H3C助您全面防御ARP欺騙攻擊1 ARP欺騙攻擊的危害性當(dāng)您的計算機(jī)網(wǎng)絡(luò)連接正常,卻無法打開網(wǎng)頁;當(dāng)您的計算機(jī)網(wǎng)絡(luò)出現(xiàn)頻繁斷線,同時網(wǎng)速變得非常慢。這些都可能是由于存在ARP欺騙攻擊及ARP中毒,所表現(xiàn)出來的網(wǎng)絡(luò)故障情況。 ARP欺騙攻擊不僅導(dǎo)致校園網(wǎng)不穩(wěn)定,極大影響數(shù)字校園業(yè)務(wù)的正常運(yùn)行,更嚴(yán)重的是利用ARP欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊和網(wǎng)關(guān)仿冒攻擊。如果校園網(wǎng)內(nèi)某臺主機(jī)運(yùn)行ARP欺騙的木馬程序時,會欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān),讓所有網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā),攻擊者通過截獲的信息可得到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的用戶名和口令,這種攻擊行為就稱為中間人攻擊。這樣,雙方看似“直接”的通信連接,實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的。由此可見,中間人攻擊是一種非常惡劣的網(wǎng)絡(luò)惡意攻擊行為。而ARP仿冒網(wǎng)關(guān),攻擊者冒充網(wǎng)關(guān)發(fā)送免費(fèi)ARP,其它同一網(wǎng)絡(luò)內(nèi)的用戶收到后,更新自己的ARP表項(xiàng),后續(xù),受攻擊用戶發(fā)往網(wǎng)關(guān)的流量都會發(fā)往攻擊者。此攻擊導(dǎo)致用戶無法正常和網(wǎng)關(guān)通信。而攻擊者可以憑借此攻擊而獨(dú)占上行帶寬。 為什么殺毒軟件、防火墻都擋不住ARP 欺騙攻擊呢?主要由于ARP欺騙攻擊的木馬程序,通常會偽裝成常用軟件的一部分被下載并被激活,或者作為網(wǎng)頁的一部分自動傳送到瀏覽者的電腦上并被激活,或者通過U盤、移動硬盤等方式進(jìn)入網(wǎng)絡(luò)。由于木馬程序的形態(tài)特征都在不斷變化和升級,殺毒軟件常常會失去作用。 2 ARP欺騙攻擊的原理局域網(wǎng)上的一臺主機(jī),如果接收到一個ARP報文,即使該報文不是該主機(jī)所發(fā)送的ARP請求的應(yīng)答報文,該主機(jī)也會將ARP報文中的發(fā)送者的MAC地址和IP地址更新或加入到ARP表中。 圖1-1 以太網(wǎng)ARP協(xié)議報文結(jié)構(gòu) ARP欺騙攻擊就利用了這點(diǎn),攻擊者主動發(fā)送ARP報文,發(fā)送者的MAC地址為攻擊者主機(jī)的MAC地址,發(fā)送者的IP地址為被攻擊主機(jī)的IP地址。通過不斷發(fā)送這些偽造的ARP報文,讓局域網(wǎng)上所有的主機(jī)和網(wǎng)關(guān)ARP表,其對應(yīng)的MAC地址均為攻擊者的MAC地址,這樣所有的網(wǎng)絡(luò)流量都會發(fā)送給攻擊者主機(jī)。由于ARP欺騙攻擊導(dǎo)致了主機(jī)和網(wǎng)關(guān)的ARP表的不正確,這種情況我們也稱為ARP中毒。 圖1-2 ARP欺騙攻擊是如此簡單
由于ARP中毒后,所有的流量都需要經(jīng)過攻擊者進(jìn)行轉(zhuǎn)發(fā)。如果攻擊者具有轉(zhuǎn)發(fā)能力,在攻擊開始和攻擊結(jié)束是都會引發(fā)一次網(wǎng)絡(luò)中斷,攻擊過程中網(wǎng)絡(luò)速度變慢,網(wǎng)速變慢原因跟發(fā)送大量的ARP流量消耗了帶寬以及其本身處理能力有限有很大關(guān)系;如果攻擊者不具有轉(zhuǎn)發(fā)能力,網(wǎng)絡(luò)出現(xiàn)傳輸中斷,直到攻擊停止及ARP表恢復(fù)正常。 3 H3C助您全面防御ARP欺騙攻擊由于ARP欺騙攻擊,利用了ARP協(xié)議的設(shè)計缺陷,光靠包過濾、IP+MAC+端口綁定等傳統(tǒng)辦法是比較難解決的。 通過對ARP欺騙攻擊原理的剖析,如果要防御該類型攻擊,最理想的辦法是在接入層對ARP報文進(jìn)行內(nèi)容有效性檢查,對于沒有通過檢查的報文進(jìn)行丟棄處理。在接入層交換機(jī)上采取的這種技術(shù),我們稱為ARP入侵檢測。 在網(wǎng)絡(luò)實(shí)際部署中,有時候不能在所有的接入層部署ARP入侵檢測。為了防止出現(xiàn)ARP中毒引起的中間人攻擊,最好在網(wǎng)絡(luò)核心交換機(jī)或者匯聚三層交換機(jī)上部署ARP欺騙防御策略。ARP欺騙防御可以避免網(wǎng)關(guān)設(shè)備的ARP表被攻擊者非法改寫。 對于不能在全網(wǎng)接入交換機(jī)部署ARP入侵檢測的網(wǎng)絡(luò),不能單純靠網(wǎng)絡(luò)設(shè)備進(jìn)行ARP欺騙攻擊防御。因?yàn)椴还苁茿RP入侵檢測,還是ARP欺騙防御,都不能防止終端主機(jī)受到ARP中毒攻擊,也不能對發(fā)起ARP欺騙攻擊的終端PC進(jìn)行強(qiáng)制下線懲罰。因此對于不能在全網(wǎng)接入交換機(jī)部署ARP入侵檢測的情況,還需要通過部署端點(diǎn)準(zhǔn)入系統(tǒng)或者安全接入認(rèn)證系統(tǒng)(CAMS/EAD系統(tǒng)),進(jìn)一步加強(qiáng)ARP欺騙攻擊的控制和管理。 根據(jù)客戶實(shí)際的網(wǎng)絡(luò)環(huán)境,H3C結(jié)合接入交換機(jī)、核心交換機(jī)、CAMS/EAD系統(tǒng)的ARP欺騙攻擊特性,可以為您部署全面的ARP欺騙攻擊防御方案。以下就從這三個方面描述H3C如何能做到有效防御ARP欺騙攻擊的。 3.1 接入層交換機(jī)部署ARP入侵檢測交換機(jī)要防御ARP攻擊,就必須能夠識別并讀取ARP報文內(nèi)容,然后根據(jù)報文內(nèi)容判斷是否存在欺騙攻擊行為,對于ARP欺騙報文進(jìn)行丟棄處理。 在接入層就是利用接入交換機(jī)的ARP入侵檢測(ARP Intrusion Inspection)功能,進(jìn)行ARP欺騙攻擊防御。 圖1--3 接入交換機(jī)部署ARP入侵檢測
ARP入侵檢測在接入交換機(jī)進(jìn)行部署,接入交換機(jī)同時啟用DHCP Snooping對DHCP報文進(jìn)行監(jiān)測。DHCP Snooping通過監(jiān)測DHCP報文記錄了用戶的IP/MAC/VLAN/PORT等信息,并形成一個DHCP Snooping綁定表。交換機(jī)端口接收到的ARP報文后,通過查找DHCP Snooping建立的綁定關(guān)系表,來判斷ARP應(yīng)答報文的發(fā)送者源IP、源MAC是否合法。若ARP報文中的發(fā)送者源MAC、IP匹配綁定表中的內(nèi)容,則認(rèn)為是合法的報文,允許通過;否則認(rèn)為是欺騙攻擊報文,就進(jìn)行丟棄。 ARP入侵檢測能夠防止接入終端發(fā)起任何ARP欺騙攻擊,如果全網(wǎng)部署AII功能,可有效解決ARP欺騙攻擊問題。 另外由于ARP欺騙攻擊,經(jīng)常伴隨者發(fā)送大量的ARP報文,消耗網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源,造成網(wǎng)絡(luò)速度的速度降低。因此接入交換機(jī)還需要部署ARP報文限速,對每個端口單位時間內(nèi)接收到的ARP報文進(jìn)行限制,很好地保障了網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源。 3.2 核心交換機(jī)部署ARP欺騙防御如果網(wǎng)絡(luò)中的某臺接入層交換機(jī)沒有部署ARP入侵檢測,ARP欺騙攻擊就會在該交換機(jī)所屬的一個廣播域內(nèi)得逞,這樣在局部范圍內(nèi)會發(fā)生ARP中毒行為,甚至可能會引起中間人攻擊。 為了防止因ARP欺騙而發(fā)生的中間人攻擊行為,需要在網(wǎng)絡(luò)核心交換機(jī)交換機(jī)上部署ARP欺騙防御技術(shù)。ARP欺騙防御可以避免網(wǎng)關(guān)設(shè)備的ARP表被攻擊者非法改寫,既避免網(wǎng)關(guān)設(shè)備發(fā)生ARP中毒情況。 這樣只要終端PC沒有發(fā)生ARP中毒,網(wǎng)絡(luò)通訊就可以正常進(jìn)行;如果終端PC發(fā)生ARP中毒,其ARP表中的網(wǎng)關(guān)IP地址所對應(yīng)的MAC地址被惡意修改,終端PC的網(wǎng)絡(luò)通信就會受到嚴(yán)重影響。 圖1--4 核心/匯聚交換機(jī)部署ARP欺騙防御
核心/匯聚交換機(jī)有多種手段可以防御ARP欺騙攻擊。目前可以支持三種方式: 1) 第一種為固定MAC地址方法,對于動態(tài)ARP第一次學(xué)習(xí)到后就不允許再通過ARP學(xué)習(xí)對MAC地址進(jìn)行修改,只有等ARP老化后才允許學(xué)習(xí)新的MAC; 2) 第二種為多元素固定法,對于動態(tài)ARP學(xué)習(xí)和已解析的短靜態(tài)ARP的MAC地址及其對應(yīng)的端口、VLAN都不允許修改,只有等ARP老化后才允許學(xué)習(xí)新的MAC; 3) 主動確認(rèn)方法:啟用主動確認(rèn)方式防攻擊時,在收到涉及MAC地址變化的ARP報文時,不對此ARP直接進(jìn)行修改,而是先對原ARP表項(xiàng)對應(yīng)用戶發(fā)一個單播確認(rèn),如果收到應(yīng)答報文,則不允許修改ARP表;如果一定時間內(nèi)沒有收到應(yīng)答報文,則對新用戶發(fā)起一個單播請求,收到應(yīng)答后才允許修改ARP表。 如圖1-4所示,攻擊者試圖欺騙網(wǎng)關(guān),告訴網(wǎng)關(guān)用戶C的MAC地址應(yīng)該是攻擊者的MAC地址。由于啟用網(wǎng)關(guān)了ARP欺騙防御技術(shù),有效避免了網(wǎng)關(guān)ARP表中用戶C的ARP表項(xiàng)被非法修改。 對于前兩種ARP欺騙攻擊防御辦法,比較適用于IP地址、MAC地址、端口、VLAN都相對穩(wěn)定的情況,比如核心交換機(jī)只直接連接服務(wù)器,在核心交換機(jī)上啟用這種固定MAC方式防止ARP欺騙攻擊還是非常有效的。當(dāng)然如果服務(wù)器比較少時,采用靜態(tài)ARP也是一種不錯的選擇。 主動確認(rèn)方法,使用起來比較靈活,不會給攻擊者進(jìn)行ARP欺騙的機(jī)會。ARP欺騙攻擊的攻擊者要想欺騙網(wǎng)關(guān),他就是某臺正常上網(wǎng)的終端PC是不可能的,因?yàn)閱尾ゴ_認(rèn)報文會根據(jù)交換機(jī)的正確的MAC表轉(zhuǎn)發(fā)到正確的終端PC那里,這樣就很輕易地揭穿了騙局。 同樣為了防止大量的ARP報文形成對交換機(jī)的沖擊,核心交換機(jī)還需要能夠檢測ARP協(xié)議報文的攻擊行為,并對該攻擊源進(jìn)行屏蔽。 3.3 部署CAMS/EAD防御ARP欺騙攻擊從以上的闡述種,我們知道不管是接入層交換機(jī)的ARP 入侵檢測,還是核心/匯聚交換機(jī)的ARP欺騙防御,都不能避免其所連接的終端PC受到來自無任何限制的主機(jī)的ARP攻擊。 這種情況經(jīng)常發(fā)生以下前提下,如果網(wǎng)絡(luò)中有一個網(wǎng)段,其網(wǎng)段上的終端PC有部分沒有直接連接到部署有ARP入侵檢測的接入交換機(jī)上,那么這個網(wǎng)段上的PC就有可能受到ARP欺騙攻擊,即使哪些連接在部署有ARP入侵檢測的接入交換機(jī)上的終端PC也不能避免。 因此當(dāng)我們的網(wǎng)絡(luò)中如果因各種原因不能在全網(wǎng)接入交換機(jī)上部署ARP入侵檢測時,要想有效防御ARP欺騙攻擊,還需要通過部署端點(diǎn)準(zhǔn)入系統(tǒng)或者安全接入認(rèn)證系統(tǒng)(CAMS/EAD系統(tǒng)),進(jìn)一步加強(qiáng)ARP欺騙攻擊的控制和管理。 CAMS/EAD系統(tǒng)在防御ARP欺騙攻擊上,主要實(shí)現(xiàn)了兩點(diǎn)功能: 1) 解決了防止終端PC受到ARP欺騙攻擊的問題; 2) 防止終端PC發(fā)送大量廣播報文影響網(wǎng)絡(luò)性能或發(fā)起ARP 欺騙攻擊。
圖1-4部署CAMS/EAD防御ARP欺騙攻擊
通過部署CAMS/EAD系統(tǒng),CAMS/EAD服務(wù)端給客戶端下發(fā)需要保護(hù)的ARP列表內(nèi)容,特別是網(wǎng)關(guān)的IP地址和MAC地址對應(yīng)表。CAMS/EAD客戶端接收到下發(fā)的ARP列表內(nèi)容,執(zhí)行ARP靜態(tài)綁定,這樣在受到ARP欺騙攻擊時,客戶端仍然可訪問網(wǎng)絡(luò)。 另外,CAMS/EAD客戶端還可以檢測異常流量,如果發(fā)生ARP欺騙攻擊行為,也會產(chǎn)生大量的廣播報文,客戶端會將該類型報文也當(dāng)作異常流量。當(dāng)檢測到異常流量時,客戶端會上報給服務(wù)端,然后服務(wù)端對發(fā)送異常流量的終端進(jìn)行強(qiáng)制下線處理。 那么CAMS/EAD系統(tǒng)是否可以獨(dú)自承擔(dān)ARP欺騙攻擊防御任務(wù)呢?答案是否定的。首先CAMS/EAD系統(tǒng)只能解決終端PC在受到ARP欺騙攻擊時,其ARP表中的靜態(tài)ARP表項(xiàng)不受影響。CAMS/EAD系統(tǒng)不能防止客戶端發(fā)起ARP欺騙攻擊,因?yàn)榈瓤蛻舳藱z測異常流量行為時,ARP欺騙攻擊行為已經(jīng)發(fā)生,這是網(wǎng)關(guān)、其它PC都可能已經(jīng)受到攻擊影響了。 因此CAMS/EAD系統(tǒng)防ARP欺騙攻擊,需要跟交換機(jī)配合,才能真正達(dá)到防御效果。 3.4 如何選擇您的ARP欺騙攻擊防御組合?以上三種ARP欺騙攻擊防御手段,可根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境進(jìn)行靈活組合。下面一張表格,根據(jù)不同的網(wǎng)絡(luò)部署現(xiàn)狀,給出了ARP欺騙攻擊防御方案的部署建議。
備注: AII - ARP入侵檢測;ASD - ARP欺騙防御 |
|