【正文】 機發(fā)送大量有錯誤的 MAC 地址 ARP 數(shù)據(jù)包，就會破壞端口與 MAC 的對應(yīng)關(guān)系，并導(dǎo)致 CAM 表溢出。在這種情形之下，缺少防范措施的交換機就會以廣播的模式處理報文，形成泛洪向所有接口轉(zhuǎn)發(fā)通信信息流。最終使得交換機變成 HUB，將交換式的網(wǎng)絡(luò)變成廣播式的網(wǎng)絡(luò)，使得網(wǎng)絡(luò)帶寬急劇下降。假如主機 A要與目的主機 B進行通信，為了查找與目的主機 IP 地址相對應(yīng)的 MAC 地址，主機 A 使用 ARP 協(xié)議來查找目的主機 B的 MAC 地址。首先，源主機 A 會以廣播的 陜西理工學(xué)院畢業(yè)設(shè)計 第 8 頁 共 48 頁 形式發(fā)送一個 ARP 請求數(shù)據(jù)包給以太網(wǎng)上的每一臺主機，這個過程稱為 ARP 廣播。而在接收到 ARP廣播的所有計算機中，只有具有目的主機 IP 地址的主機 B收到該廣播報文后，才會向源主機 A回送一個包含其 MAC 地址的應(yīng)答，這樣一次正常的地址解析過程就完成了 [16]。為了盡量減少網(wǎng)絡(luò)中 ARP廣播請求的次數(shù)，每臺主機都擁有一個 ARP 緩存，這個緩存存放了自主機啟動以來所有的 IP 地址與 MAC 地址之間的映射記錄。主機每隔一定時間或者每當(dāng)收到 ARP 應(yīng)答，都會用新的地址映射記錄對 ARP 緩存進行更新 ，以保證自己擁有最新的地址解析緩存。 利用 ARP 協(xié)議的緩存更新不需要驗證的特點，就可以冒用一個合法 IP，對同網(wǎng)絡(luò)的數(shù)據(jù)進行嗅探，而這正是 ARP 欺騙病毒所采用的手段。假設(shè)有 3 臺主機分別為 A、 B、 C，其中主機 C 已經(jīng)感染了 ARP 地址欺騙病毒。正常情況下，主機 A與主機 B通信對于主機 C是不可見的，但是，主機 C利用 ARP 欺騙技術(shù)，實現(xiàn)了交換網(wǎng)絡(luò)下的嗅探。 ARP 掃描攻擊 向局域網(wǎng)內(nèi)的所有主機發(fā)送 ARP 請求，從而獲得正在運行主機的 IP 和 MAC 地址映射對。 ARP掃描往往是為發(fā)動 ARP 攻擊做準(zhǔn)備。攻擊源通過 ARP 掃描來獲得所要攻擊主機的 IP 和 MAC 地址。從而為網(wǎng)絡(luò)監(jiān)聽、盜取用戶數(shù)據(jù)，實現(xiàn)隱蔽式攻擊做準(zhǔn)備。 ARP 掃描過程（ ARP 請求風(fēng)暴） 通訊模式（可能）： 請求 請求 請求 請求 請求 請求 應(yīng)答 請求 請求 請求 ... 描述： 網(wǎng)絡(luò)中出現(xiàn)大量 ARP 請求廣播包，幾乎都是對網(wǎng)段內(nèi)的所有主機進行掃描。大量的 ARP 請求廣播可能會占用網(wǎng)絡(luò)帶寬資源； ARP 掃描一般為 ARP 攻擊的前奏 [17] 。出現(xiàn)原因（可能）： ，偵聽程序，掃描程序。 2．如果網(wǎng)絡(luò)分析軟件部 署正確，可能是我們只鏡像了交換機上的部分端口，所以大量 ARP 請求是來自與非鏡像口連接的其它主機發(fā)出的。 ，這些 ARP 請求廣播包是來自和交換機相連的其它主機。 通過在網(wǎng)絡(luò)內(nèi)虛擬構(gòu)建網(wǎng)卡，將自己虛擬成網(wǎng)絡(luò)內(nèi)的一臺主機，擁有虛擬的物理地址和 IP 地址。[主要是通過在鏈路層捕獲所有流經(jīng)的 ARP 請求數(shù)據(jù)包進行分析，若是對虛擬主機的 ARP 請求就會發(fā)送對應(yīng)虛擬物理地址的 ARP 響應(yīng)，并且虛擬主機本身也會發(fā)送 ARP 請求。虛擬主機攻擊會占用局域網(wǎng)內(nèi)的 IP 地址資源，使得正常運行的主機發(fā)生 IP 地址沖突，并且局域網(wǎng)內(nèi)的主機也無法正常獲得 IP 地址 [18]。 “中間人”攻擊 ARP “中間人”攻擊，又稱為 ARP 雙向欺騙。如圖 所示 ,“中間人”攻擊會出現(xiàn)某臺 PC上網(wǎng)突然掉線，一會又恢復(fù)了，但恢復(fù)后一直上網(wǎng)很慢。查看該 PC 機的 ARP 表，網(wǎng)關(guān) MAC 地址已被修改，而且網(wǎng)關(guān)上該 PC 機的 MAC 也是偽造的。該 PC 機和網(wǎng)關(guān)之間的所有流量都中轉(zhuǎn)到另外一臺機子上了。同樣，也會表現(xiàn)為局域網(wǎng)內(nèi) PC 機之間共享文件等正常通信非常慢的現(xiàn)象。它產(chǎn)生的原因有：如下圖所示，如果有惡意攻擊者 （ Host B） 想探聽 Host A和 Host C 之間的通信，它可以分別給這兩臺主機發(fā)送偽造的 ARP 應(yīng)答報文，使 Host A和 Host C 用 MAC_B 更新自身 ARP 映射表中與對方 IP 地址相應(yīng)的表項。此后， Host A 和 Host C 之間看似“直接”的通信，實際上都是通過黑客所在的主機間接進行的，即 Host B擔(dān)當(dāng)了“中間人”的角色，可以對信息進行了竊取和篡改 [18]。通俗地理解：王五想偷聽張三和李四間的悄悄話，于是修改了張三和李四電話簿中的號碼，他們之間的通話都先中轉(zhuǎn)到王五這里了。 陜西理工學(xué)院畢業(yè)設(shè)計 第 9 頁 共 48 頁 圖 “中間人”攻擊示意圖 陜西理工學(xué)院畢業(yè)設(shè)計 第 10 頁 共 48 頁 3 ARP 防范 下面介紹防范 ARP 攻擊的幾種常用方法：根據(jù) ARP 攻擊的特點，給出了攻擊和防范對應(yīng)表。 表 攻擊和防范對應(yīng)表 攻擊方式 防御方式 動態(tài)獲取 IP 地址的用戶進行“仿冒網(wǎng)關(guān)”、“欺騙網(wǎng)關(guān)”、“欺騙終端用戶”、“ ARP 中間人攻擊” 配置 DHCP Snooping、 ARP 入侵檢測功能 手工配置 IP 地址的用戶進行“仿冒網(wǎng)關(guān)”、“欺騙網(wǎng)關(guān)”、“欺騙終端用戶”、“ ARP 中間人攻擊” 配置 IP 靜態(tài)綁定表項、 ARP 入侵檢測功能，自定義ACL ARP 泛洪攻擊 配置 ARP 報文限速功能 動態(tài)和手工配置 IP 地址的用戶進行“仿冒網(wǎng)關(guān)”攻擊 配置認(rèn)證模式的 ARP攻擊防御解決方案 (CAMS下發(fā)網(wǎng)關(guān)配置功能 ) DHCP Snooping功能 DHCP Snooping是運行在二層接入設(shè)備上的一種 DHCP 安全特性。通過監(jiān)聽 DHCP 報文，記錄DHCP 客戶端 IP 地址與 MAC 地址的對應(yīng)關(guān)系；通過設(shè)置 DHCP Snooping信任端口，保證客戶端從合法的服務(wù)器獲取 IP 地址 [19]。 舉例： 圖 DHCP Snooping 功能圖 開啟交換機 DHCP Snooping功能。 SwitchA systemview [SwitchA] dhcpsnooping 設(shè)置端口 Ether1/0/1為 DHCP Snooping信任端口， ARP 信任端口。 [SwitchA] interface Ether1/0/1 [SwitchAEther1/0/1] dhcpsnooping trust [SwitchAEther1/0/1] ARP detection trust [SwitchAEther1/0/1] quit ARP 入侵檢測功能 H3C低端以太網(wǎng)交換機支持將收到的 ARP（請求與回應(yīng)）報文重定向到 CPU，結(jié)合 DHCP Snooping安全特性來判斷 ARP 報文的合法性并進行處理，具體如下。 當(dāng) ARP 報文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與 DHCP Snooping 表項或者手工配置的IP 靜態(tài)綁定表項匹配，且 ARP 報文的入端口及其所屬 VLAN 與 DHCP Snooping表項或者手工配置 陜西理工學(xué)院畢業(yè)設(shè)計 第 11 頁 共 48 頁 的 IP 靜態(tài)綁定表項一致，則為合法 ARP 報文，進行轉(zhuǎn)發(fā)處理。 當(dāng) ARP 報文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與 DHCP Snooping 表項或者手工配置的IP 靜態(tài)綁定表項不匹配，或 ARP 報文的入端口，入端口所屬 VLAN 與 DHCP Snooping表項或者手工配置的 IP 靜態(tài)綁定表項不一致，則為非法 ARP 報文，直接丟棄。 舉例： 開啟 VLAN 1 內(nèi)所有端口的 ARP 入侵檢測功能。 [SwitchA] vlan 1 [SwitchAvlan1] ARP detection enable [SwitchAvlan1] quit 靜態(tài)綁定 實現(xiàn)端口、 IP 和 MAC 靜態(tài)綁定，欺騙是通過 ARP 的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)機器，所以我 們把 ARP 全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng) PC 的欺騙，同時在網(wǎng)關(guān)也要進行 IP 和 MAC 的靜態(tài)綁定，這樣雙向綁定才比較保險。缺點是每臺電腦需綁定，且重啟后任需綁定，工作量較大，雖說綁定可以通過批處理文件來實現(xiàn)，但也比較麻煩。 端口、 IP 和 MAC 綁定舉例： 方法一： 通過端口綁定特性，網(wǎng)絡(luò)管理員可以將用戶的 MAC 地址和 IP 地址綁定到指定的端口上。進行綁定操作后，交換機只對從該端口收到的指定 MAC 地址和 IP 地址的用戶發(fā)出的報文進行轉(zhuǎn)發(fā)，提高了系統(tǒng)的安全性，增強了對網(wǎng)絡(luò)安全的監(jiān)控。 圖 IP 和 MAC 綁定示意圖 為了防止小區(qū)內(nèi)有惡意用戶盜用 Host A的 IP 地址，需要將 Host A的 MAC 地址和 IP 地址綁定到 Switch A上的 Ether1/0/1 端口。 配置 Switch A 進入系統(tǒng)視圖。 SwitchA systemview 進入 Ether1/0/1 端口視圖。 [SwitchA] interface Ether1/0/1 將 Host 1 的 MAC 地址和 IP 地址綁定到 Ether1/0/1 端口。 [SwitchAEther1/0/1] am userbind macaddr 000100020003 IPaddr 方法二： 以太網(wǎng)交換機提供 MAC 地址轉(zhuǎn)發(fā)表管理功能，用戶可以通過配置命令，手工添加 /修改 /刪除MAC 地址，并配置動態(tài) MAC 地址的老化時間，以及設(shè)置每個以太 網(wǎng)端口最多可以學(xué)習(xí)到的 MAC 地址數(shù)量。 陜西理工學(xué)院畢業(yè)設(shè)計 第 12 頁 共 48 頁 圖 IP 和 MAC 綁定示意圖 要求： 服務(wù)器通過 Ether1/0/2 端口連接到交換機。為避免交換機在轉(zhuǎn)發(fā)目的地址為服務(wù)器地址的報文時進行廣播，要求在交換機上設(shè)置靜態(tài)的服務(wù)器 MAC地址表項，使交換機始終通過 Ether1/0/2端口單播發(fā)送去往服務(wù)器的報文 [20]。端口 Ether1/0/10 連接 NMS（ Network Management Server，網(wǎng)管服務(wù)器），為增加網(wǎng)絡(luò)管理的安全性，要求該端口僅允許這臺 NMS接入。 MAC 地址為 000fe20fdc71 Ether1/0/2 屬于 VLAN10 NMS 的 MAC 地址為 0014222caa69 配置 將端口 Ether1/0/5 和 Ether1/0/2 加入 VLAN10 Sysname systemview [Sysname] vlan 10 [Sysnamevlan] 添加靜態(tài) MAC 地址。 [Sysname] macaddress static 000fe20fdc71 interface Ether 1/0/2 vlan 10 設(shè)置交換機上動態(tài) MAC 地址表項的老化時間為 500秒。 [Sysname] macaddress timer aging 500 在系統(tǒng)視圖下查看 MAC 地址配置。 [Sysname] display macaddress interface Ether 1/0/2 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000fe20fdc71 1 Static Ether1/0/2 NOAGED 00e0fc17a7d6 1 Learned Ether1/0/2 AGING 00e0fc5eb1fb 1 Learned Ether1/0/2 AGING 00e0fc55f116 1 Learned Ether1/0/2 AGING 4 mac address(es) found . port Ether1/0/2 通過禁止端口動態(tài)學(xué)習(xí) MAC 地址功能與手工添加靜態(tài) MAC 表項功能的配合，保證其他主機無法通過此端口通信。 [Sysname] interface Ether 1/0/10 [SysnameEther1/0/10] port access vlan 10 [SysnameEther1/0/10] macaddress maxmaccount 0 [SysnameEther1/0/10] macaddress static 0014222caa69 vlan 10 陜西理工學(xué)院畢業(yè)設(shè)計 第 13 頁 共 48 頁 4 ARP 欺騙攻擊的實現(xiàn) WinPCap 簡介及開發(fā)環(huán)境 WinPcap (Windows Packet Capture)是 Windows 平臺下一個免費、公共的網(wǎng)絡(luò)訪問系統(tǒng)，是其他一些安全工具的應(yīng)用礎(chǔ)．主要由數(shù)據(jù)包捕獲和過濾模塊 NPF、低層網(wǎng)絡(luò)編程接口 packet． dll 和高層編程接口 這部分組成。 WinPcap 基于 Libpcap，它的目的是使一些 Windows 應(yīng)用程序可以訪問網(wǎng)絡(luò)底層。它具有以捕獲原始數(shù)據(jù)包、過濾、數(shù)據(jù)包發(fā)送、 網(wǎng)絡(luò)通信統(tǒng)計等 4項基 本功能。 檢測器利采用 VC++ 在 WinPcap 開發(fā)包基礎(chǔ)上開發(fā)實現(xiàn)。 (1)下載并安裝 WinPcap，安裝之后在目錄” C:\WINDOWS\system32“下 WinPcap 添加了、 。 (2)增加 WinPcap 的 incl