,采用静态ARP也是一种不错的选择。

主动确认方法,使用起来比较灵活,不会给攻击者进行ARP欺骗的机会。ARP欺骗攻击的攻击者要想欺骗网关,他就是某台正常上网的终端PC是不可能的,因为单播确认报文会根据交换机的正确的MAC表转发到正确的终端PC那里,这样就很轻易地揭穿了骗局。

同样为了防止大量的ARP报文形成对交换机的冲击,核心交换机还需要能够检测ARP协议报文的攻击行为,并对该攻击源进行屏蔽。

3.3       部署CAMS/EAD防御ARP欺骗攻击

从以上的阐述种,我们知道不管是接入层交换机的ARP 入侵检测,还是核心/汇聚交换机的ARP欺骗防御,都不能避免其所连接的终端PC受到来自无任何限制的主机的ARP攻击。

这种情况经常发生以下前提下,如果网络中有一个网段,其网段上的终端PC有部分没有直接连接到部署有ARP入侵检测的接入交换机上,那么这个网段上的PC就有可能受到ARP欺骗攻击,即使哪些连接在部署有ARP入侵检测的接入交换机上的终端PC也不能避免。

因此当我们的网络中如果因各种原因不能在全网接入交换机上部署ARP入侵检测时,要想有效防御ARP欺骗攻击,还需要通过部署端点准入系统或者安全接入认证系统(CAMS/EAD系统),进一步加强ARP欺骗攻击的控制和管理。

CAMS/EAD系统在防御ARP欺骗攻击上,主要实现了两点功能:

1)  解决了防止终端PC受到ARP欺骗攻击的问题;

2)  防止终端PC发送大量广播报文影响网络性能或发起ARP 欺骗攻击。

 

1-4部署CAMS/EAD防御ARP欺骗攻击

 

通过部署CAMS/EAD系统,CAMS/EAD服务端给客户端下发需要保护的ARP列表内容,特别是网关的IP地址和MAC地址对应表。CAMS/EAD客户端接收到下发的ARP列表内容,执行ARP静态绑定,这样在受到ARP欺骗攻击时,客户端仍然可访问网络。

另外,CAMS/EAD客户端还可以检测异常流量,如果发生ARP欺骗攻击行为,也会产生大量的广播报文,客户端会将该类型报文也当作异常流量。当检测到异常流量时,客户端会上报给服务端,然后服务端对发送异常流量的终端进行强制下线处理。

那么CAMS/EAD系统是否可以独自承担ARP欺骗攻击防御任务呢?答案是否定的。首先CAMS/EAD系统只能解决终端PC在受到ARP欺骗攻击时,其ARP表中的静态ARP表项不受影响。CAMS/EAD系统不能防止客户端发起ARP欺骗攻击,因为等客户端检测异常流量行为时,ARP欺骗攻击行为已经发生,这是网关、其它PC都可能已经受到攻击影响了。

因此CAMS/EAD系统防ARP欺骗攻击,需要跟交换机配合,才能真正达到防御效果。

3.4       如何选择您的ARP欺骗攻击防御组合?

以上三种ARP欺骗攻击防御手段,可根据实际的网络环境进行灵活组合。下面一张表格,根据不同的网络部署现状,给出了ARP欺骗攻击防御方案的部署建议。

网络部署现状

必选部署

可选部署

所有接入交换机都支持ARP入侵检测

1)  接入交换机部署AII;

2)  核心交换机需要部署ASD;

3)  服务器设置网关的静态ARP。

CAMS/EAD系统

部分接入交换机支持ARP入侵检测

1)       部分接入交换机部署AII;

2)       核心交换机需要部署ASD;

3)       服务器设置网关的静态ARP;

4)       CAMS/EAD系统。

 

没有接入交换机支持ARP入侵检测

1)       核心交换机需要部署ASD;

2)       服务器设置网关的静态ARP。

3)       CAMS/EAD系统。

 

备注: AII - ARP入侵检测;ASD - ARP欺骗防御

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。如发现有害或侵权内容,请点击这里 或 拨打24小时举报电话:4000070609 与我们联系。

    来自: tcwl123 > 《ccnp》

    猜你喜欢

    0条评论

    发表

    类似文章 更多
    喜欢该文的人也喜欢 更多