【文章內(nèi)容簡介】 通信，A 首先會在自己的 ARP 緩存表項中查看有無B 的 ARP 表項。如果沒有， A 在局域網(wǎng)上廣播一個 ARP 請求，查詢 B 的 IP 地址所對應(yīng)的MAC 地址。本局域網(wǎng)上的所有主機(jī)都會收到該 ARP 請求。 所有收到 ARP 請求的主機(jī)都學(xué)習(xí) A 所對應(yīng)的 ARP 表項。如果 B 收到該請求，則發(fā)送一個 ARP 應(yīng)答給 A,告知 A 自己的 MAC 地址。主機(jī) A 收到 B 的 ARP 應(yīng)答后,會在自己的 ARP 緩存中寫入主機(jī) B 的 ARP 表項。如上所述，利用 ARP 協(xié)議，可以實現(xiàn)相同網(wǎng)段內(nèi)的主機(jī)之間正常通信或者通過網(wǎng)關(guān)與外網(wǎng)進(jìn)行通信。但由于 ARP 協(xié)議是基于網(wǎng)絡(luò)中的所有主機(jī)或者網(wǎng)關(guān)都為可信任的前提制定。導(dǎo)致在 ARP 協(xié)議中沒有認(rèn)證的機(jī)制，從而導(dǎo)致針對ARP 協(xié)議的欺騙攻擊非常容易。3 解決方案介紹根據(jù) ARP 的攻擊原理，我們可以很容易發(fā)現(xiàn)當(dāng)前 ARP 攻擊防御的關(guān)鍵所在：如何獲取到合法用戶和網(wǎng)關(guān)的 IPMAC 對應(yīng)關(guān)系，并如何利用該對應(yīng)關(guān)系對 ARP 報文進(jìn)行檢查，過濾掉非法 ARP 報文。我們可以采取兩個模式來監(jiān)控，即認(rèn)證模式和 DHCP 監(jiān)控模式。分別對用戶認(rèn)證的過程和 IP 地址申請過程的監(jiān)控，獲取到合法用戶的 IPMAC 對應(yīng)關(guān)系，從而解決不同環(huán)境下的 ARP 防攻擊問題。 認(rèn)證模式 總體思路通過增強(qiáng)用戶的認(rèn)證機(jī)制來獲取上線用戶的 IPMAC 對應(yīng)關(guān)系，并且利用認(rèn)證的手段來確認(rèn)當(dāng)前用戶的合法性。從而有效的解決難以獲取合法用戶的 IPMAC 對應(yīng)關(guān)系的問題。同時通過事先在認(rèn)證服務(wù)器上配置網(wǎng)關(guān)的 IPMAC 對應(yīng)關(guān)系的方式來集中管理網(wǎng)絡(luò)中存在的網(wǎng)關(guān)的 IPMAC 信息。當(dāng)合法用戶上線時，可以利用上述的兩個關(guān)鍵信息對網(wǎng)絡(luò)中存在的虛假 ARP 報文以過濾或者綁定合法的 ARP 信息，從而有效的防御 ARP 欺騙行為。 H3C 的防御手段充分的考慮了方案實施的適應(yīng)性要求，對虛假 ARP 報文加以過濾或者綁定合法 ARP 信息的功能可以根據(jù)網(wǎng)絡(luò)的條件分開使用。具體模式如下圖所示:圖 5 認(rèn)證模式示意圖 認(rèn)證模式之終端防護(hù)在用戶進(jìn)行 認(rèn)證的過程中，通過 CAMS 服務(wù)器下發(fā)預(yù)定的網(wǎng)關(guān) IPMAC 映射到 iNode 客戶端，iNode 客戶端在用戶 PC 上針對所有網(wǎng)卡查找匹配的網(wǎng)關(guān)，并將匹配網(wǎng)關(guān)的 IPMAC 映射關(guān)系在 PC 上形成靜態(tài) ARP 綁定，從而有效防止針對主機(jī)的網(wǎng)關(guān)仿冒 ARP 攻擊。如下所示圖:圖 6 認(rèn)證模式之終端防護(hù)示意圖iNode 客戶端，通過同 CAMS 服務(wù)器配合，由管理員在 CAMS 上設(shè)置正確的網(wǎng)關(guān) IP、MAC 對應(yīng)列表，并傳送至客戶端，客戶端無論當(dāng)前 ARP 緩存是何種狀態(tài)，均按照 CAMS 系統(tǒng)下發(fā)的 IP、MAC 列表更新本地的 ARP 緩存，并周期性更新，保證用戶主機(jī)網(wǎng)關(guān) MAC 地址的正確性，從而保證用戶主機(jī)報文發(fā)往正確的設(shè)備。詳細(xì)處理流程如下:i N o d e 客戶端C A M S 服務(wù)器i N o d e 客戶端發(fā)起 1 x 認(rèn)證流程1 x 認(rèn)證成功 ， C A M S 返回用戶預(yù)設(shè)置的 A R P 列表信息i N o d e 發(fā)起并處理 D H C P 請求根據(jù)下發(fā) C A M S 下發(fā) A R P 列表信息 ， 更新本地 A R P 列表圖 7 iNode 設(shè)置本地 ARP 流程CAMS 服務(wù)器上，由管理員預(yù)先設(shè)置正確的網(wǎng)關(guān) IPMAC 映射列表；待iNode 客戶端的認(rèn)證請求成功通過，CAMS 服務(wù)器通過 Radius 報文將預(yù)設(shè)的網(wǎng)關(guān) IPMAC 列表下發(fā)到客戶 PC 的接入交換機(jī)上，再由接入交換機(jī)透傳給客戶PC 上的 iNode 客戶端。iNode 客戶端收到 CAMS 服務(wù)器下發(fā)的網(wǎng)關(guān) IPMAC 映射列表后，在客戶PC 上針對所有網(wǎng)卡查找匹配的網(wǎng)關(guān)（客戶 PC 存在多個網(wǎng)卡的情況下， iNode只匹配每個網(wǎng)卡的 default gateway） ，然后依據(jù) CAMS 服務(wù)器下發(fā)的網(wǎng)關(guān)映射列表將匹配網(wǎng)關(guān)的 IPMAC 映射在客戶 PC 上形成靜態(tài) ARP 表項并更新本地 ARP緩存，從而保證客戶 PC 的數(shù)據(jù)報文發(fā)往正確的網(wǎng)關(guān)設(shè)備；為防止用戶再次上線過程中網(wǎng)關(guān) ARP 信息被篡改，iNode 客戶端會根據(jù)CAMS 服務(wù)器下發(fā)的正確的網(wǎng)關(guān) IPMAC 映射信息周期性的更新本地 ARP 緩存。 認(rèn)證模式之接入綁定在用戶進(jìn)行 認(rèn)證的過程中，通過擴(kuò)展 協(xié)議報文，在 eapol的 response 報文（code=1 、type=2）中攜帶用戶 PC 的 IP 地址（iNode 客戶端需選定“上傳 IP 地址”選項，且推薦客戶 PC 上手工配置 IP 地址及網(wǎng)關(guān)） ，接入交換機(jī)通過監(jiān)聽 認(rèn)證過程的協(xié)議報文，將用戶 PC 的 IP 地址、MAC 地址和接入端口形成綁定關(guān)系，在接入交換機(jī)上建立 IPMACPort 映射表項，并據(jù)此對用戶發(fā)送的 ARP/IP 報文進(jìn)行檢測，從而有效防止用戶的非法 ARP/IP 報文進(jìn)入網(wǎng)絡(luò)。如下所示圖：圖 8 認(rèn)證模式之接入綁定示意圖首先，H3C iNode 客戶端通過 協(xié)議向 CAMS 服務(wù)器發(fā)起認(rèn)證，并在 協(xié)議的 Response 報文中攜帶客戶 PC 的 IP 地址。接入交換機(jī)監(jiān)聽客戶 PC 上傳的 認(rèn)證報文，從客戶 PC 回應(yīng)的Response 報文（code=type=2）中提取客戶 PC 的 IP、MAC ，待客戶認(rèn)證成功，將其與客戶 PC 的接入端口進(jìn)行綁定，建立 IPMACPort 映射表項（周期