ARP安全.docx
- 文档编号:24029703
- 上传时间:2023-05-23
- 格式:DOCX
- 页数:14
- 大小:87.61KB
ARP安全.docx
《ARP安全.docx》由会员分享,可在线阅读,更多相关《ARP安全.docx(14页珍藏版)》请在冰豆网上搜索。
ARP安全
介绍
定义
ARP(AddressResolutionProtocol)安全是针对ARP攻击的一种安全特性,通过ARP严格学习、动态ARP检测、ARP表项保护和ARP报文速率限制等措施来保证网络设备的安全性。
不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。
目的
在网络中,常见的ARP攻击方式主要包含:
∙ARP欺骗攻击
ARP欺骗指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。
∙ARP泛洪攻击
ARP泛洪攻击也叫拒绝服务攻击(DenialofService),攻击者向设备发送大量虚假的ARP请求报文或免费报文,造成设备上的ARP表项溢出,无法缓存正常用户的ARP表项,从而阻碍正常的报文转发。
为了能够有效的防范ARP欺骗攻击和ARP泛洪攻击,通过ARP安全配置不仅可以防止针对ARP协议的攻击,还可以防止基于ARP协议的攻击。
ARP安全主要应用如下表所示:
表1ARP安全针对不同攻击类型的解决方法
攻击类型
防攻击功能
功能说明
保护对象
ARP欺骗
严格学习ARP表项
设备仅仅学习自己发送的ARP请求报文的应答报文,并不学习其它设备发送的ARP请求报文,即可以拒绝掉大部分的ARP请求和应答报文攻击。
通过防ARP欺骗功能,能有效的预防黑客运用修改ARP报文的手段攻击网络,保证通信网络的正常运行。
ARP防地址欺骗
设备在第一次学习到ARP以后,不再允许其他用户更新ARP表项或只能更新此ARP表项的部分信息,以防止攻击者伪造ARP报文替换正常用户的ARP表项内容。
设备提供三种ARP防御模式:
fixed-all模式、fixed-mac模式和send-ack模式。
动态ARP检测
当设备收到ARP报文时,将此ARP报文中的源IP、源MAC、端口、VLAN信息和DHCPSnooping绑定表的信息进行比较,如果信息匹配,说明是合法用户,则允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。
防ARP网关冲突
通过使能防ARP网关冲突功能,防止用户仿冒网关IP,非法修改网关和网络内其他用户的ARP表项。
ARP泛洪
ARP报文抑制
通过使能ARP报文源抑制或ARP报文速率抑制功能,防止设备因收到大量ARP报文而导致设备忙于进行ARP学习和ARP响应,而无法处理其他业务。
通过对ARP报文的抑制,降低了CPU运行负担,保证通信设备的正常运行。
ARP防IP报文攻击
通过使能ARPMiss消息源抑制或ARPMiss消息速率抑制功能,防止设备因收到大量目的IP不能解析的IP报文,而无法处理其他业务。
丢弃免费ARP报文
通过使能丢弃免费ARP报文功能,使设备默认不学习免费ARP报文。
防止设备因收到大量免费ARP报文,而导致设备不能正常处理合法的ARP报文。
受益
∙设备具有防御网络上ARP攻击的能力,降低用户为保证网络正常运行和网络信息安全而产生的维护成本。
∙为用户提供更安全的网络环境,更稳定的网络服务。
ARP报文抑制
收到大量ARP报文可能导致设备忙于进行ARP学习和ARP响应,无法处理其它业务,因此需要对ARP报文进行抑制,以保护CPU资源。
为了防止大量ARP报文对CPU进行冲击。
设备提供了ARP报文抑制功能:
∙ARP报文源抑制:
当设备检测到某一个用户在短时间内发送大量的ARP报文,可以通过对这个用户的ARP源抑制来保护设备的CPU资源,保证CPU可以正常处理业务。
在一段时间内,如果设备收到某一源IP地址或者源MAC的ARP报文数目超过设定阈值(抑制速率),则不处理超出阈值部分的ARP请求报文。
▪ARP报文的源MAC地址抑制:
如果指定MAC地址,则基于指定MAC地址限速;如果不指定MAC地址,则所有源MAC地址的ARP报文均限速。
▪ARP报文的源IP地址抑制:
如果指定IP地址,则基于指定IP地址限速;如果不指定IP地址,则所有源IP地址的ARP报文均限速。
∙ARP报文速率抑制:
设备提供基于全局、端口、VLAN对ARP报文速率进行抑制的功能,从而保护设备的CPU资源,保证其他业务的正常运行。
在全局、VLAN和接口下配置ARP报文的限速值和限速时间时,有效的顺序为接口优先,VLAN其次,最后为全局。
▪基于全局的ARP报文速率抑制:
在设备出现ARP攻击时,限制上送主控板的ARP报文。
▪基于端口的ARP报文速率抑制:
在某个端口出现ARP攻击时,可以保证不影响其他端口的ARP学习。
▪基于VLAN的ARP报文速率抑制:
在某个VLAN内的所有端口出现ARP攻击时,可以保证不影响其他VLAN内所有端口的ARP学习。
ARPMiss报文抑制
如果路由表中存在某个报文的目的IP对应的路由表项,但设备上没有该下一跳对应的ARP表项,则该报文会引发一次ARP-MISS,引发ARP-MISS的报文需要上送主控板进行处理。
如果这样的报文过多,则会占用大量CPU资源,严重时会影响正常数据业务的转发。
为了防范此类IP报文攻击,设备提供了如下功能:
∙ARPMiss消息源抑制:
设备提供对ARPMiss消息基于源IP地址的抑制,针对每一个源IP引发的ARP-MISS的速率进行限制。
∙ARPMiss消息速率抑制:
设备提供基于全局、端口、VLAN对ARPMiss消息速率进行抑制。
当设备触发大量的ARPMiss消息时,限制上送主控板的ARPMiss报文,从而保护设备的CPU资源,保证其他业务的正常运行。
丢弃免费ARP报文
当有新的网络设备接入网络时,该设备会以广播的方式发送免费ARP报文,用于向网络中的其他设备通告自己的存在并确认广播域中有无其他设备与自己的IP地址冲突。
免费ARP报文是一种特殊的ARP报文,该报文中携带的源IP地址和目地IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
通过对外发送免费ARP报文可以实现如下功能:
∙用于检查重复的IP地址:
正常情况下不会收到ARP应答报文。
如果收到,则表明本网络中存在与自身IP地址重复的地址。
∙用于通告一个新的MAC地址:
当设备改变了硬件地址,为了能够在ARP表项老化前通告所有主机,发送方可以发送一个免费ARP报文。
由于收到免费ARP报文并不需要身份验证,任何一个用户都可以发送免费ARP报文。
当网络中出现大量的免费ARP报文攻击时,会造成设备CPU超载,影响其他业务。
为了防止网络中出现大量免费ARP报文攻击,导致设备不能正常处理合法的ARP报文,可以使能丢弃免费ARP功能使设备默认不学习免费ARP报文,以降低CPU的负担。
说明:
当有主机更新了硬件地址并重新接入网络(如主机关机后更换了接口卡并重新启动,或采用双机热备份系统中主用设备发生故障,备用设备接管)时,如果S9300&S9300E开启了丢弃免费ARP功能,将会导致其他网络设备因无法正常更新相应的ARP表项而无法与该主机建立正常通信。
严格学习ARP表项
随着网络规模越来越大,现网中时常出现ARP请求/应答报文攻击的状况,导致网络无法正常运行。
∙当大量终端PC在同一时间段内向接入设备或网关设备发送ARP请求报文时,该设备因无法处理大量的ARP请求报文而导致运行异常,影响网络的正常运行。
∙当攻击者通过伪造正常用户的ARP请求报文并发送至接入设备或网关设备时,将导致该用户无法正常通信。
为了能有效的解决上述问题,可在接入设备或网关设备上使能严格学习ARP表项功能。
严格学习ARP表项是指S9300&S9300E仅仅学习自己发送的ARP请求报文的应答报文,并不学习其它设备向S9300&S9300E发送的ARP请求报文,如图1所示。
这样,可以拒绝大部分的ARP请求和应答报文攻击。
图1ARP的严格学习
通常情况下,当PCA向交换机发送ARP请求报文后,交换机会向PCA回应ARP应答报文,并且将PCA的MAC地址加入对应的ARP表项(或者更新对应的ARP表项)。
当交换机配置了严格学习ARP表项功能后,工作原理如下:
∙当PCA主动向交换机发送ARP请求报文时,交换机会向PCA回应ARP应答报文,但并不将PCA的MAC地址加入对应的ARP表项(或者更新对应的ARP表项)。
∙当交换机向PCA发送一个ARP请求,待收到该请求对应的PCA发出的应答报文后,交换机会将PCA的MAC地址加入对应的ARP表项(或者更新对应的ARP表项)。
ARP防地址欺骗
攻击原理
由于ARP协议比较简单,没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。
伪造ARP报文具有如下特点:
∙伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致。
∙伪造的ARP报文中源IP地址和源MAC地址的映射关系不是合法用户真实的映射关系。
ARP欺骗是通过伪造ARP报文进行攻击,如图1所示,攻击者伪造2个ARP报文,一个用于向UserA通告网关所拥有的IP地址对应的MAC地址为攻击者的MAC;另一个用于向网关通告UserA所拥有的IP地址对应的MAC地址为攻击者的MAC,这时交换机原本发送给UserA的报文发送给了攻击者,攻击者可以轻易的得到UserA的数据,UserA的网络数据安全得不到保障。
图1ARP地址欺骗过程
设备在收到用户的第一个ARP报文时,会在ARP表中添加一个ARP表项,后续如果再收到此用户的ARP报文,会根据新的ARP报文更新原来的表项,包括更新MAC地址、端口、VLAN信息和老化时间。
如果存在攻击用户,故意发送错误的ARP报文以更新合法用户的ARP表,会导致设备上的ARP表项错误,合法用户的报文无法正常转发。
解决方法
为了防御这种ARP攻击,设备可以在第一次学习到ARP以后,不再允许其他用户更新此表项或只能更新此表项的部分信息。
设备提供三种防御模式,如表1所示。
表1ARP防御模式介绍
防御模式
功能
fixed-all模式
设备在收到ARP报文时,如果收到报文中的MAC地址、端口、VLAN信息和ARP表中的信息不匹配,报文直接被丢弃。
适用于静态配置IP地址,没有冗余链路的网络。
fixed-mac模式
设备在收到ARP攻击报文时,仅不允许用户更新MAC信息,可以更新端口、VLAN,主要应用于用户端口会切换的场景。
send-ack模式
设备收到一个涉及MAC地址、VLAN、接口修改的ARP报文时,不会立即进行修改,而是先对原ARP表中与此ARP报文中的MAC地址对应的用户发一个单播确认(ARP请求报文)。
适用于动态分配IP地址,有冗余链路的网络。
动态ARP检测
在网络中针对ARP的攻击层出不穷,中间人攻击是常见的ARP攻击方式之一。
如图1所示,当攻击者发起向正常用户UserA的中间人攻击后,可轻易的获取UserA与其他用户之间的通信数据。
图1中间人攻击
如图1所示,SwitchA连接了两个用户,其中GE2/0/0接口连接的用户是一个攻击者,GE1/0/0连接的是正常用户。
具体攻击流程如下:
1.当UserA需要与UserB建立通信连接,且UserA的ARP表项中没有UserB的MAC地址时,会以全广播的方式发送一个ARP请求报文。
2.当攻击者在收到UserA发送的ARP请求之后,没有抛弃这个数据包,而是发送了伪造的ARP响应,即发起中间人攻击。
3.UserA在接收到攻击者的ARP响应之后,它会错误的认为攻击者就是其要发送数据的对象,从而将发送给UserB的数据发送给了攻击者。
此时,UserA发送给UserB的数据,就会被发送给攻击者,他们之间的信息安全将无法得到保障。
针对通过DHCP服务器获取地址的场景,动态ARP检测技术可有效的解决ARP带来的安全隐患,特别是针对中间人攻击。
动态ARP检测(DynamicARPInspection)应用在设备的二层接口上,利用DHCPSnooping绑定表来防御ARP攻击。
当设备收到ARP报文时,将此ARP报文中的源IP、源MAC、端口、VLAN信息和DHCPSnooping绑定表的信息进行比较,如果信息匹配,说明是合法用户,则允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。
说明:
DHCPSnooping绑定表:
用于过滤不可信任的DHCP信息,表项中包含信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。
如图1所示,启用动态ARP检测功能后,当攻击者连接到交换机并试图发送虚假的ARP响应时,交换机会根据DHCP监听绑定表检测到这种攻击行为,并会丢弃这个ARP数据包,并向管理员发出警报。
此时,可有效的防止中间人攻击对设备产生的影响。
防ARP网关冲突
当设备作为网关时,如果某个攻击者发送ARP来仿冒网关,会导致其它用户的网关ARP表被修改为错误的ARP表项,所有用户发往网关的流量均发送到攻击者,攻击者可以轻易的窃听到用户的信息。
如图1所示,攻击者将伪造网关的ARP应答报文发送给正常用户,使正常用户PCA和PCB误以为攻击者即为网关,此时攻击者即可监听到PCA和PCB发送的数据内容。
图1ARP网关冲突
为了防止攻击者仿冒网关,可以使能ARP网关冲突防攻击功能。
当设备收到与网关地址冲突的ARP报文时,如果存在下列情况之一:
∙ARP报文的源IP与报文入接口的IP地址相同。
∙VRRP(VirtualRouterRedundancyProtocol)虚MAC方式时,ARP报文的源IP是入接口的虚拟IP地址,但ARP报文源MAC不是VRRP虚MAC。
说明:
VRRP虚MAC:
一个VRRP备份组,被当作一个共享局域网内主机的缺省网关,即虚拟交换机。
根据虚拟交换机ID生成的MAC地址。
一个虚拟交换机拥有一个虚拟MAC地址,格式为:
00-00-5E-00-01-{VRID}(VRRP)。
当虚拟交换机回应ARP请求时,使用虚拟MAC地址,而不是接口的真实MAC地址。
系统生成ARP防攻击表项,在后续一段时间内直接丢弃该报文,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。
S9300&S9300E支持发送免费ARP报文功能,此时可以使能此功能,发送正确的免费ARP报文,该报文广播发送到所有用户,可以迅速将已经被攻击的用户的ARP修改为正确ARP,保证用户的安全性。
防ARP欺骗
在企业网中,S9300&S9300E作为用户网关,用户上线后,在S9300&S9300E上生成用户的ARP表项。
如果此时其中的一个用户(攻击者)通过发送ARP欺骗报文,修改正常用户或网关的ARP表项,即可以轻易的窃取其他用户的信息或阻碍其他用户正常访问网络。
图1ARP表项保护
如图1所示,用户上线后,在网关S9300&S9300E上生成用户的ARP表项,用户可以正常访问网络。
若此时攻击者向正常用户或网关发送ARP欺骗报文来修改它们的ARP表项,将可能产生如下网络危害:
∙如果攻击者冒充网关,向局域网内正常用户发送伪造的网关ARP报文,此时网络中正常用户访问网关的流量会被重定向到一个错误的MAC地址,导致该用户无法正常访问外网或数据信息被攻击者窃取。
∙如果攻击者冒充正常用户,向网关发送错误的ARP报文,此时网关发给该正常用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
为了有效的解决上述危害,可以在S9300&S9300E上部署以下防ARP欺骗功能:
∙配置严格学习ARP表项功能:
如在网关上使能严格学习ARP表项功能后,该网关仅仅学习自己向UserA、UserB或UserC发送的ARP请求报文的应答报文,并不学习攻击者向网关发送的ARP请求报文。
如此,可以防止攻击者冒充正常用户攻击网关的危险,同时网关也可以拒绝掉大部分的ARP请求和应答报文攻击。
∙配置ARP防地址欺骗功能:
如在网关上使能ARP防地址欺骗功能后,网关在第一次学习到ARP以后,不再允许其他用户更新此表项或只能更新此表项的部分信息。
∙配置动态ARP检测功能:
如在网关上使能动态ARP检测功能后,当网关收到ARP报文时,将此ARP报文中的源IP、源MAC、端口、VLAN信息和DHCPSnooping绑定表的信息进行比较,如果信息匹配,说明是合法用户,则允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。
∙配置防ARP网关冲突功能:
如在网关上使能防ARP网关冲突功能后,将生成ARP防攻击表项,当收到与网关地址冲突的ARP报文时,在后续一段时间内直接丢弃该报文。
这样可以防止与网关地址冲突的ARP报文在VLAN内广播。
防ARP泛洪
当网络中有大量ARP请求报文发送至交换机时,导致设备忙于进行ARP学习和ARP响应,使CPU负担加重而无法处理正常用户ARP报文的攻击方式,即ARP泛洪攻击。
此泛洪攻击会占用大量网络带宽,引起网络堵塞,从而影响整个通信网络的正常运行。
为了有效防范ARP泛洪攻击带来的危害,可通过在网关设备上配置ARP报文抑制功能、ARP防IP报文攻击功能和丢弃免费ARP报文功能实现。
图1防ARP泛洪组网
如图1所示,S9300&S9300E作为网关设备,通过使能ARP报文抑制功能、ARP防IP报文攻击功能和丢弃免费ARP报文功能应对不同类型的ARP泛洪攻击。
∙当攻击者伪造大量不同ARP报文在同网段内进行广播,S9300&S9300E收到大量ARP报文可能导致设备忙于进行ARP学习和ARP响应,无法处理其它业务。
使能ARP报文抑制功能后,可基于源MAC地址或源IP地址进行ARP报文限速。
∙当攻击者向S9300&S9300E发送大量的IP报文,设备在转发这些IP报文时匹配不到对应的ARP表项,则产生ARPMiss攻击。
通过使能ARPMiss消息源抑制功能,基于全局、端口、VLAN对ARPMiss消息速率进行抑制。
∙当网络中出现大量免费ARP报文攻击时,将导致设备不能正常处理合法的ARP报文。
此时,可使能丢弃免费ARP功能使设备默认不学习免费ARP报文,以降低CPU的负担。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ARP 安全