攻击arp断网攻击

广西科学院学报JournalofGuangxiAcademyofSciences2009,25(3):216~218V01.
25,No.
3August2009ARP欺骗攻击类型及防御方案TypeandDefenseSolutionofARPSpoofingAttack苏宏庆,梁正安SUHong—qing,LIANGZheng—an(广西计算中心,广西南宁530022)(ComputingCenterofGuangxi,Nanning,Guangxi,530022,China)摘要:分析ARP原理以及欺骗网关攻击、仿冒网关攻击、"中间人"攻击和泛洪攻击4种常见的ARP欺骗攻击类型,结合电子政务网ARP防御的应用实例,提出一种采用DHCP服务器和交换机的DHCPRelayAgent、DHCPSnooping功能进行防御ARP欺骗攻击的方案.
该方案能够防止接人终端任何ARP欺骗攻击.
可以有效解决ARP欺骗攻击问题.
关键词:ARP攻击防御网络安全中图法分类号:TP393文献标识码:A文章编号:1002—7378(2009)03—0216-03Abstract:TheprincipleofARPandfourkindsofcommontypesofARPattackincludingdeceivinggatewayattack,phishinggatewayattack,"middleman''attackandfloodingattackwereintroducedandanalyzed.
BycombiningwithanapplicationofdefensingARPattackinE—governmentnetwork·asolutionforARPspoofingattackbyusingDHCPserver.
DHCPRelayAgentandDHCPSnoopingfunctionofswitchwasproposed.
ThissolutioncanpreventallARPspoofingattackofaccessterminal,whicheffectivelyresolvetheproblemofARPspoofingattack.
Keywords:ARP,attack,defense,networksecurity随着互联网的发展,网络应用日益广泛,网络病毒和攻击的形式多样化,危害和规模越来越大,网络安全已经成为一个突出的问题.
近期大规模爆发的ARP病毒和ARP攻击就是一个典型的代表.
ARP是地址解析协议,是一种将IP地址转化成物理地址(MAC地址)的协议n】.
ARP具体来说就是将oSI的第3层网络层地址(32位IP地址)解析为oSI的第2层数据连接层的MAC地址.
ARP欺骗攻击针对ARP协议设计固有的缺陷,采用发送假ARP报文的方式欺骗和攻击目标.
ARP欺骗攻击不同于其它病毒,它的攻击是基于基础网络协议的天然缺陷,其核心就是破坏网络设备的ARP表,使得设备无法查到lP地址对应的正确MAC地址,导致报文发送错误,网络通信瘫痪.
ARP欺骗攻击不仅攻击PC机,还攻击路由器、交换机等各种网络设备,传播和收稿日期:2009—07—03作者简介:苏宏庆(1980一),男.
助理工程师,主要从事计算机应用和网络安全研究.
危害范围很广[1].
因此,ARP欺骗攻击攻击的防御不同于常见病毒,单靠传统杀毒软件和防火墙难以根除.
ARP欺骗攻击既可能造成网络内出现随机断线,也可能造成整个网络瘫痪,还可能造成通信被窃听、信息被篡改等各种严重后果.
本文在介绍分析ARP原理和常见的ARP欺骗攻击类型的基础上,提出网络中ARP欺骗攻击的一种防御方案.
1ARP原理及ARP欺骗攻击类型1.
1ARP原理分析ARP协议是属于链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(硬件地址)来确定接口,而不是根据32位的IP地址n].
ARP原理为:A要向主机B发送报文,会查询本地的ARP缓存表.
找到B的IP地址对应的MAC地址后,就会根据MAC地址进行数据传输.
如果未找到,则主机A广播一个ARP请求报文,报文携带A的IP地址IP—a,A的物理地址MAC—a,目标主机B的IP地址IP—b,目标MAC地址为FF—FF—FF—FF(ARP广播报文目标MAC地址苏宏庆等:ARP欺骗攻击类型及防御方案217为全"1"),请求IP地址为IP—b的主机B回答物理地址MAC—b.
网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向主机A发回一个ARP响应报文,其中就包含有主机B的MAC地址.
主机A接收到主机B的应答后,就会更新本地的ARP缓存,在ARP表中加入主机B的IP地址到MAC地址映射的ARP表项.
接着使用这个MAC地址发送数据(由网卡附加MAC地址).
本地高速缓存的ARP表是本地网络数据转发的基础,而且这个缓存是动态的.
1.
2ARP欺骗攻击类型ARP协议并不只是在发送了ARP请求才接收ARP应答.
当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新.
将应答中的IP和MAC地址存储在ARP缓存中.
ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定,在ARP协议中没有认证的机制,从而导致针对ARP协议的欺骗攻击非常容易.
ARP欺骗是黑客常用的攻击手段之一,常见的ARP欺骗有欺骗网关攻击、仿冒网关攻击、"中间人"攻击和泛洪攻击4种ARP攻击类型.
1.
2.
1欺骗网关攻击欺骗网关攻击的现象为网络中部分PC机掉线,甚至全网内PC机都无法上网.
查看路由器的ARP表项,发现很多错误地址,所有被攻击者的IP地址对应的MAC地址都为攻击者的MAC地址.
重启路由器后恢复正常,但是过一段时间PC又开始掉线.
欺骗网关攻击是攻击者通过伪造ARP报文,发送源IP地址为同网段内某台合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关,使网关更新自己的ARP表中原合法用户的IP地址与MAC地址的对应关系.
网关发送给原合法用户的所有数据全部重定向到一个错误的MAC地址(攻击者),导致该用户无法正常与网关通信.
1.
2.
2仿冒网关攻击仿冒网关攻击的现象表现为,在同一局域网中,有一部分PC机被攻击无法上网.
重启被攻击的PC机后恢复正常,但是过一段时间后网络又中断.
查看每台无法上网的PC机(被攻击PC)的ARP表,发现网关的MAC地址错误.
被攻击PC机的ARP表中的网关192.
168.
1.
1的MAC地址已被修改成另一台PC机(攻击者)的MAC地址,被攻击PC机无法再同网关通信,无法上网.
仿冒网关攻击是攻击者通过伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机.
使这些主机更新自己的ARP表中网关IP地址与MAC地址的对应关系.
主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常与网关通信.
1.
2.
3"中间人"攻击"中间人"攻击又称为ARP双向欺骗￡2].
"中间人"攻击的现象主要表现为:网络中某台PC上网突然掉线,一会又恢复了但是恢复后一直上网很慢,查看该PC机的ARP表,网关MAC地址已被修改.
而且网关上该PC机的MAC地址也是伪造的.
该PC机和网关之间的所有流量都转到另外一台机子上.
如果有恶意攻击者(HostB)想探听HostA和网关之间的通信,它可以分别给HostA和网关发送伪造的ARP应答报文,使HostA和网关用MAC—B更新自己的ARP映射表中与对方IP地址相应的表现.
此后,HostA和网关之间看似"直接"的通信,实际上都是通过黑客所在的HostB间接进行的,即HostB担当了"中间人"的角色,可以对信息进行了窃取和篡改.
1.
2.
4泛洪攻击泛洪攻击的现象表现为:网络经常中断,或者网速很慢,查看ARP表项也都正确,但是在网络中抓包分析.
发现大量的ARP请求报文.
泛洪攻击是恶意用户利用工具构造大量的ARP报文发往交换机、路由器或某台PC机,导致CPU忙于处理ARP协议,负担过重,造成设备没有资源转发正常的数据流量.
2ARP欺骗攻击的防御方案我们以某市电子政务网的ARP防御方案为例,提出网络中ARP欺骗攻击的一种防御方案.
某市电子政务网网络的结构分3层结构:由核心层、汇聚层和接入层组成.
接人层由四大班子部门及其他政府委办局单位组成,通过千兆光纤,以星型方式连接到汇聚层,各单位划分独立的接入单位(VI.
AN).
应用服务器群直接接到核心层交换机.
某市电子政务网网络拓扑图如图1所示.
我们对整个网络采用DHCP服务器和交换机的DHCPRelayAgent、DHCPSnooping功能[33从接入层进行ARP欺骗攻击防御.
实施方案主要分为3个部分.
218广西科学院学报第25卷第3期2009年8月第一,在服务器群区塔建一台DHCP服务器,在DHCP服务器上为每个VLAN创建一个域,分配不同的IP地址段、子网掩码、网关和DNS等参数.
图1某市电子政务网拓扑结构——:100M以太网;——:1000M光纤第二,由于各接入单位的DHCP客户机与DHCP服务器(位于服务器群区)不在同一个网段,需要在交换机上启用DCHPRelayAgent(中继代理).
用DHCPRelay代理可以去掉在每个网段都要有DHCP服务器的必要,它可以传递消息到不在同一个子网的DHCP服务器,也可以将服务器的消息传回给不在同一个子网的DHCP客户机.
其工作原理为:(1)当DHCP客户机启动并请求DHCP初始化时,它会在本地网络广播配置请求报文.
(2)如果本地网络存在DHCP服务器,则服务器可以直接对DHCP客户机进行DHCP配置.
不需要DHCPRelay.
(3)如果本地网络没有DHCP服务器.
则与本地网络相连的具有DHCPRelay功能的网络设备收到该广播报文后.
将进行适当处理并转发给指定的其它网络上的DHCP服务器.
(4)DHCP服务器根据DHCP客户机提供的信息进行相应的配置.
并通过DHCPRelay将配置信息发送给DHCP客户机,完成对DHCP客户机的动态配置.
第三,在接入层交换机部署ARP入侵检测.
接人交换机启用DHCPSnooping对DHCP报文进行监测.
DHCPSnooping监控用户动态申请IP地址的全过程,通过监测DHCP报文记录用户的IP/MAC/VLAN/P()RT等信息,并形成一个DHCPSnooping绑定表.
交换机端口接收到的ARP报文后,识别并读取ARP报文内容,通过查找DHCPSnooping建立的绑定关系表,来判断ARP应答报文的发送者源IP、源MAC是否合法.
如果ARP报文中的发送者源MAC、lP匹配绑定表中的内容,则认为是合法的报文,交换机转发该报文;如果ARP报文中的发送者源MAC、IP与绑定表中的内容不匹配,则认为是欺骗攻击报文,交换机对ARP欺骗报文进行丢弃处理.
ARP泛洪攻击经常伴随着发送大量的ARP报文,消耗网络带宽资源和交换机CPU资源,造成网络丢包率高,网速降低,甚至全网瘫痪.
针对ARP泛洪攻击的这一特点,在接入交换机上部署ARP报文限速,对每个端口单位时间内接收到的ARP报文设置阀值,当端口在单位时间内ARP报文超过阀值时直接关闭该端口,并设置默认恢复时间,恢复时间为相对时间30s,即端口在自动关闭30s后重新打开.
以上的配置可以很好地保障了网络带宽资源和交换机CPU资源,从而有效防范ARP泛洪攻击.
交换机ARP入侵检测能够防止接人终端发起任何ARP欺骗攻击,可以有效解决ARP欺骗攻击问题.
3结束语本文介绍分析ARP协议的原理及4种常见的ARP欺骗攻击类型,并结合某电子政务网ARP防御的应用实例,提出一种ARP欺骗攻击的防御方案.
该方案在接入层部署ARP安全防御,能有效的阻止攻击数据包转发到汇聚层和核心层交换机,保护了交换机的资源.
保证网络的高效运行;同时采用DHCP服务器动态给客户机分配IP地址,降低了网管人员的维护工作量.
该方案具有实旋部署简单,无需在终端配置参数,防范效率高等特点,能够有效解决ARP欺骗攻击问题.
参考文献:[1]JeffDoyle.
RoutingTCP/IP:ValumeI[M].
Indiana—polis:MacmillanTechnicalPublishing,1998.
[2]曾梦良,郑雪峰.
基于接人层的网络安全解决方案研究[J].
微计算机信息,2007,10(3):72—74.
[3]CraigHunt.
RobertBruceThompson.
WindowsNTTCP/IP网络管理[M].
王颖,译.
北京:中国电力出版社,2000.
(责任编辑:韦廷宗)