各种ARP攻击的防御技术介绍

3.1 添加静态记录 在目标主机的ARP缓存中设置静态地址映射记录。静态记录也被称为永久记录。它的特点是永不过期。主要是通过“ARP双向绑定”的方法来防治ARP欺骗和冲突攻击。所谓的“双向绑定”就是在路由器上绑定局域网内每台主机的ip和mac地址之外，在每台电脑上面也绑定对应网关路由器的ip和mac地址对。 缺陷：使用这种方法可以抵御ARP欺骗，但是对于其它的ARP攻击例如ARP泛洪攻击显得无能为力，而且在一个局域网内部人们经常会出于各种正当的原因修改主机的IP地址。如果每个主机都采用ARP静态记录，那么当对主机IP地址进行调整时，如果忘记重新设置该静态记录，局域网内部就会出现混乱。对于小型的局域网当然在IP地址出现变动时，可以方便及时地更新静态记录，但是在大规模网络中这种方法就存在不易部署、难管理、治标不治本等问题。所以这种方法在实际中很少被采用。 3.2 设置ARP服务器 为克服上面提到的不足，自然的解决方案是对上述维护静态记录的分散工作进行集中管理。也就是指定局域网内部的一台机器作为ARP服务器，专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己的ARP缓存的静态记录并以被查询主机的名义响应局域网内部的ARP请求。同时可以设置局域网内部的其它主机只使用来自ARP服务器的ARP响应。 缺陷：这似乎提出了一个前景更加光明的解决方案，但是如何将一台主机配置成只相信来自ARP服务器的ARP响应？这对大多数系统来说仍是很困难的。[9] 3.3 网络级检测 配置主机定期向中心管理主机报告其ARP缓存的内容。这样中心管理主机上的程序就会查找出两台主机报告信息的不一致，以及同一台主机前后报告内容的变化。这些情况反映了潜在的安全问题。例如网络版的antiARP软件就是依据该原理来实现的，它有服务器端和客户端两套软件。可以选择局域网内的一台主机作为服务器，其它所有主机作为客户端，若客户端的主机接收到一个ARP数据包，该数据包会引起本地ARP缓存的变化，这时客户端就会向服务器端发送请求判断该ARP数据包是否符合要求，若符合要求则允许其通过。[10]服务器端判断客户端发送来的ARP数据包是否符合要求的依据是各个客户端所传送过来的本地主机IP和MAC地址映射对。 缺陷：使用这种方法需要在网络内的所有主机上安装客户端软件，工作量巨大且可操作性不高，而且若局域网内的某一台主机出现客户端程序未安装或失效，都会导致网络重新进入故障，这也给防御体系留下一个安全漏洞。 3.4 交换机端口设置 利用交换机等设备具有管理端口及节点的MAC地址功能的特点，将网络进行分段。该交换机知道所连主机的MAC地址，并将这些MAC地址及其对应的端口保存在内部表格中。当某个端口接收到ARP数据包时，交换机就会将包中记录的源地址与端口读到的源地址进行比较。如果源地址发生了改变，一个通知被发送到管理工作站，该端口被自动禁止直到冲突解决为止。 缺陷：使用这种方法对于那些移动终端设备例如笔记本电脑，当需要从一个端口移动到另外一个端口时，都需要通知管理员修改对应的端口设置，在配置管理上也不方便。不易于推广。 3.5 定期轮询 网关定期的发送通告本地ip地址和MAC地址的ARP报文，这样被篡改的ARP记录又会恢复到正常状态。对于这种防御方法当欺骗报文比通告报文晚些到达被攻击的主机时，被攻击主机的ARP缓存又会被篡改。如果网关想通过增大通告报文发送次数，由于网关广播的速度赶不上欺骗报文的发送速度，那么不但起不到恢复效果，相反由于所发送通告报文的频率增大，不但占用了网关的CPU资源而且耗费了网络带宽。而且这种简单的防御方法，只能防御局域网内其它主机的部分ARP欺骗攻击，对于针对网关本身的攻击却起不到防御效果。 3.6 划分虚拟局域网 欺骗攻击无法跨网段工作，将网络进行越细致地分段，无漏洞渗透成功的可能性就越小。将受信任主机设置在同一社区VLAN中，将绝密性主机设置在隔离VLAN中，可以有效地防止无漏洞渗透的渗入。 缺陷：通过VLAN技术隔离广播域，从一定的程度上减少ARP攻击的范围。但是对于同一VLAN内的主机之间还是会有发生攻击的可能性，这并不是从实质上根除ARP攻击的良药。 3.7 交换机进行ARP检查 由交换机对接收到的每一个ARP报文进行检查，发现伪造虚假网关地址的报文则丢弃处理。 缺陷：可以防御攻击者冒充网关对主机进行欺骗的攻击行为，却不能防御攻击者冒充主机欺骗网关或其它主机的攻击行为。 3.8 安装ARP防火墙软件 安装一些商业版的防火墙软件。通过安装这些软件可以解决普通用户无需掌握复杂的ARP攻击防御知识的困难，只需要简单地安装这些软件。但是目前这些软件还存在很多的缺陷不足，例如在追踪攻击源方面，只是简单地根据异常ARP数据包中关于源物理地址的记录来判断攻击源，对于那些源物理地址如果是伪造的情况，明显缺乏可靠性。而且不能实现全面的防御，当面对一些高级的ARP攻击时显得力不从心。在对本地ARP缓存记录进行防护时，也只能对一些特定的保护对象例如网关进行防护，对于局域网内其它主机的ARP记录起不到防护效果，在局域网内的主机需要协同操作的环境之下例如分布式计算环境中，这些防御系统是无法起到防御效果。而且现在的ARP防火墙在某种程度上带着“以毒攻毒”的思想来进行防御的。这就给大型局域网带来其它一些问题，例如ARP广播风暴。 3.9 ARP立体防御技术 锐捷网络的ARP立体防御技术[19]主要是依托于其GSN全局安全网络中的强大数据源和联动能力，通过网关防御、接入层防御、用户端防御三重工事来达到纵深防御的效果。 第一重：网关防御 （1）用户在登陆网络之前要向身份认证系统SAM提交身份认证信息，其所包含的身份认证信息主要由用户名、密码、用户IP、用户MAC、交换机IP及交换机物理端口六元素组成。 （2）如果用户通过认证，安全管理系统SMP会将用户的ARP信息通知相应的网关，网关然后生成对应用户的可信任ARP表项。从而实现在网关级对内网IP、MAC、端口的绑定。 第二重：用户端防御 在SMP上设置网关的正确IP--MAC信息，当用户通过认证时，SMP将网关的ARP信息传到用户终端SU。然后SU静态绑定网关的ARP。 第三重：交换机非法报文过滤 当用户通过认证时，接入网关会在接入端口上绑定用户的IP--MAC信息，当非法报文从接入端口流入时，接入网关会对报文的源地址进行检查，判断其是否与对应端口相匹配，如果不匹配则一律作丢弃处理。 该防御体系主要是通过用户身份认证体系来实现上述的“ARP双向绑定”、“交换机端口设置”功能，在源头彻底阻断攻击行为的产生，从而从根本上铲除了ARP攻击。该防御体系目前所存在的主要缺陷：必须依托于GSN全局安全网，整个防御体系需要配备锐捷的硬件网关设备，由于当前各个厂商的网络设备之间不兼容，还不支持交互操作，不利于推广。 3.10 动态ARP检测 DAI(Dynamic ARP Inspection)动态ARP检测[1]依据一个信任的数据库（如手工配置或dhcp监听绑定表）中合法的ip对应MAC地址的条目来判断数据包的合法性。这个数据库可以手工指定配置或者在vlan中启用了dhcp监听动态学习建立。如果ARP数据包是在信任端口上接到的，交换机不会做任何检测直接转发数据包。如果是从不信任端口上接收到ARP数据包，交换机只会转发合法的数据包。在DHCP服务器存在的环境下，可以在每个VLAN中启用DHCP监听和ip arp inspection vlan命令来启用动态ARP检测。如果没有DHCP环境，用户需要使用ARP列表手工配置IP地址来启用动态ARP检测合法的数据包。 缺陷：目前绝大多数的普通交换机还不支持动态ARP检测。而且对于网络内需要手动设置IP地址而不想通过DHCP来分配的用户来说，还需要通知网络管理员在交换机的对应端口上再进行绑定。