ARP协议学习(三).ppt

《ARP协议学习(三).ppt》由会员分享，可在线阅读，更多相关《ARP协议学习(三).ppt（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ARP ARP 协议ARP协议的定义协议的定义ARP(Address Resolution Protocol)中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。作用：IPMAC简单来说：任何网络访问（第一次）都会事先发一次arp的请求，以获取目地主机的物理地址。IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。ARP协议的意义协议的意义hub交换机路由器hubhubA AB BIP.B IP.AMAC.BMAC.A 以太网帧格式ARPARP协议的工作原理协议的工

2、作原理 当源主机需要将一个数据包要发送到目的主机时,将按照以下几个步骤进行：首先，ARP高级缓存，存放：IPMAC IP.A MAC.A IP.B MAC.B如果没有，运行ARP进程。工作过程如下：1）A的ARP进程广播发送ARP请求分组 2）不是B，不理睬，丢弃 3）是B，B响应并更新缓存，向A单播发送ARP响应分组 4）主机A收到，得到MAC.B，写入缓存1 1）同一局域网内）同一局域网内ARP请求ARP响应2 2）不同局域网内）不同局域网内路由器作代理服务器ARP缓存是个用来储存IP地址和MAC地址的缓冲区，其本质就是一个IP地址-MAC地址的对应表，表中每一个条目分别记录了网络上其他主

3、机的IP地址和对应的MAC地址。ARP缓存缓存ARP协议格式协议格式特殊的特殊的ARP代理ARP 向另一个网络发送ARP请求时，路由器主机返回自己的mac作为目的地址免费ARP 发给自己的ARP，一般发生在系统引导时，来获得网络接口的MAC地址。代理代理ARP两个物理网络通过代理ARP连接免费免费ARP免费ARP就是一个发往自己IP地址的ARP请求。在免费ARP中，SPA(发送者协议地址)和TPA(目标协议地址)被设置成同一个IP地址。免费ARP地址有两个方面的作用：1）一个主机可以通过他来确定另一个主机是否设置了相同的IP地址，如果发送了3个免费ARP后，都没有收到ARP回应，IP就假定此I

4、P地址在此网络段中是唯一的。；2）如果发送免费ARP的主机正好改变了硬件地址，那么这个分组就可以使用其他主机高速缓存中旧的硬件地址进行相应的更新。l漏洞的根源1）ARP协议是无连接的2）没有ARP的请求也可以ARP回复,3）最致命的就是操作系统收到这个请求后就会更新ARP缓存。ARP请求也可以伪造。ARP主机的缓存中毒！ARP协议漏洞协议漏洞ARP攻击分析攻击分析帧类型0 x0806ARP欺骗都是通过填写错误的MAC-IP对应关系来实现的ARP攻击利用攻击利用ARP协议本身的缺陷来实现！协议本身的缺陷来实现！可以利用帧类型来识别ARP报文ARP攻击种类攻击种类1、ARP欺骗攻击仿冒网关 攻击者

5、发送伪造的网关ARP报文，欺骗同网段内的其它主机。主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。正常用户A网关G网关MAC更新了已更新发送伪造发送伪造ARP信息信息攻击者B网关的网关的 MAC is 2-2-2ARP表项更新为数据流被中断这种攻击为这种攻击为ARPARP攻击中最为常见的攻击攻击中最为常见的攻击2、ARP欺骗攻击欺骗网关 攻击者伪造虚假的ARP报文，欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网正常用户A网关G用户A的MAC更新了已更新发送伪造ARP信息攻击者B用户用户A的的MAC is 2-2-2

6、ARP表项更新为数据流被中断3、ARP欺骗攻击欺骗终端用户 攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。正常用户A网关G用户C的MAC更新了知道了发送伪造ARP信息攻击者B用户用户C的的MAC is 2-2-2ARP表项更新为数据流被中断4、ARP泛洪攻击 攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网正常用户A网关G用户A、A1、A2、A3的MAC更新了已更新发送大量伪造ARP信息攻击者B1.1.0.

7、2 MAC is 2-2-2ARP表项被占满ARP表项无法学习1.1.0.3 MAC is 2-2-31.1.0.4 MAC is 2-2-41.1.1.103 MAC is 3-3-3ARP攻击防御的三个控制点攻击防御的三个控制点网关G用户接入设备n 网关防御网关防御n 合法ARP绑定，防御网关被欺骗n ARP数量限制，防御ARP泛洪攻击1n 接入设备防御接入设备防御n 网关IP/MAC绑定，过滤掉仿冒网关的报文n 合法用户IP/MAC绑定，过滤掉终端仿冒报文n ARP限速2n 客户端防御客户端防御n 绑定网关信息3ARP攻击防御解决思路攻击防御解决思路设备利旧设备利旧告警能力告警能力出于园

8、区网设备利旧考虑，ARP防攻击方案应该是多个功能点的集合。以便于适应多种园区网的实际状况，并且要尽可能减小对设备的依赖。发现ARP攻击后应该有告警能力，以便于管理人员对感染ARP病毒的主机进行取证。思路思路尽可能减少园区网投资，解决老是头疼的问题。网络优化网络优化建议对现有不合理的网络结构进行优化，采用标准的三层结构，汇聚层做网关。常见防御常见防御ARPARP攻击的技术攻击的技术l1、DHCP snooping；l2、IP Source Guard；l3、DAI；l4、交换机端口安全技术；l5、mac访问控制列表；l6、ARP报文限速；l7、ARP mac地址手工绑定l.DHCPDHCP监控监

9、控模式模式DHCPsnooping DHCP snooping是一种通过建立和维护一个DHCP绑定数据库来提供过滤不可信的DHCP消息的一种安全特性.1.dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。2.与交换机DAI的配合，防止ARP病毒的传播。3.建立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcp ack包中的ip和mac地址生成的，二是可以手工指定。这张表是后续DAI（dynamic arp inspect）和IP Source Guard 基础它里头包含客户端的IP、MAC、所属VLAN等等相关信息，而这些信息，恰恰

10、可以作为ARP合法性校验的依据lDAIlDAI依赖DHCP snooping技术。DAI部署于交换机上，用于确保合法的ARP request或response被放行而非法的ARP消息被丢弃。交换机部署DAI后的主要动作如下：l1）在DAI untrust接口上（注意与DHCP snooping的untrust接口区分开）阻拦一切ARP requests或response消息并作校验l2）在更新自己ARP表或将收到的ARP消息转发出去之前先进行合法性校验，主要看ARP报文中的IP及MAC对应关系是否合法l3）丢弃非法的ARP报文，交换机会在丢弃非法的ARP后进行logDAI借助于DHCP sno

11、oping的绑定数据库进行ARP合法性校验。另一个合法性校验的依据是手工配置的ARP ACL。Ip source guard 通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法报文通过端口，从而限制了对网络资源的非法使用（比如非法主机仿冒合法用户IP接入网络），提高了端口的安全性。图为IP Source Guard功能示意图IP Source Guard按照绑定表项的产生方式分为静态绑定和动态绑定：认证防御模式认证防御模式l通过增强用户的认证机制来获取上线用户的IP-MAC对应关系，并且利用认证的手段来确认当前用户的合法性。从而有效的解决难以获取合法用户的I

12、P-MAC对应关系的问题。同时通过事先在认证服务器上配置网关的IP-MAC对应关系的方式来集中管理网络中存在的网关的IP-MAC信息。当合法用户上线时，可以利用上述的两个关键信息对网络中存在的虚假ARP报文以过滤或者绑定合法的ARP信息，从而有效的防御ARP欺骗行为。认证模式之终端防护在用户进行802.1X认证的过程中，通过iMC服务器下发预定的网关IP-MAC映射到iNode客户端，iNode客户端在用户PC上针对所有网卡查找匹配的网关，并将匹配网关的IP-MAC映射关系在PC上形成静态ARP绑定，从而有效防止针对主机的网关仿冒ARP攻击。如下所示图：认证模式之接入绑定在用户进行802.1X

13、认证的过程中，通过扩展802.1X协议报文，在response报文（code=1、type=2）中携带用户PC的IP地址（iNode客户端需选定“上传IP地址”选项，且推荐客户PC上手工配置IP地址及网关），接入交换机通过监听802.1X认证过程的协议报文，将用户PC的IP地址、MAC地址和接入端口形成绑定关系，在接入交换机上建立IP-MAC-Port映射表项，并据此对用户发送的ARP/IP报文进行检测，从而有效防止用户的非法ARP/IP报文进入网络。如下所示图：lARP限速l开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过

14、设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。ARPARP命令命令larp-a InetAddr-N IfaceAddr-g InetAddr-N IfaceAddr-d InetAddr IfaceAddr-s InetAddr EtherAddr IfaceAddrl参数l-a InetAddr -N IfaceAddrl显示所有接口的当前 ARP 缓存表。要显示特

15、定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp-a，此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr，则使用第一个适用的接口。要显示特定接口的 ARP 缓存表，请将-N IfaceAddr 参数与-a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。l-g InetAddr -N IfaceAddrl与-a 相同。l-d InetAddr IfaceAddrl删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项，请使用星号(*)通配符代替 InetAddr。l-s InetAddr EtherAddr IfaceAddrl向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。The end.The end.Thank youThank you！