H3C助您全面防御ARP欺骗攻击当您的计算机网络连接正常，却无法打开网页；当您的计算机网络出现频繁断线，同时网速变得非常慢。这些都可能是由于存在ARP欺骗攻击及ARP中毒，所表现出来的网络故障情况。ARP欺骗攻击不仅导致校园网不稳定，极大影响数字校园业务的正常运行，更严重的是利用ARP欺骗攻击可进一步实施中间人攻击和网关仿冒攻击。如果校园网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和网关，让所有网络流量都经过攻击者主机进行转发，攻击者通过截获的信息可得到游戏、网银、文件服务等系统的用户名和口令，这种攻击行为就称为中间人攻击。这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。由此可见，中间人攻击是一种非常恶劣的网络恶意攻击行为。而ARP仿冒网关，攻击者冒充网关发送免费ARP，其它同一网络内的用户收到后，更新自己的ARP表项，后续，受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。为什么杀毒软件、防火墙都挡不住ARP 欺骗攻击呢？主要由于ARP欺骗攻击的木马程序，通常会伪装成常用软件的一部分被下载并被激活，或者作为网页的一部分自动传送到浏览者的电脑上并被激活，或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级，杀毒软件常常会失去作用。局域网上的一台主机，如果接收到一个ARP报文，即使该报文不是该主机所发送的ARP请求的应答报文，该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。图1-1 以太网ARP协议报文结构ARP欺骗攻击就利用了这点，攻击者主动发送ARP报文，发送者的MAC地址为攻击者主机的MAC地址，发送者的IP地址为被攻击主机的IP地址。通过不断发送这些伪造的ARP报文，让局域网上所有的主机和网关ARP表，其对应的MAC地址均为攻击者的MAC地址，这样所有的网络流量都会发送给攻击者主机。由于ARP欺骗攻击导致了主机和网关的ARP表的不正确，这种情况我们也称为ARP中毒。图1-2 ARP欺骗攻击是如此简单由于ARP中毒后，所有的流量都需要经过攻击者进行转发。如果攻击者具有转发能力，在攻击开始和攻击结束是都会引发一次网络中断，攻击过程中网络速度变慢，网速变慢原因跟发送大量的ARP流量消耗了带宽以及其本身处理能力有限有很大关系；如果攻击者不具有转发能力，网络出现传输中断，直到攻击停止及ARP表恢复正常。由于ARP欺骗攻击，利用了ARP协议的设计缺陷，光靠包过滤、IP＋MAC＋端口绑定等传统办法是比较难解决的。通过对ARP欺骗攻击原理的剖析，如果要防御该类型攻击，最理想的办法是在接入层对ARP报文进行内容有效性检查，对于没有通过检查的报文进行丢弃处理。在接入层交换机上采取的这种技术，我们称为ARP入侵检测。在网络实际部署中，有时候不能在所有的接入层部署ARP入侵检测。为了防止出现ARP中毒引起的中间人攻击，最好在网络核心交换机或者汇聚三层交换机上部署ARP欺骗防御策略。ARP欺骗防御可以避免网关设备的ARP表被攻击者非法改写。对于不能在全网接入交换机部署ARP入侵检测的网络，不能单纯靠网络设备进行ARP欺骗攻击防御。因为不管是ARP入侵检测，还是ARP欺骗防御，都不能防止终端主机受到ARP中毒攻击，也不能对发起ARP欺骗攻击的终端PC进行强制下线惩罚。因此对于不能在全网接入交换机部署ARP入侵检测的情况，还需要通过部署端点准入系统或者安全接入认证系统（CAMS/EAD系统），进一步加强ARP欺骗攻击的控制和管理。根据客户实际的网络环境，H3C结合接入交换机、核心交换机、CAMS/EAD系统的ARP欺骗攻击特性，可以为您部署全面的ARP欺骗攻击防御方案。以下就从这三个方面描述H3C如何能做到有效防御ARP欺骗攻击的。交换机要防御ARP攻击，就必须能够识别并读取ARP报文内容，然后根据报文内容判断是否存在欺骗攻击行为，对于ARP欺骗报文进行丢弃处理。在接入层就是利用接入交换机的ARP入侵检测（ARP Intrusion Inspection）功能，进行ARP欺骗攻击防御。图1--3 接入交换机部署ARP入侵检测ARP入侵检测在接入交换机进行部署，接入交换机同时启用DHCP Snooping对DHCP报文进行监测。DHCP Snooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息，并形成一个DHCP Snooping绑定表。交换机端口接收到的ARP报文后，通过查找DHCP Snooping建立的绑定关系表，来判断ARP应答报文的发送者源IP、源MAC是否合法。若ARP报文中的发送者源MAC、IP匹配绑定表中的内容，则认为是合法的报文，允许通过；否则认为是欺骗攻击报文，就进行丢弃。ARP入侵检测能够防止接入终端发起任何ARP欺骗攻击，如果全网部署AII功能，可有效解决ARP欺骗攻击问题。另外由于ARP欺骗攻击，经常伴随者发送大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速，对每个端口单位时间内接收到的ARP报文进行限制，很好地保障了网络带宽资源和交换机CPU资源。如果网络中的某台接入层交换机没有部署ARP入侵检测，ARP欺骗攻击就会在该交换机所属的一个广播域内得逞，这样在局部范围内会发生ARP中毒行为，甚至可能会引起中间人攻击。为了防止因ARP欺骗而发生的中间人攻击行为，需要在网络核心交换机交换机上部署ARP欺骗防御技术。ARP欺骗防御可以避免网关设备的ARP表被攻击者非法改写，既避免网关设备发生ARP中毒情况。这样只要终端PC没有发生ARP中毒，网络通讯就可以正常进行；如果终端PC发生ARP中毒，其ARP表中的网关IP地址所对应的MAC地址被恶意修改，终端PC的网络通信就会受到严重影响。图1--4 核心/汇聚交换机部署ARP欺骗防御核心/汇聚交换机有多种手段可以防御ARP欺骗攻击。目前可以支持三种方式：1)       第一种为固定MAC地址方法，对于动态ARP第一次学习到后就不允许再通过ARP学习对MAC地址进行修改，只有等ARP老化后才允许学习新的MAC；2)       第二种为多元素固定法，对于动态ARP学习和已解析的短静态ARP的MAC地址及其对应的端口、VLAN都不允许修改，只有等ARP老化后才允许学习新的MAC；3)       主动确认方法：启用主动确认方式防攻击时，在收到涉及MAC地址变化的ARP报文时，不对此ARP直接进行修改，而是先对原ARP表项对应用户发一个单播确认，如果收到应答报文，则不允许修改ARP表；如果一定时间内没有收到应答报文，则对新用户发起一个单播请求，收到应答后才允许修改ARP表。如图1-4所示，攻击者试图欺骗网关，告诉网关用户C的MAC地址应该是攻击者的MAC地址。由于启用网关了ARP欺骗防御技术，有效避免了网关ARP表中用户C的ARP表项被非法修改。对于前两种ARP欺骗攻击防御办法，比较适用于IP地址、MAC地址、端口、VLAN都相对稳定的情况，比如核心交换机只直接连接服务器，在核心交换机上启用这种固定MAC方式防止ARP欺骗攻击还是非常有效的。当然如果服务器比较少时，采用静态ARP也是一种不错的选择。主动确认方法，使用起来比较灵活，不会给攻击者进行ARP欺骗的机会。ARP欺骗攻击的攻击者要想欺骗网关，他就是某台正常上网的终端PC是不可能的，因为单播确认报文会根据交换机的正确的MAC表转发到正确的终端PC那里，这样就很轻易地揭穿了骗局。同样为了防止大量的ARP报文形成对交换机的冲击，核心交换机还需要能够检测ARP协议报文的攻击行为，并对该攻击源进行屏蔽。从以上的阐述种，我们知道不管是接入层交换机的ARP 入侵检测，还是核心/汇聚交换机的ARP欺骗防御，都不能避免其所连接的终端PC受到来自无任何限制的主机的ARP攻击。这种情况经常发生以下前提下，如果网络中有一个网段，其网段上的终端PC有部分没有直接连接到部署有ARP入侵检测的接入交换机上，那么这个网段上的PC就有可能受到ARP欺骗攻击，即使哪些连接在部署有ARP入侵检测的接入交换机上的终端PC也不能避免。因此当我们的网络中如果因各种原因不能在全网接入交换机上部署ARP入侵检测时，要想有效防御ARP欺骗攻击，还需要通过部署端点准入系统或者安全接入认证系统（CAMS/EAD系统），进一步加强ARP欺骗攻击的控制和管理。CAMS/EAD系统在防御ARP欺骗攻击上，主要实现了两点功能：1）  解决了防止终端PC受到ARP欺骗攻击的问题；2）  防止终端PC发送大量广播报文影响网络性能或发起ARP 欺骗攻击。图1-4部署CAMS/EAD防御ARP欺骗攻击通过部署CAMS/EAD系统，CAMS/EAD服务端给客户端下发需要保护的ARP列表内容，特别是网关的IP地址和MAC地址对应表。CAMS/EAD客户端接收到下发的ARP列表内容，执行ARP静态绑定，这样在受到ARP欺骗攻击时，客户端仍然可访问网络。另外，CAMS/EAD客户端还可以检测异常流量，如果发生ARP欺骗攻击行为，也会产生大量的广播报文，客户端会将该类型报文也当作异常流量。当检测到异常流量时，客户端会上报给服务端，然后服务端对发送异常流量的终端进行强制下线处理。那么CAMS/EAD系统是否可以独自承担ARP欺骗攻击防御任务呢？答案是否定的。首先CAMS/EAD系统只能解决终端PC在受到ARP欺骗攻击时，其ARP表中的静态ARP表项不受影响。CAMS/EAD系统不能防止客户端发起ARP欺骗攻击，因为等客户端检测异常流量行为时，ARP欺骗攻击行为已经发生，这是网关、其它PC都可能已经受到攻击影响了。因此CAMS/EAD系统防ARP欺骗攻击，需要跟交换机配合，才能真正达到防御效果。以上三种ARP欺骗攻击防御手段，可根据实际的网络环境进行灵活组合。下面一张表格，根据不同的网络部署现状，给出了ARP欺骗攻击防御方案的部署建议。网络部署现状必选部署可选部署所有接入交换机都支持ARP入侵检测1）  接入交换机部署AII；2）  核心交换机需要部署ASD；3）  服务器设置网关的静态ARP。CAMS/EAD系统部分接入交换机支持ARP入侵检测1)       部分接入交换机部署AII；2)       核心交换机需要部署ASD；3)       服务器设置网关的静态ARP；4)       CAMS/EAD系统。没有接入交换机支持ARP入侵检测1)       核心交换机需要部署ASD；2)       服务器设置网关的静态ARP。3)       CAMS/EAD系统。备注： AII － ARP入侵检测；ASD － ARP欺骗防御