【文章內(nèi)容簡介】 路由器發(fā)送廣播，所以不能用來確定遠(yuǎn)程網(wǎng)絡(luò)設(shè)備的硬件地址。對于目標(biāo)主機(jī)位于遠(yuǎn)程網(wǎng)絡(luò)的情況，IP利用ARP確定默認(rèn)網(wǎng)關(guān)（路由器）的硬件地址，并將數(shù)據(jù)包發(fā)到默認(rèn)網(wǎng)關(guān)，由路由器按它自己的方式轉(zhuǎn)發(fā)數(shù)據(jù)包。 ARP安全漏洞ARP協(xié)議的安全問題主要來 自于其工作機(jī)制以及協(xié)議棧的實(shí)現(xiàn)。每臺主機(jī)都會維持一個IP地址與硬件MAC地址的高速映射緩存，該緩存稱為ARP緩存表。ARP欺騙的實(shí)質(zhì)就是刷新某臺主機(jī)的ARP緩存表．讓其出現(xiàn)錯誤的IP地址與MAC地址的映射關(guān)系。 其安全漏洞主要體現(xiàn)在如下幾個方面。（1）高速緩存漏洞之一來自于存放IP地址與硬件MAC地址映射關(guān)系的ARP高速緩存。ARP高速緩存利用動態(tài)更新機(jī)制及時(shí)地淘汰過時(shí)IPMAC記錄．合理地利用緩存．提高了查找的效率和緩存的使用效率。但是，這個優(yōu)點(diǎn)卻成了惡意者攻擊的幫兇。雖然每個IPMAC記錄存在都是有生存期的， 但是只要惡意者在這個記錄更新之前改變了這條記錄， 那么似的記錄就會存儲在緩存．在這個時(shí)間內(nèi)，相應(yīng)的主機(jī)就會被欺騙[10]。（2）ARP的無狀態(tài)性漏洞之二源于ARP協(xié)議請求和應(yīng)答機(jī)制。ARP協(xié)議并沒有對請求和應(yīng)答進(jìn)行必要的限制，使得局域網(wǎng)巾的任何主機(jī)都能夠隨意發(fā)送和接收請求數(shù)據(jù)包和應(yīng)答數(shù)據(jù)包，而且接收方對數(shù)據(jù)包完全信任，并不驗(yàn)證收到的數(shù)據(jù)包中IP和MAC對應(yīng)正確性。這是ARP協(xié)議的一個重大的漏洞。 只要是來自局域網(wǎng)內(nèi)的ARP應(yīng)答分組．就會將其中的IPARP地址記錄更新到本地ARP緩存中，而不進(jìn)行任何認(rèn)證，這就是ARP安全漏洞的本質(zhì):無狀態(tài)性。這也是會造成ARP欺騙的一個重要原因。針對上述的漏洞．局域網(wǎng)中的任何一臺主機(jī)只要偽造一個虛假的ARP請求包并且不停地廣播或不停發(fā)送應(yīng)答包（如果偽造網(wǎng)關(guān)欺騙，就以廣播方式），局域網(wǎng)的主機(jī)收到請求包或應(yīng)答包后不加認(rèn)證地更新自己的ARP緩存。在這個環(huán)節(jié)上沒有任何限制，ARP欺騙就水到渠成了。 ARP攻擊種類ARP攻擊主要有以盜取數(shù)據(jù)為主要目的的ARP欺騙攻擊，還有以搗亂破壞為目的的ARP泛洪攻擊和IP地址沖突等幾種。 　　IP地址沖突：制造出局域網(wǎng)上有另一臺主機(jī)與受害主機(jī)共享一個IP的假象。由于違反了唯一性要求，受害主機(jī)會自動向用戶彈出警告對話框。大量的攻擊數(shù)據(jù)包能令受害主機(jī) 耗費(fèi)大量的系統(tǒng)資源。對于Windows操作系統(tǒng)，只要接收到一個ARP數(shù)據(jù)包，不管該ARP數(shù)據(jù)包符不符合要求，只要該ARP數(shù)據(jù)包所記錄的源IP地址同本地主機(jī)相同但MAC地址不同，Windows系統(tǒng)就會彈出IP地址沖突的警告對話框[11]。根據(jù)IP地址沖突的攻擊特征描述，這種類型的ARP攻擊主要有以下幾種：：鏈路層所記錄的目的物理地址為被攻擊主機(jī)的物理地址，這樣使得該ARP數(shù)據(jù)包只能被受攻擊主機(jī)所接收而不被局域網(wǎng)內(nèi)的其它主機(jī)所接收實(shí)現(xiàn)隱蔽式攻擊。：鏈路層所記錄的目的物理地址為廣播地址，這樣使得局域網(wǎng)內(nèi)的所有主機(jī)都會接受到該ARP數(shù)據(jù)包，雖然該ARP數(shù)據(jù)包所記錄的目的IP地址不是受攻擊主機(jī)的IP地址，但是由于該ARP數(shù)據(jù)包為廣播數(shù)據(jù)包，這樣受攻擊主機(jī)也會接收到從而彈出IP地址沖突的警告對話框。IP地址相同但MAC地址不同的數(shù)據(jù)包[12]。 ARP泛洪攻擊 ARP泛洪攻擊是指攻擊主機(jī)持續(xù)把偽造的MACIP映射對發(fā)給受害主機(jī)，對于局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播，搶占網(wǎng)絡(luò)帶寬和干擾正常通信。會出現(xiàn)經(jīng)常有人反饋上不了網(wǎng)，或網(wǎng)速很慢，查看ARP表項(xiàng)也都正確，但在網(wǎng)絡(luò)中抓報(bào)文分析，發(fā)現(xiàn)大量ARP請求報(bào)文。（正常情況時(shí)，網(wǎng)絡(luò)中ARP報(bào)文所占比例是很小的）的現(xiàn)象[13]。它產(chǎn)生的原因有：惡意用戶利用工具構(gòu)造大量ARP報(bào)文發(fā)往交換機(jī)、路由器或某臺PC機(jī)的某個端口，導(dǎo)致CPU忙于處理ARP協(xié)議，負(fù)擔(dān)過重，造成設(shè)備其他功能不正常甚至癱瘓。通俗地理解：李四為保障電話薄正確，會定時(shí)檢查和刷新電話簿，王五就高頻率地修改李四的電話簿，導(dǎo)致李四也只能忙著刷新電話簿，無法做其它工作了。這種攻擊類型，攻擊者偽造大量不同ARP報(bào)文在同網(wǎng)段內(nèi)進(jìn)行廣播，導(dǎo)致網(wǎng)關(guān)ARP表項(xiàng)被占滿，合法用戶的ARP表項(xiàng)無法正常學(xué)習(xí)，導(dǎo)致合法用戶無法正常訪問外網(wǎng)[14]。主要是一種對局域網(wǎng)資源消耗的攻擊手段。這種攻擊方式的主要攻擊特征包含：。，使得正常通信被阻斷。，造成主機(jī)無法創(chuàng)建緩存表項(xiàng)，無法正常通信，這種攻擊特征作者將其命名為ARP溢出攻擊。ARP泛洪攻擊不是以盜取用戶數(shù)據(jù)為目的，它是以破壞網(wǎng)絡(luò)為目的，屬于損人不利己的行為。 ARP溢出攻擊ARP溢出攻擊是惡意用戶發(fā)出大量的ARP報(bào)文，造成L3設(shè)備的ARP表項(xiàng)溢出，影響正常用戶的轉(zhuǎn)發(fā)。方面惡意耗盡了IP資源，使得合法用戶無法獲得IP資源ARP溢出攻擊的特征主要有：，由于當(dāng)操作系統(tǒng)接收到一個源IP地址在ARP高速緩存表中不存在的ARP數(shù)據(jù)包時(shí)，就會在緩存表中創(chuàng)建一個對應(yīng)MACIP的入口項(xiàng)[15]。發(fā)送這種類型的攻擊數(shù)據(jù)包會引起交換機(jī)的CAM表溢出。由于交換機(jī)是通過學(xué)習(xí)進(jìn)入各端口數(shù)據(jù)幀的源MAC地址來構(gòu)建CAM表，將各端口和端口所連接主機(jī)的MAC地址的對應(yīng)關(guān)系進(jìn)行記錄，因而可根據(jù)CAM表來決定數(shù)據(jù)幀發(fā)往哪個端口。如果攻擊源持續(xù)向交換機(jī)發(fā)送大量有錯誤的MAC地址ARP數(shù)據(jù)包，就會破壞端口與MAC的對應(yīng)關(guān)系，并導(dǎo)致CAM表溢出。在這種情形之下，缺少防范措施的交換機(jī)就會以廣播的模式處理報(bào)文，形成泛洪向所有接口轉(zhuǎn)發(fā)通信信息流。最終使得交換機(jī)變成HUB，將交換式的網(wǎng)絡(luò)變成廣播式的網(wǎng)絡(luò)，使得網(wǎng)絡(luò)帶寬急劇下降。假如主機(jī)A要與目的主機(jī)B進(jìn)行通信，為了查找與目的主機(jī)IP地址相對應(yīng)的MAC地址，主機(jī)A使用ARP協(xié)議來查找目的主機(jī)B的MAC地址。首先，源主機(jī)A會以廣播的形式發(fā)送一個ARP請求數(shù)據(jù)包給以太網(wǎng)上的每一臺主機(jī)，這個過程稱為ARP廣播。而在接收到ARP廣播的所有計(jì)算機(jī)中，只有具有目的主機(jī)IP地址的主機(jī)B收到該廣播報(bào)文后，才會向源主機(jī)A回送一個包含其MAC地址的應(yīng)答，這樣一次正常的地址解析過程就完成了[16]。為了盡量減少網(wǎng)絡(luò)中ARP廣播請求的次數(shù)，每臺主機(jī)都擁有一個ARP緩存，這個緩存存放了自主機(jī)啟動以來所有的IP地址與MAC地址之間的映射記錄。主機(jī)每隔一定時(shí)間或者每當(dāng)收到ARP應(yīng)答，都會用新的地址映射記錄對ARP緩存進(jìn)行更新，以保證自己擁有最新的地址解析緩存。利用ARP協(xié)議的緩存更新不需要驗(yàn)證的特點(diǎn)，就可以冒用一個合法IP，對同網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嗅探，而這正是ARP欺騙病毒所采用的手段。假設(shè)有3臺主機(jī)分別為A、B、C，其中主機(jī)C已經(jīng)感染了ARP地址欺騙病毒。正常情況下，主機(jī)A與主機(jī)B通信對于主機(jī)C是不可見的，但是，主機(jī)C利用ARP欺騙技術(shù)，實(shí)現(xiàn)了交換網(wǎng)絡(luò)下的嗅探。 ARP掃描攻擊向局域網(wǎng)內(nèi)的所有主機(jī)發(fā)送ARP請求，從而獲得正在運(yùn)行主機(jī)的IP和MAC地址映射對。ARP掃描往往是為發(fā)動ARP攻擊做準(zhǔn)備。攻擊源通過ARP掃描來獲得所要攻擊主機(jī)的IP和MAC地址。從而為網(wǎng)絡(luò)監(jiān)聽、盜取用戶數(shù)據(jù)，實(shí)現(xiàn)隱蔽式攻擊做準(zhǔn)備。ARP掃描過程（ARP請求風(fēng)暴） 通訊模式（可能）： 請求 請求 請求 請求 請求 請求 應(yīng)答 請求 請求 請求... 描述： 網(wǎng)絡(luò)中出現(xiàn)大量ARP請求廣播包，幾乎都是對網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行掃描。大量的ARP請求廣播可能會占用網(wǎng)絡(luò)帶寬資源；ARP掃描一般為ARP攻擊的前奏[17] 。出現(xiàn)原因（可能）：，偵聽程序，掃描程序。2．如果網(wǎng)絡(luò)分析軟件部署正確，可能是我們只鏡像了交換機(jī)上的部分端口，所以大量ARP請求是來自與非鏡像口連接的其它主機(jī)發(fā)出的。，這些ARP請求廣播包是來自和交換機(jī)相連的其它主機(jī)。通過在網(wǎng)絡(luò)內(nèi)虛擬構(gòu)建網(wǎng)卡，將自己虛擬成網(wǎng)絡(luò)內(nèi)的一臺主機(jī)，擁有虛擬的物理地址和IP地址。[主要是通過在鏈路層捕獲所有流經(jīng)的ARP請求數(shù)據(jù)包進(jìn)行分析，若是對虛擬主機(jī)的ARP請求就會發(fā)送對應(yīng)虛擬物理地址的ARP響應(yīng)，并且虛擬主機(jī)本身也會發(fā)送ARP請求。虛擬主機(jī)攻擊會占用局域網(wǎng)內(nèi)的IP地址資源，使得正常運(yùn)行的主機(jī)發(fā)生IP地址沖突，并且局域網(wǎng)內(nèi)的主機(jī)也無法正常獲得IP地址[18]?！爸虚g人”攻擊ARP “中間人”攻擊，又稱為ARP雙向欺騙。,“中間人”攻擊會出現(xiàn)某臺PC上網(wǎng)突然掉線，一會又恢復(fù)了，但恢復(fù)后一直上網(wǎng)很慢。查看該P(yáng)C機(jī)的ARP表，網(wǎng)關(guān)MAC地址已被修改，而且網(wǎng)關(guān)上該P(yáng)C機(jī)的MAC也是偽造的。該P(yáng)C機(jī)和網(wǎng)關(guān)之間的所有流量都中轉(zhuǎn)到另外一臺機(jī)子上了。同樣，也會表現(xiàn)為局域網(wǎng)內(nèi)PC機(jī)之間共享文件等正常通信非常慢的現(xiàn)象。它產(chǎn)生的原因有：如下圖所示，如果有惡意攻擊者（Host B）想探聽Host A和Host C之間的通信，它可以分別給這兩臺主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應(yīng)的表項(xiàng)。此后，Host A 和Host C之間看似“直接”的通信，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即Host B擔(dān)當(dāng)了“中間人”的角色，可以對信息進(jìn)行了竊取和篡改[18]。通俗地理解：王五想偷聽張三和李四間的悄悄話，于是修改了張三和李四電話簿中的號碼，他們之間的通話都先中轉(zhuǎn)到王五這里了。 “中間人”攻擊示意圖3 ARP防范下面介紹防范ARP攻擊的幾種常用方法：根據(jù)ARP攻擊的特點(diǎn)，給出了攻擊和防范對應(yīng)表。 攻擊和防范對應(yīng)表攻擊方式防御方式動態(tài)獲取IP地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)”、“欺騙網(wǎng)關(guān)”、“欺騙終端用戶”、“ARP中間人攻擊”配置DHCP Snooping、ARP入侵檢測功能手工配置IP地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)”、“欺騙網(wǎng)關(guān)”、“欺騙終端用戶”、“ARP中間人攻擊”配置IP靜態(tài)綁定表項(xiàng)、ARP入侵檢測功能，自定義ACLARP泛洪攻擊配置ARP報(bào)文限速功能動態(tài)和手工配置IP地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)”攻擊配置認(rèn)證模式的ARP攻擊防御解決方案(CAMS下發(fā)網(wǎng)關(guān)配置功能) DHCP Snooping功能DHCP Snooping是運(yùn)行在二層接入設(shè)備上的一種DHCP安全特性。通過監(jiān)聽DHCP報(bào)文，記錄DHCP客戶端IP地址與MAC地址的對應(yīng)關(guān)系；通過設(shè)置DHCP Snooping信任端口，保證客戶端從合法的服務(wù)器獲取IP地址[19]。舉例： DHCP Snooping功能圖 開啟交換機(jī)DHCP Snooping功能。SwitchA systemview[SwitchA] dhcpsnooping 設(shè)置端口Ethernet1/0/1為DHCP Snooping信任端口，ARP信任端口。[SwitchA] interface Ethernet1/0/1[SwitchAEthernet1/0/1] dhcpsnooping trust[SwitchAEthernet1/0/1] ARP detection trust[SwitchAEthernet1/0/1] quit ARP入侵檢測功能H3C低端以太網(wǎng)交換機(jī)支持將收到的ARP（請求與回應(yīng)）報(bào)文重定向到CPU，結(jié)合DHCP Snooping安全特性來判斷ARP報(bào)文的合法性并進(jìn)行處理，具體如下。當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配，且ARP報(bào)文的入端口及其所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)一致，則為合法ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不匹配，或ARP報(bào)文的入端口，入端口所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不一致，則為非法ARP報(bào)文，直接丟棄。舉例： 開啟VLAN 1內(nèi)所有端口的ARP入侵檢測功能。[SwitchA] vlan 1[SwitchAvlan1] ARP detection enable[SwitchAvlan1] quit 靜態(tài)綁定 實(shí)現(xiàn)端口、IP和MAC靜態(tài)綁定，欺騙是通過ARP的動態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險(xiǎn)。缺點(diǎn)是每臺電腦需綁定，且重啟后任需綁定，工作量較大，雖說綁定可以通過批處理文件來實(shí)現(xiàn)，但也比較麻煩。端口、IP和MAC綁定舉例：方法一：通過端口綁定特性，網(wǎng)絡(luò)管理員可以將用戶的MAC地址和IP地址綁定到指定的端口上。進(jìn)行綁定操作后，交換機(jī)只對從該端口收到的指定MAC地址和IP地址的用戶發(fā)出的報(bào)文進(jìn)行轉(zhuǎn)發(fā)，提高了系統(tǒng)的安全性，增強(qiáng)了對網(wǎng)絡(luò)安全的監(jiān)控。 IP和MAC綁定示意圖為了防止小區(qū)內(nèi)有惡意用戶盜用Host A的IP地址，需要將Host A的MAC地址和IP地址綁定到Switch A上的Ethernet1/0/1端口。配置Switch A 進(jìn)入系統(tǒng)視圖。SwitchA systemview 進(jìn)入Ethernet1/0/1端口視圖。[SwitchA] interface Ethernet1/0/1 將Host 1的MAC地址和IP地址綁定到Ethernet1/0/1端口。[SwitchAEthernet1/0/1] am userbind macaddr 000100020003 IPaddr 方法二：以太網(wǎng)交換機(jī)提供MAC地址轉(zhuǎn)發(fā)表管理功能，用戶可以通過配置命令，手工添加/修改/刪除MAC地址，并配置動態(tài)MAC地址的老化時(shí)間，以及設(shè)置每個以太網(wǎng)端口最多可以學(xué)習(xí)到的MAC地址數(shù)量。 IP和MAC綁定示意圖要求：服務(wù)器通過Ethernet1/0/2端口連接到交換機(jī)。為避免交換機(jī)在轉(zhuǎn)發(fā)目的地址為服務(wù)器地址的報(bào)文時(shí)進(jìn)行廣播，要求在交換機(jī)上設(shè)置靜態(tài)的服務(wù)器MAC地址表項(xiàng)，使交換機(jī)始終通過Ethernet1/0/2端口單播發(fā)送去往服務(wù)器的報(bào)文[20]。端口Ethernet1/0/10連接NMS（Network Management Server，網(wǎng)管服務(wù)器），為增加網(wǎng)絡(luò)管理的安全性，要求該端口僅允許這臺NMS接入。 服務(wù)器的MAC地址為000fe20fdc71 端口