关键词:ARP ARP攻击
摘 要:本文介绍了H3C公司ARP攻击防御解决方案的思路。同时阐述了ARP攻击防御解决方案的技术细节和特点。
缩略语清单:
Abbreviations缩略语 | Full spelling 英文全名 | Chinese explanation 中文解释 |
ARP | Address Resolution Protocol | 地址解析协议 |
iMC服务器 |
| AAA服务器(认证、授权、计费服务器) |
iNode客户端 |
| 安装在网络终端设备(用户PC)上的软件,用来发起认证请求 |
DHCP Snooping |
| DHCP监听,记录通过二层设备申请到IP地址的用户信息。
|
|
|
|
|
|
|
|
|
|
|
|
|
近来, ARP攻击问题日渐突出。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据ARP攻击的特点,给出了有效的防ARP攻击解决方案。要解决ARP攻击问题,首先必须了解ARP欺骗攻击的类型和原理,以便于更好的防范和避免ARP攻击的带来的危害。
ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例,其ARP协议运行的主要交互机制如下:
1 如果A需要向B发起通信,A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有,则进行下面的步骤:
2 A在局域网上广播一个ARP请求,查询B的IP地址所对应的MAC地址;
3 本局域网上的所有主机都会收到该ARP请求;
4 所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求,则发送一个ARP应答给A,告知A自己的MAC地址;
5 主机A收到B的ARP应答后,会在自己的 ARP缓存中写入主机B的ARP表项.
如上所述,利用ARP协议,可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。导致在ARP协议中没有认证的机制,从而导致针对ARP协议的欺骗攻击非常容易。
目前ARP攻击中有如下三种类型。我们根据影响范围和出现频率分别介绍如下:
ARP病毒通过发送错误的网关MAC对应关系给其他受害者,导致其他终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图:
如上图所示,攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。从而网络中主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
攻击者发送错误的终端用户的IP+MAC的对应关系给网关,导致网关无法和合法终端用户正常通信。这种攻击在校园网中也有发生,但概率和“网关仿冒”攻击类型相比,相对较少。见下图:
如上图,攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
这种攻击类型,攻击者发送错误的终端用户/服务器的IP+MAC的对应关系给受害的终端用户,导致同网段内两个终端用户之间无法正常通信。这种攻击在校园网中也有发生,但概率和“网关仿冒”攻击类型相比,相对较少。见下图:
如上图,攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机该网段内某一合法用户的MAC地址已经更新。导致该网段内其他主机发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
这种攻击类型,攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网。主要是一种对局域网资源消耗的攻击手段。这种攻击在校园网中也有发生,但概率和上述三类欺骗性ARP攻击类型相比,相对较少。如下图:
图4 ARP泛洪攻击示意图
通过对上述的ARP攻击类型的介绍。我们可以很容易发现当前ARP攻击防御的关键所在:如何获取到合法用户和网关的IP-MAC对应关系,并如何利用该对应关系对ARP报文进行检查,过滤掉非法ARP报文。H3C公司有两条思路来解决这一关键问题,即认证模式和DHCP监控模式。分别对用户认证的过程和IP地址申请过程的监控,获取到合法用户的IP-MAC对应关系,从而解决不同环境下的ARP防攻击问题。
通过增强用户的认证机制来获取上线用户的IP-MAC对应关系,并且利用认证的手段来确认当前用户的合法性。从而有效的解决难以获取合法用户的IP-MAC对应关系的问题。同时通过事先在认证服务器上配置网关的IP-MAC对应关系的方式来集中管理网络中存在的网关的IP-MAC信息。当合法用户上线时,可以利用上述的两个关键信息对网络中存在的虚假ARP报文以过滤或者绑定合法的ARP信息,从而有效的防御ARP欺骗行为。H3C的防御手段充分的考虑了方案实施的适应性要求,对虚假ARP报文加以过滤或者绑定合法ARP信息的功能可以根据网络的条件分开使用。具体模式如下图所示:
在用户进行802.1X认证的过程中,通过iMC服务器下发预定的网关IP-MAC映射到iNode客户端,iNode客户端在用户PC上针对所有网卡查找匹配的网关,并将匹配网关的IP-MAC映射关系在PC上形成静态ARP绑定,从而有效防止针对主机的网关仿冒ARP攻击。如下所示图:
H3C iNode客户端,通过同iMC服务器配合,由管理员在iMC上设置正确的网关IP、MAC对应列表,并传送至客户端,客户端无论当前ARP缓存是何种状态,均按照iMC系统下发的IP、MAC列表更新本地的ARP缓存,并周期性更新,保证用户主机网关MAC地址的正确性,从而保证用户主机报文发往正确的设备。详细处理流程如下:
图7 iNode设置本地ARP流程
i. iMC服务器上,由管理员预先设置正确的网关IP-MAC映射列表;待iNode客户端的认证请求成功通过,iMC服务器通过Radius报文将预设的网关IP-MAC列表下发到客户PC的接入交换机上,再由接入交换机透传给客户PC上的iNode客户端。
ii. iNode客户端收到iMC服务器下发的网关IP-MAC映射列表后,在客户PC上针对所有网卡查找匹配的网关(客户PC存在多个网卡的情况下,iNode只匹配每个网卡的default gateway),然后依据iMC服务器下发的网关映射列表将匹配网关的IP-MAC映射在客户PC上形成静态ARP表项并更新本地ARP缓存,从而保证客户PC的数据报文发往正确的网关设备;
iii. 为防止用户再次上线过程中网关ARP信息被篡改,iNode客户端会根据iMC服务器下发的正确的网关IP-MAC映射信息周期性的更新本地ARP缓存。
在用户进行802.1X认证的过程中,通过扩展802.1X协议报文,在eapol的response报文(code=1、type=2)中携带用户PC的IP地址(iNode客户端需选定“上传IP地址”选项,且推荐客户PC上手工配置IP地址及网关),接入交换机通过监听802.1X认证过程的协议报文,将用户PC的IP地址、MAC地址和接入端口形成绑定关系,在接入交换机上建立IP-MAC-Port映射表项,并据此对用户发送的ARP/IP报文进行检测,从而有效防止用户的非法ARP/IP报文进入网络。如下所示图:
图8 认证模式之接入绑定示意图
i. 首先,H3C iNode客户端通过802.1X协议向iMC服务器发起认证,并在802.1X协议的Response报文中携带客户PC的IP地址。
ii. 接入交换机监听客户PC上传的802.1X认证报文,从客户PC回应的Response报文(code=1、type=2)中提取客户PC的IP、MAC,待客户认证成功,将其与客户PC的接入端口进行绑定,建立IP-MAC-Port映射表项(周期性更新和老化)。根据这一表项,交换机对客户PC上行的ARP/IP报文进行检测,过滤源IP/MAC不匹配表项的数据报文,从而防止非法的攻击报文进入网络。
接入交换机通过监控用户的正常动态IP地址获取过程,获取正常用户的IP-MAC对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的ARP报文,来防止接入的用户主机进行ARP欺骗攻击。这种防攻击手段能够有效防御本文所描述的所有攻击类型(详见1.2)。业务流程如下图:
图9 DHCP SNOOPING模式示意图
为了防止ARP中间人攻击,H3C接入交换机支持对收到的ARP报文判断合法性。这是如何做到的呢?H3C接入交换机可以动态获取(即,DHCP snooping表项)或者静态配置合法用户的IP-MAC对应关系。并且在收到用户发送到ARP报文时,可以检查报文中的源IP地址及源MAC地址的绑定关系与所获取的合法用户IP-MAC对应关系表项是否匹配来判断该报文是否为合法ARP报文。通过过滤掉所有非法ARP报文的方式来实现,所有ARP欺骗攻击。如下图:
图10 ARP入侵检测功能示意图
当用户为动态IP地址分配环境时。接入交换机可以通过监控用户的IP地址申请过程,从而自动学习到合法用户的IP-MAC对应关系。并依据该表项实现对合法ARP报文的确认和非法ARP报文的过滤。
那么这些动态表项是如何形成的呢?当开启DHCP Snooping功能后,H3C接入交换机采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。目前,H3C接入交换机的DHCP Snooping表项主要记录的信息包括:分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息,如图4 所示。
图11 DHCP Snooping表项示意图
为了对已经无用的DHCP Snooping动态表项进行定期进行老化删除,以节省系统的资源,和减少安全隐患,H3C接入交换机支持根据客户端IP地址的租约对DHCP Snooping表项进行老化。具体实现过程为:当DHCP Snooping至少记录了一条正式表项时,交换机会启动20秒的租约定时器,即每隔20秒轮询一次DHCP Snooping表项,通过表项记录的租约时间、系统当前时间与表项添加时间的差值来判断该表项是否已经过期。若记录的表项租约时间小于系统当前时间与表项添加时间的差值,则说明该表项已经过期,将删除该条表项,从而实现DHCP Snooping动态表项的老化。
需要注意的是:当DHCP服务器端的租约设置为无限期或者很长时,会出现老化不及时的现象。
DHCP Snooping方式下,DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。对于不能通过动态IP地址获取的部分主机以及打印机等服务器来说,DHCP snooping没有自动办法获取到这部分用户的合法IP-MAC对应关系,因此不能自动加以绑定。为了解决这个问题,H3C的交换机也支持手工配置合法用户的IP-MAC对应关系,形成静态合法用户的IP-MAC表项。,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCP Snooping表记录,因此不能通过基于DHCP Snooping表项的ARP入侵检测,导致用户无法正常访问外部网络。
即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。静态配置的IP-MAC表项拥有和动态学习的DHCP Snooping表项的同样功能。接入交换机可以依据配置的静态表项实现对合法ARP报文的确认,和非法ARP报文的过滤。从而可以很好的解决静态IP地址分配环境下的部署问题。
在实际组网中,交换机的上行口会接收其他设备的请求和应答的ARP报文,这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
系统默认所有接口下过滤DHCP Ack和Offer报文,以防止非法DHCP服务器对网络的影响,但这样就会过滤掉交换机上行接口接收到的合法DHCP服务器回应的Ack和Offer报文。为了解决这一问题,交换机支持配置DHCP Snooping信任端口,对于来自信任端口的所有DHCP报文不进行检测,而其他非信任端口则只允许DHCP Discover和Request报文进入。
H3C低端以太网交换机还支持端口ARP报文限速功能,来避免此类攻击对局域网造成的冲击。
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
按照ARP协议的设计,网络设备收到目的IP地址是本接口IP地址的ARP报文(无论此ARP报文是否为自身请求得到的),都会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
实际网络环境,特别是校园网中,最常见的ARP攻击方式是“仿冒网关”攻击。即:攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
为了防御“仿冒网关”的ARP攻击,H3C以太网交换机支持基于网关IP/MAC的ARP报文过滤功能:
将接入交换机下行端口(通常与用户直接相连的端口)和网关IP进行绑定。绑定后,该端口接收的源IP地址为网关IP地址的ARP报文将被丢弃,其他ARP报文允许通过。
将接入交换机级联端口或上行端口和网关IP地址、网关MAC地址进行绑定。绑定后,该端口接收的源IP地址为指定的网关IP地址,源MAC地址为非指定的网关MAC地址的ARP报文将被丢弃,其他ARP报文允许通过。
恶意用户可能通过工具软件,伪造网络中其他设备(或主机)的源IP或源MAC地址的ARP报文,进行发送,从而导致途径网络设备上的ARP表项刷新到错误的端口上,网络流量中断。
为了防御这一类ARP攻击,增强网络健壮性,H3C以太网交换机作为网关设备时,支持配置ARP报文源MAC一致性检查功能。通过检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,来校验其是否为伪造的ARP报文。
如果一致,则该ARP报文通过一致性检查,交换机进行正常的表项学习;
如果不一致,则认为该ARP报文是伪造报文,交换机不学习动态ARP表项的学习,也不根据该报文刷新ARP表项。
图13 DHCP监控模式典型组网
l 在接入交换机上开启DHCP snooping功能,并配置与DHCP服务器相连的端口为DHCP snooping信任端口。
l 在接入交换机上为静态IP地址分配模式的主机或者服务器配置对应的IP静态绑定表项。
l 在接入交换机对应VLAN上开启ARP入侵检测功能,并配置该交换机的上行口为ARP信任端口。
l 在接入交换机的直接连接客户端的端口上配置ARP报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。
首先在设备上部署普通的dot1x认证之外,在用户接入VLAN内部署ARP报文检查即可过滤非法ARP报文。同时可以在认证设备上开启ARP限速功能。
H3C推出的ARP攻击防御解决方案,可以很好的缓解和解决校园网的ARP攻击问题。同时拥有很强的适应性,有利于现有校园网的设备利旧问题。
联系客服
