本文介紹了ARP地址解析協(xié)議的定義和工作原理,分析了ARP入侵攻擊的方式和原理。重點(diǎn)介紹了動態(tài)分配和靜態(tài)指定兩種情況下,防范ARP入侵的策略及交換機(jī)端的配置方式,并通過實(shí)驗(yàn)驗(yàn)證了該安全策略的有效性。
關(guān)健詞:ARP協(xié)議;ARP檢測;配置;網(wǎng)絡(luò)安全
中圖分類號: TP311文獻(xiàn)標(biāo)志碼:A文章編號:1009-3044(2009)36-10465-02
Strategies and Performences of the Low-End Switches on ARP Inspection
TAN Wei
(Shandong Electric Power School, Tai'an 271000, China)
Abstract: This paper introduces the definition of ARP Address Resolution Protocol and working principle of ARP intrusion analysis methods and principles. Highlights the dynamic allocation and static specify both cases, the ARP intrusion prevention strategy and the switch-side configuration, and through experimental verification of the effectiveness of the security policy.
Key words: ARP protocol; ARP detection; configuration; network security
1 ARP協(xié)議簡介
ARP(Address Resolution Protocol)即地址解析協(xié)議,該協(xié)議將網(wǎng)絡(luò)層的IP地址轉(zhuǎn)換為數(shù)據(jù)鏈路層地址。TCP/IP協(xié)議中規(guī)定,IP地址為32位,由網(wǎng)絡(luò)號和網(wǎng)絡(luò)內(nèi)的主機(jī)號構(gòu)成,每一臺接入局域網(wǎng)或者Internet的主機(jī)都要配置一個IP地址。在以太網(wǎng)中,源主機(jī)和目的主機(jī)通信時,源主機(jī)不僅要知道目的主機(jī)的IP地址, 還要知道目的主機(jī)的數(shù)據(jù)鏈路層地址,即網(wǎng)卡的MAC地址,同時規(guī)定MAC地址為48位。ARP協(xié)議所做的工作就是查詢目的主機(jī)的IP地址所對應(yīng)的MAC地址,并實(shí)現(xiàn)雙方通信。
2 ARP 入侵檢測策略
2.1 ARP 入侵方式
按照ARP 協(xié)議的設(shè)計(jì),一個主機(jī)即使收到的ARP 應(yīng)答并非自身請求得到的,也會將其IP 地址和MAC 地址的對應(yīng)關(guān)系添加到自身的ARP 映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP 數(shù)據(jù)通信,但也為“ARP 欺騙”創(chuàng)造了條件。
例如有Host A、B、C三臺主機(jī)聯(lián)網(wǎng),Host A和Host C通過Switch進(jìn)行通信。此時,如果有黑客(Host B)想探聽Host A和Host C之間的通信,它可以分別給這兩臺主機(jī)發(fā)送偽造的ARP應(yīng)答報文,使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應(yīng)的表項(xiàng)。此后,Host A 和Host C之間看似“直接”的通信,實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的,即Host B擔(dān)當(dāng)了“中間人”的角色,可以對信息進(jìn)行了竊取和篡改。
2.2 ARP入侵檢測策略
為了防止黑客或攻擊者通過ARP 報文實(shí)施欺騙攻擊,以太網(wǎng)交換機(jī)支持ARP 入侵檢測功能,即:將經(jīng)過交換機(jī)的所有ARP(請求與回應(yīng))報文重定向到CPU,利用DHCP Snooping 表或手工配置的IP 靜態(tài)綁定表對ARP報文進(jìn)行合法性檢測。
開啟ARP 入侵檢測功能后,如果ARP 報文中的源MAC 地址、源IP 地址、接收ARP 報文的端口編號以及端口所在VLAN 與DHCP Snooping 表或手工配置的IP靜態(tài)綁定表表項(xiàng)一致,則認(rèn)為該報文是合法的ARP 報文,進(jìn)行轉(zhuǎn)發(fā);否則認(rèn)為是非法ARP 報文,直接丟棄。
可以通過配置信任端口,靈活控制ARP 報文檢測。對于來自信任端口的所有ARP 報文不進(jìn)行檢測,對其它端口的ARP 報文通過查看DHCPSnooping 表或手工配置的IP 靜態(tài)綁定表進(jìn)行檢測。
交換機(jī)對IP 報文的兩種過濾方式:
1)根據(jù)報文中的源IP 地址進(jìn)行過濾。如果報文的源IP 地址、接收報文的交換機(jī)端口編號,與DHCP Snooping 表或手工配置的IP 靜態(tài)綁定表表項(xiàng)一致,則認(rèn)為該報文是合法的報文,直接轉(zhuǎn)發(fā);否則認(rèn)為是非法報文,直接丟棄。
2)根據(jù)報文中的源IP 地址和源MAC 地址進(jìn)行過濾。如果報文的源IP 地址、源MAC 地址、接收報文的交換機(jī)端口編號,與DHCP Snooping 表或手工配置的IP 靜態(tài)綁定表表項(xiàng)一致,則認(rèn)為該報文是合法的報文,直接轉(zhuǎn)發(fā);否則認(rèn)為是非法報文,直接丟棄。
3 配置ARP 入侵檢測功能
配置ARP 入侵檢測功能之前,需要先在交換機(jī)上開啟DHCP Snooping 功能,并設(shè)置DHCP Snooping 信任端口。當(dāng)ARP 入侵檢測功能與VLAN Mapping 功能配合使用時,為保證功能的正確實(shí)現(xiàn),需要在原始VLAN 和映射后的VLAN 內(nèi)同時開啟ARP 入侵檢測功能。一般情況下,需要配置交換機(jī)的上行端口作為ARP 信任端口。
當(dāng)網(wǎng)絡(luò)中存在未使用DHCP Server動態(tài)分配客戶端IP地址的組網(wǎng)方式時,需使用DHCP Snooping功能中“IP過濾”特性,對IP和MAC地址進(jìn)行靜態(tài)的綁定。
由于DHCP Snooping 表項(xiàng)只記錄了通過DHCP 方式動態(tài)獲取IP 地址的客戶端信息,如果用戶手工配置了固定IP 地址,其IP 地址、MAC 地址等信息將不會被DHCPSnooping 表記錄,因此不能通過基于DHCP Snooping 表項(xiàng)的IP 過濾檢查,導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。
為了能夠讓這些擁有合法固定IP 地址的用戶訪問網(wǎng)絡(luò),交換機(jī)支持手工配置IP 靜態(tài)綁定表的表項(xiàng),即:用戶的IP 地址、MAC 地址及連接該用戶的端口之間的綁定關(guān)系,以便順利轉(zhuǎn)發(fā)該用戶的報文。
3.1 網(wǎng)絡(luò)中使用DHCP Server動態(tài)分配客戶端IP地址的實(shí)施方案
1)交換機(jī)上所需配置:
#
vlan 1
arp detection enable
#
interface Vlan-interface1
ip address 192.168.16.2 255.0.0.0
#
interface Ethernet1/0/3 (連接DHCP Server的接口)
dhcp-snooping trust
ip source static binding ip-address 1.1.1.10 mac-address 0000-0000-0002 (若想ping通DHCP Server,需綁定該Server的IP和MAC)
#
dhcp-snooping
#
3.2 網(wǎng)絡(luò)中使用靜態(tài)指定方式分配客戶端IP地址的實(shí)施方案
1)交換機(jī)上所需配置:
#
vlan 1
arp detection enable
#
interface Vlan-interface1
ip address 192.168.16.3 255.0.0.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2 (連接PC的接口)
ip source static binding ip-address 1.1.1.1 mac-address 0016-e50d-1645
#
dhcp-snooping
#
在網(wǎng)絡(luò)環(huán)境中,如果沒有使用DHCP Server,那么要使能防ARP攻擊的功能,就需要配置IP靜態(tài)綁定表。在配置靜態(tài)綁定時,只有配置了IP和MAC綁定關(guān)系后,才能實(shí)現(xiàn)該特性。如果只在接口下配置檢測IP地址,那么arp功能沒有起作用,配置如下:
#
vlan 1
arp detection enable
#
interface Vlan-interface1
ip address 1.1.1.2 255.0.0.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2(連接PC的接口)
ip source static binding ip-address 192.168.16.2
#
dhcp-snooping
#
參考文獻(xiàn):
[1] 寇曉蕤.網(wǎng)絡(luò)協(xié)議分析[M].北京:機(jī)械工業(yè)出版社,2009.
[2] 李峰.TCP/IP——協(xié)議分析與應(yīng)用編程[M].北京:人民郵電出版社,2008.
[3] 企業(yè)級網(wǎng)絡(luò)方案設(shè)計(jì).H3C網(wǎng)絡(luò)學(xué)院.
京公網(wǎng)安備 11010502049343號