在现今的运营商网络中,Ethernet是最常用的接入手段,而ARP协议作为Ethernet网络上的开放协议,由于本身过于简单和开放,没有任何的安全手段,为恶意用户的***提供了可能。本文为大家介绍arp***的原理和常见的防范技术。

一、ARP协议的概念

       ARP协议是"Address Resolution Protocol"(地址解析协议)的缩写。在局域网中,网络中实际传输的是"帧",帧里面是有目标主机的MAC地址的。

       在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓"地址解析"就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

 

二、APR***的原理

       ARP的***方式多种多样,有针对主机的,也有针对网关的;有地址欺骗型的,也有野蛮***型的;有来自病毒的***也有来自非法软件的人为***。

 

1、地址欺骗***

1)简单的地址欺骗

       这是比较常见的***,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机,便完成了欺骗。这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的***也有方法,通过ICMP协议来告诉路由器重新选择路由就可以了。

2)交换环境的嗅探

       在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据。现在的网络多是交换环境,网络内数据的传输被锁定的特定目标。既已确定的目标通信主机。在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。

 

2、野蛮***型

       野蛮***型包括MAC Flooding和基于ARP的DOS等。

       MAC Flooding 是一个比较危险的***,主要利用路由器ARP缓存的有限性,通过发送大量伪造的ARP请求、应答报文,造成路由器的ARP缓存溢出,从而无法缓存正常的ARP表项,进而阻碍正常转发,使整个网络不能正常通信。

       基于ARP的DOS 是新出现的一种***方式,D.O.S又称拒绝服务***,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务。这个过程中如果使用ARP来隐藏自己,在被***主机的日志上就不会出现真实的IP。***的同时,也不会影响到本机。

 

三、防止ARP***的常见技术

       ARP安全配置是基于ARP的安全特性,通过过滤不信任的ARP报文、对某些ARP报文采用时间戳抑制、过滤非法的ARP报文、对上送CPU的正常报文做动态CAR,不仅能够防范针对ARP协议的***,还可以防范网段扫描***等基于ARP协议的***。

 

1、基于接口的ARP表项限制

       通过限制每个接口ARP表项学习的总数目,可以有效的防止ARP缓存溢出并限制***影响的范围,使***范围局限在接口之内,保证ARP表项的安全性。可以通过配置以下功能来限制每个接口ARP表项学习的总数目:

1)在全局或接口下配置严格学习ARP表项

2)在接口板上配置对ARP报文进行时间戳抑制

3)在接口上限制ARP表项的最大学习数目

 

2、基于时间戳的防扫描

       基于时间戳的防扫描特性能够在扫描(无论是ARP扫描还是IP报文扫描)***发生时,及时识别并抑制对扫描产生的请求的处理,从而保护CPU资源。

 

3、防止网段扫描***

       大量的网段扫描报文会导致大量的ARP Miss消息,导致 路由器 的资源浪费在处理ARP Miss消息上,影响 路由器 对其他业务的处理,形成扫描***。所以减少ARP Miss消息是解决扫描***的根本。

       通过对ARP Miss消息进行基于源IP地址的时间戳抑制,可以限制每秒钟允许通过的ARP Miss消息的个数,并进行日志记录和发送告警来达到防止网段扫描***的目的。

 

4、ARP双向分离

       对于ARP请求报文,只要它的IP地址合法,一般无法区分是正常报文还是***报文。而在ARP的实际***中,ARP请求报文和响应报文的流量几乎各占50%。要解决大流量的ARP***问题,将ARP请求和ARP响应分开处理。

       ARP请求进行“无状态应答”,即在进行ARP应答之后不产生ARP表项及相关的状态,不上送CPU进行处理,而防止了使用ARP请求报文对网关设备ARP表进行地址欺骗的可能;

       ARP响应只上送CPU请求过的ARP报文,非CPU发出的ARP请求的ARP响应报文将被丢弃,有效地保证了来自正常主机的ARP请求报文被及时响应处理。

 

5、VLAN访问控制

       保证ARP***发生时VLAN间的隔离,只影响到***所在的VLAN,这样对设备和业务的影响就会大大降低。

 

6、过滤ARP报文

       对非法的ARP报文、免费ARP报文、接收方MAC地址是非空的ARP请求报文进行过滤。其中,非法ARP报文包括:目的MAC地址为单播的ARP请求报文、源MAC地址为非单播的ARP请求报文、目的MAC地址是非单播的ARP响应报文。

 

文章出处:http://www.net1980.com/2011/01/28/arp-attack/