ARP协约知识学习(三).ppt

《ARP协约知识学习(三).ppt》由会员分享，可在线阅读，更多相关《ARP协约知识学习(三).ppt（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ARP 协议,ARP协议的定义,ARP (Address Resolution Protocol ) 中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。 作用：IPMAC 简单来说： 任何网络访问（第一次）都会事先发一次arp的请求，以获取目地主机的物理地址。,IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。,ARP协议的意义,以太网帧格式,ARP协议的工作原理,当源主机需要将一个数据包要发送到目的主机时,将按照以下几个步骤进行： 首先，ARP高级缓存，存放：

2、 IPMAC IP.A MAC.A IP.B MAC.B 如果没有，运行ARP进程。工作过程如下： 1）A的ARP进程广播发送ARP请求分组 2）不是B，不理睬，丢弃 3）是B，B响应并更新缓存，向A单播发送ARP响应分组 4）主机A收到，得到MAC.B，写入缓存,1）同一局域网内,ARP请求,ARP响应,2）不同局域网内,路由器作代理服务器,ARP缓存是个用来储存IP地址和MAC地址的缓冲区，其本质就是一个IP地址-MAC地址的对应表，表中每一个条目分别记录了网络上其他主机的IP地址和对应的MAC地址。,ARP缓存,ARP协议格式,特殊的ARP,代理ARP 向另一个网络发送ARP请求时，路由

3、器主机返回自己的mac作为目的地址 免费ARP 发给自己的ARP，一般发生在系统引导时，来获得网络接口的MAC地址。,代理ARP,两个物理网络通过代理ARP连接,免费ARP,免费ARP就是一个发往自己IP地址的ARP请求。在免费ARP中，SPA(发送者协议地址)和TPA(目标协议地址)被设置成同一个IP地址。 免费ARP地址有两个方面的作用： 1）一个主机可以通过他来确定另一个主机是否设置了相同的IP地址，如果发送了3个免费ARP后，都没有收到ARP回应，IP就假定此IP地址在此网络段中是唯一的。； 2）如果发送免费ARP的主机正好改变了硬件地址，那么这个分组就可以使用其他主机高速缓存中旧的硬

4、件地址进行相应的更新。,漏洞的根源 1）ARP协议是无连接的 2）没有ARP的请求也可以ARP回复, 3）最致命的就是操作系统收到这个请求后就会更新ARP缓存。 ARP请求也可以伪造。 ARP主机的缓存中毒！,ARP协议漏洞,ARP攻击分析,帧类型0 x0806,ARP欺骗都是通过填写错误的MAC-IP对应关系来实现的,ARP攻击利用ARP协议本身的缺陷来实现！,可以利用帧类型来识别ARP报文,ARP攻击种类,1、ARP欺骗攻击仿冒网关 攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。 主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。,正常用户A,网关G

5、,网关MAC更新了,已更新,发送伪造ARP信息,攻击者B,网关的 MAC is 2-2-2,ARP表项更新为,数据流被中断,这种攻击为ARP攻击中最为常见的攻击,2、ARP欺骗攻击欺骗网关 攻击者伪造虚假的ARP报文，欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网,正常用户A,网关G,用户A的MAC更新了,已更新,发送伪造ARP信息,攻击者B,用户A的MAC is 2-2-2,ARP表项更新为,数据流被中断,3、ARP欺骗攻击欺骗终端用户 攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误

6、的MAC地址，同网段内的用户无法正常互访。,正常用户A,网关G,用户C的MAC更新了,知道了,发送伪造ARP信息,攻击者B,用户C的MAC is 2-2-2,ARP表项更新为,数据流被中断,4、ARP泛洪攻击 攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网,正常用户A,网关G,用户A、A1、A2、A3的MAC更新了,已更新,发送大量伪造ARP信息,攻击者B,1.1.0.2 MAC is 2-2-2,ARP表项被占满,ARP表项无法学习,1.1.0.3 MAC is 2-2-3,1.1.0.4 MAC is

7、 2-2-4,1.1.1.103 MAC is 3-3-3,ARP攻击防御的三个控制点,网关G,用户,接入设备,网关防御 合法ARP绑定，防御网关被欺骗 ARP数量限制，防御ARP泛洪攻击,1,接入设备防御 网关IP/MAC绑定，过滤掉仿冒网关的报文 合法用户IP/MAC绑定，过滤掉终端仿冒报文 ARP限速,2,ARP攻击防御解决思路,设备利旧,告警能力,出于园区网设备利旧考虑，ARP防攻击方案应该是多个功能点的集合。以便于适应多种园区网的实际状况，并且要尽可能减小对设备的依赖。,发现ARP攻击后应该有告警能力，以便于管理人员对感染ARP病毒的主机进行取证。,思路,尽可能减少园区网投资，解决老

8、是头疼的问题。,网络优化,建议对现有不合理的网络结构进行优化，采用标准的三层结构，汇聚层做网关。,常见防御ARP攻击的技术,1、DHCP snooping； 2、IP Source Guard； 3、DAI； 4、交换机端口安全技术； 5、mac访问控制列表； 6、ARP报文限速； 7、ARP mac地址手工绑定 .,DHCP监控模式 DHCPsnooping DHCP snooping是一种通过建立和维护一个DHCP绑定数据库来提供过滤不可信的DHCP消息的一种安全特性. 1.dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。 2.与交换机DAI的

9、配合，防止ARP病毒的传播。 3.建立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcp ack包中的ip和mac地址生成的，二是可以手工指定。这张表是后续DAI（dynamic arp inspect）和IP Source Guard 基础它里头包含客户端的IP、MAC、所属VLAN等等相关信息，而这些信息，恰恰可以作为ARP合法性校验的依据,DAI DAI依赖DHCP snooping技术。 DAI部署于交换机上，用于确保合法的ARP request或response被放行而非法的ARP消息被丢弃。交换机部署DAI后的主要动作如下： 1）在DAI untrust接口上（注

10、意与DHCP snooping的untrust接口区分开）阻拦一切ARP requests或response消息并作校验 2）在更新自己ARP表或将收到的ARP消息转发出去之前先进行合法性校验，主要看ARP报文中的IP及MAC对应关系是否合法 3）丢弃非法的ARP报文，交换机会在丢弃非法的ARP后进行log,DAI借助于DHCP snooping的绑定数据库进行ARP合法性校验。另一个合法性校验的依据是手工配置的ARP ACL。,Ip source guard 通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法报文通过端口，从而限制了对网络资源的非法使用（比

11、如非法主机仿冒合法用户IP接入网络），提高了端口的安全性。图为IP Source Guard功能示意图,IP Source Guard按照绑定表项的产生方式分为静态绑定和动态绑定：,认证防御模式,通过增强用户的认证机制来获取上线用户的IP-MAC对应关系，并且利用认证的手段来确认当前用户的合法性。从而有效的解决难以获取合法用户的IP-MAC对应关系的问题。同时通过事先在认证服务器上配置网关的IP-MAC对应关系的方式来集中管理网络中存在的网关的IP-MAC信息。当合法用户上线时，可以利用上述的两个关键信息对网络中存在的虚假ARP报文以过滤或者绑定合法的ARP信息，从而有效的防御ARP欺骗行为。

12、,认证模式之终端防护 在用户进行802.1X认证的过程中，通过iMC服务器下发预定的网关IP-MAC映射到iNode客户端，iNode客户端在用户PC上针对所有网卡查找匹配的网关，并将匹配网关的IP-MAC映射关系在PC上形成静态ARP绑定，从而有效防止针对主机的网关仿冒ARP攻击。如下所示图：,认证模式之接入绑定 在用户进行802.1X认证的过程中，通过扩展802.1X协议报文，在response报文（code=1、type=2）中携带用户PC的IP地址（iNode客户端需选定“上传IP地址”选项，且推荐客户PC上手工配置IP地址及网关），接入交换机通过监听802.1X认证过程的协议报文，将

13、用户PC的IP地址、MAC地址和接入端口形成绑定关系，在接入交换机上建立IP-MAC-Port映射表项，并据此对用户发送的ARP/IP报文进行检测，从而有效防止用户的非法ARP/IP报文进入网络。如下所示图：,ARP限速 开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢

14、复为开启状态。,ARP命令,arp-a InetAddr -N IfaceAddr -g InetAddr -N IfaceAddr -d InetAddr IfaceAddr -s InetAddr EtherAddr IfaceAddr 参数 -a InetAddr -N IfaceAddr 显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr，则使用第一个适用的接口。要显示特定接口的 ARP 缓存表，请将 -N IfaceAddr 参数与

15、-a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。 -g InetAddr -N IfaceAddr 与 -a 相同。 -d InetAddr IfaceAddr 删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通配符代替 InetAddr。 -s InetAddr EtherAddr IfaceAddr 向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。,The end. Thank you！,