【文章內(nèi)容簡介】 用軟件出現(xiàn)故障等 ；仔細檢查你會發(fā)現(xiàn) 同一網(wǎng)段的所有上網(wǎng)機器均無法正常連接網(wǎng)絡(luò) ， 打開 交換或路由設(shè)備 的系統(tǒng)歷史記錄中看到大量的 MAC 更換信息 。 一旦網(wǎng)絡(luò)出現(xiàn)了上述的癥狀，你就該第一時間反應過來，你是否正收到來自 ARP 欺騙的威脅！ 目前，惡意主機可以在端點毫不知情的情況下竊取兩個端點之間的談話內(nèi)容。攻擊者不但可以竊取密碼和數(shù)據(jù)，還可以偷聽 IP 電話內(nèi)容 ，給網(wǎng)絡(luò)用戶造成了極大的威脅。 一般，我們認為 ARP 欺騙有兩種形式，一是 ARP 欺騙網(wǎng)關(guān)，另一是 ARP欺騙主機，下面的內(nèi)容將向你詳細描述。 8/19 ARP 欺騙主機 IP 地址欺騙攻擊者可以模仿合 法地址，方法是人工修改某個地址，或者通過程序執(zhí)行地址欺騙 ，核心就是向網(wǎng)絡(luò)中發(fā)送錯誤的 IP 和 MAC 對應的 ARP 請求，使得網(wǎng)段內(nèi)其它主機更新自己的緩存表，把錯誤信息加入到緩存表中，而使得網(wǎng)段內(nèi)某些合法主機無法實現(xiàn)正常通信 。 舉例說明，如下圖： 主機 D 維護著一個緩存表，正確的記錄著網(wǎng)段內(nèi)主機的網(wǎng)絡(luò)地址和物理地址的對應關(guān)系，惡意主機 A 發(fā)送 ARP 欺騙： 對應 MAC B， 主機 D 對此作出響應，并更改自己的緩存表，如下圖： 在主機 A 進行 ARP 欺騙前，主機 B 與主機 D 之間是正常的數(shù)據(jù)交互關(guān)系，而當主機 A 發(fā)起攻擊后，主機 D 依錯誤請求修改了自己的緩存表，于是，主機D 就把原本發(fā)給主機 B 的數(shù)據(jù)包全部發(fā)給了主機 A。 ARP 欺騙網(wǎng)關(guān) ARP 欺騙網(wǎng)關(guān)可能會對整個網(wǎng)段造成更大的危害。 攻擊者 通過 發(fā)送帶假冒源地址的 ARP 包，希望默認網(wǎng)關(guān)或其它主機能夠承認該地址，并將其保存在 ARP網(wǎng)關(guān) 主機 D 主機 C 主機 B 主機 A 向 D 發(fā)送 ARP 響應： MAC A …… …… MAC C MAC B MAC A 網(wǎng)關(guān) 主機 D 主機 C 主機 B 主機 A 主機 D修改了緩存表，同時把發(fā)給 B的數(shù)據(jù)直接發(fā)給了 A …… …… MAC C MAC A MAC A 9/19 表中。 ARP 協(xié)議不執(zhí)行任何驗證或過濾就會在目標主機中為這些惡意主機生成記錄項， 這是網(wǎng)絡(luò)隱患的開始 。 舉例說明，如下圖： 網(wǎng)關(guān)維護著一個正確的網(wǎng)段內(nèi)邏輯地址與物理地址的對應表，如上圖所示，惡意主機 A 為了攻擊網(wǎng)關(guān)，在網(wǎng)段內(nèi)不斷的發(fā)送 ARP 欺騙： 對應 MAC A， 則主機 A、 C、 D 都相應的更新自己的緩存表。 如上圖所示，系統(tǒng)認為主機 A 為網(wǎng)關(guān)，于是本該發(fā)到主機 E 的數(shù)據(jù)都發(fā)到主機 A 上面，主機 A 成功截獲所有流量，給網(wǎng)絡(luò)造成了極大的安全隱患。 ARP flood 攻擊 我們都知道了 Switch 上維護著一個動態(tài)的 MAC 緩存 ，它一般是這樣，首先，交換機內(nèi)部有一個對應的列表，交換機的端口對應 MAC 地址表 Port n Mac 記錄著每一個端口下面存在那些 MAC 地址，這個表開始是空的，交換機從來往網(wǎng)關(guān) E： 主機 D 主機 C 主機 B 主機 A 在網(wǎng)段內(nèi)發(fā) ARP 響應： MAC A …… …… MAC B MAC A MAC E 網(wǎng)關(guān) E： 主機 D 主機 C 主機 B 主機 A 網(wǎng)段內(nèi)其它主機修改自己的緩存表，并認為主機 A就是網(wǎng)關(guān) ?? ?? MAC B MAC A MAC A 10/19 數(shù)據(jù)幀中學習。因為 MACPORT 緩存表是動態(tài)更新的，那么讓整個 Switch 的端口表都改變，對 Switch 進行 MAC 地址欺騙的 Flood，不斷發(fā)送大量虛假的偽造的 MAC 地址數(shù)據(jù)包， Switch 就更新 MACPORT 緩存，通過這樣的辦法，攻擊源能把以前正常的 MAC 和 Port 對應的關(guān)系給破壞掉。 那么 Switch 就會進行泛洪發(fā)送給每一個端口，讓 Switch 基本變成一個 HUB，向所有的端口發(fā)送數(shù)據(jù)包。 當攻擊源大量的不停的向局域網(wǎng)中發(fā)送虛假的 ARP 信息后，就會造成局域網(wǎng)中主機的 ARP 緩存的崩潰。 二、 DCN 解決方案 端口 IPMAC 綁定 網(wǎng)關(guān) E 主機 D 主機 C 主機 B 主機 A 不斷向網(wǎng)關(guān) E發(fā)送大量虛假 偽造的 MAC地址數(shù)據(jù)包 11/19 DCN 交換機本身具有完備的安全特性，如上圖所示，在交換機端口上進行IP、 MAC 的綁定，這樣，交換機將不轉(zhuǎn)發(fā)非法用戶的數(shù)據(jù)包，并把它丟棄，讓攻擊源無可乘之機。 實現(xiàn)方式是全局使能 AM（ Address Manage），在端口上配置 IPpool 或者macippool（用戶可根據(jù)自己的需求進行選擇），當用戶有發(fā)包請求時，系統(tǒng)根據(jù)其源 IP 和 MAC 查找地址池，與地址池內(nèi)的用戶相匹配的主機可以通過交換機轉(zhuǎn)發(fā)所有報文，否則丟棄報文。通過 AM 設(shè)置，可有效防止網(wǎng)絡(luò)上某些危險主機冒充合法主機的 IP，造成網(wǎng)絡(luò)混亂。 舉例：在交換機接口 4 上將源 IP 為 和 源 MAC 是 000110223310 綁定。 Switch(Config)am enable Switch(Config)interface Ether 0/0/4 Switch(ConfigEther0/0/4)macip pool 000110223310 啟用交換機 SARP 功能 神州數(shù)碼網(wǎng)絡(luò)交換機產(chǎn)品支持 SARP（即安全 ARP）功能，可有效的防止ARP Spoofing 的攻擊。 網(wǎng)關(guān) 主機 D 主機 C 主