ARP理论知识详解(三)
首页 > HuaWei > ARP   作者:圈哥  2015年10月26日 16:31 星期一  字号:   评论:0 条
时间:2015-10-26 16:31   评论:0 条 
 8ARP表项固化

如下图1所示,Attacker仿冒UserAGateway发送伪造的ARP报文,导致GatewayARP表中记录了错误的UserA地址映射关系,造成UserA接收不到正常的数据报文。

               欺骗网关攻击示意图.png

1 欺骗网关攻击示意图

为了防御这种欺骗网关攻击,可以在网关设备上部署ARP表项固化功能。

网关设备在第一次学习到ARP以后,不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息,或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。

设备提供的三种ARP表项固化模式。

1fixed-all模式    

如果设备收到的ARP报文中的MAC地址、接口或VLAN信息和ARP表中的信息不匹配,则直接丢弃该ARP报文。此模式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。

2fixed-mac模式 

如果设备收到的ARP报文中的MAC地址与ARP表中对应条目的MAC地址不匹配,则直接丢弃该ARP报文;如果匹配,但是收到报文的接口或VLAN信息与ARP表中对应条目不匹配,则可以更新对应ARP条目中的接口和VLAN信息。

此模式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。

3send-ack模式  

如果设备收到的ARP报文A涉及ARP表项MAC地址、接口或VLAN信息的修改,设备不会立即更新ARP表项,而是先向待更新的ARP表项现有MAC地址对应的用户发送一个单播的ARP请求报文进行确认

如果在随后的3秒内设备收到ARP应答报文B,且当前ARP条目中的IP地址、MAC地址、接口和VLAN信息与ARP应答报文B的一致,则认为ARP报文A为攻击报文,不更新该ARP条目。

如果在随后的3秒内设备未收到ARP应答报文,或者收到ARP应答报文B与当前ARP条目中的IP地址、MAC地址、接口和VLAN信息不一致,设备会再向刚才收到的ARP报文A对应的源MAC发送一个单播ARP请求报文。

如果在随后的3秒内收到ARP应答报文C,且ARP报文AARP应答报文C的源IP地址、源MAC地址、接口和VLAN信息一致,则认为现有ARP条目已经无效且ARP报文A是可以更新该ARP条目的合法报文,并根据ARP报文A来更新该ARP条目。

如果在随后的3秒内未收到ARP应答报文,或者ARP报文A与收到的ARP应答报文C的源IP地址、源MAC地址、接口和VLAN信息不一致,则认为ARP报文A为攻击报文,设备会忽略收到的ARP报文AARP条目不会更新。

此模式适用于用户的MAC地址和接入位置均频繁变动的场景。

 

 

9、动态ARP检测(中间人攻击)

网络中针对ARP的攻击层出不穷,中间人攻击是常见的ARP欺骗攻击方式之一。

中间人攻击(Man-in-the-middle attack)是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。

如下图1所示,是中间人攻击的一个场景。攻击者主动向UserA发送伪造UserBARP报文,导致UserAARP表中记录了错误的UserB地址映射关系,攻击者可以轻易获取到UserA原本要发往UserB的数据;同样,攻击者也可以轻易获取到UserB原本要发往UserA的数据。这样,UserAUserB间的信息安全无法得到保障。

          中间人攻击.png

1 中间人攻击

为了防御中间人攻击,可以在Switch上部署动态ARP检测DAIDynamic ARP Inspection)功能。

动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MACVLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。

    说明:

动态ARP检测功能仅适用于DHCP Snooping场景。设备使能DHCP Snooping功能后,当DHCP用户上线时,设备会自动生成DHCP Snooping绑定表;对于静态配置IP地址的用户,设备不会生成DHCP Snooping绑定表,所以需要手动添加静态绑定表。

Switch上部署动

ARP检测功能后,如果攻击者连接到Switch并试图发送伪造的ARP报文,Switch会根据绑定表检测到这种攻击行为,对该ARP报文进行丢弃处理。如果Switch上同时使能了动态ARP检测丢弃报文告警功能,则当ARP报文因不匹配绑定表而被丢弃的数量超过了告警阈值时,Switch会发出告警通知管理员。

 

 

10ARP防网关冲突

如下图1所示,攻击者B将伪造网关的ARP报文发送给用户A,使用户A误以为攻击者即为网关。用户AARP表中会记录错误的网关地址映射关系,使得用户A跟网关的正常数据通信中断。

       ARP网关冲突6.png

1 ARP网关冲突

为了防范攻击者仿冒网关,可以在网关设备上使能ARP防网关冲突功能。当设备收到的ARP报文存在下列情况之一:

ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同

ARP报文的源IP地址是入接口的虚拟IP地址,但ARP报文源MAC地址不是VRRPMAC(见后面说明)

    设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。

此时,还可以在设备上使能发送免费ARP报文功能,通过广播发送正确的免费ARP报文到所有用户,迅速将已经被攻击的用户记录的错误网关地址映射关系修改正确。

说明:

一个VRRP备份组,被当作一个共享局域网内主机的缺省网关,即虚拟交换机。一个虚拟交换机拥有一个VRRPMACVRRPMAC根据虚拟交换机ID生成,格式为:00-00-5E-00-01-{VRID}(VRRP)。当虚拟交换机回应ARP请求时,使用的是VRRPMAC地址,而不是接口的真实MAC地址。

 

 

11、发送免费ARP报文

3步中图1所示,Attacker仿冒网关向UserA发送了伪造的ARP报文,导致UserAARP表中记录了错误的网关地址映射关系,从而正常的数据不能被网关接收。

为了避免上述危害,可以在网关设备上部署发送免费ARP报文功能,定期更新用户的ARP表项,使得用户ARP表项中记录的是正确的网关MAC地址。

 

 

12ARP报文内MAC地址一致性检查

ARP报文内MAC地址一致性检查功能主要应用于网关设备上,可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同ARP攻击。

部署本功能后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

13ARP报文合法性检查

ARP报文合法性检查功能可以部署在接入设备或网关设备上,用来MAC地址和IP地址不合法的报文进行过滤。设备支持以下三种可以任意组合的检查。

1、源MAC地址检查:

设备会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致,一致则认为合法,否则丢弃报文;

2、目的MAC地址检查:

设备会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致,一致则认为合法,否则丢弃报文;

3IP地址检查:

设备会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。

 

 

14DHCP触发ARP学习

DHCP用户场景下,当DHCP用户数目很多时,设备进行大规模ARP表项的学习和老化会对设备性能和网络环境形成冲击。

为了避免此问题, 可以在网关设备上部署DHCP触发ARP学习功能。DHCP服务器给用户分配了IP地址,网关设备会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。该功能生效的前提是使能DHCP Snooping功能。

网关设备上还可同时部署动态ARP检测功能,防止DHCP用户的ARP表项被伪造的ARP报文恶意修改。

 

 

15VPLS网络中ARP代理

VPLS网络中,为了防止PWPseudo Wire)侧的伪造ARP报文被广播到ACAttachment Circuit)侧形成ARP欺骗攻击,可以在PE设备上部署VPLS网络中的ARP代理功能,以及VPLS网络中的DHCP Snooping功能。

部署上述功能后,PW侧的ARP报文将会被上送到主控板进行处理:

如果是ARP请求报文,并且报文的目的IP地址在DHCP Snooping绑定表中存在,则设备根据DHCP Snooping绑定表组装ARP应答报文直接回应PW侧的请求方。

如果不是ARP请求报文,或者ARP请求报文的目的IP地址不在DHCP Snooping绑定表中,则报文被正常转发。
 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:481294053/474079428互相学习。     
本文地址:http://www.023wg.com/arp/39.html
版权声明:若无注明,本文皆为“重庆网管”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:重庆网管    圈哥