浅谈交换机端防范局域网ARP攻击
2020-05-19李智洋
摘 要 当前随着网络技术的发展,局域网ARP攻击仍是网络维护中频繁遇到地故障。文中通过分析ARP攻击的具体方式和过程,以及综合了几种ARP病毒攻击的防范方法,为校园网防止局域网ARP攻击找到可行的防范方法。文中叙述了在交换机端使用Dhcp Snooping技术防止ARP攻击。
关键词 ARP攻击;防范方法;Dhcp Snooping技术
引言
上个学期末,一栋学生宿舍多人反映上网速度很慢并有掉线现象,一段时间之后整栋楼的网络全部中断,网络管理员使用检测工具发现交换机有ARP告警,确认故障是ARP攻击导致。ARP攻击不仅会造成网络不稳定,继而引发网络中断,更会进一步进行中间人攻击,攻击整个局域网,使得被攻击者的电脑机密数据泄露或被篡改,网络安全受到严重影响[1]。
1ARP简介
1.1 ARP
ARP (Address Resolution Protocol)即地址解析协议,是一个网络层的TCP/IP协议,其作用是把网络层的IP地址解析为数据链路层的MAC地址。
1.2 ARP欺骗
地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网内的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。
1.3 中间人攻击
ARP协议并不只是在发送了ARP请求后才接收ARP应答,ARP会主动提供ARP响应,这种主动的ARP响应称为无故ARP(Gratuitous ARP)。攻击者可以利用GARP在网段上假冒一个IP地址,在主机或网关之间实施地址欺骗。例如主机A和交换机网关进行通信时,攻击者主机B可以分别向主机A和网关发送与自己MAC对应的ARP应答报文,使主机A和网关用攻击者B的MAC更新至自身ARP缓存表,这就造成了A和网关之间看似直接通信,实际都是通过攻击者B所在的主机间接进行的,B可以对数据进行窃取和篡改,担当了中间人的角色。
2ARP檢测
网络管理员在不能上网的楼栋登入锐捷交换机,交换机出现告警显示“ARP-4-DUPLICATE:Duplicate address 172.16.103.2 on VLAN 78,sourced by 206b.e759.a77b”。
运行命令show arp,查看ARP表项发现IP地址为172.16.103.2的MAC地址与网关172.16.103.254的MAC地址相同,说明局域网内存在着欺骗网关类型的ARP攻击。
通过告警的MAC地址,运行show mac-address-table查到206b.e759.a77b对应的端口为GigabitEthernet 0/7,对该端口运行shutdown进行关闭隔离[2]。
3防止ARP攻击
3.1 防治方法
当局域网发生ARP病毒攻击,在找出攻击源进行隔离后,还需防范局域网内其他主机的ARP攻击风险。一般的防范办法有用户主机安装安全软件如360安全卫士开启局域网ARP防护。对主机和网关进行双向绑定,所谓双向绑定,就是主机端对本机MAC地址与IP地址进行绑定,交换机上把用户的IP地址和MAC地址与接入的端口绑定。由于学生宿舍接入节点众多,电脑、路由器、手机等移动设备参差不齐,加上学生换届终端设备流动频繁,都将增加网络管理的困难性。
3.2 Dhcp Snooping
Dhcp Snooping技术是在交换机上创建可信端口,可信端口是与DHCP服务器直接或间接相连的端口。交换机可信端口允许ARP响应,若ARP响应进入交换机的不可信任端口,则可将ARP响应的内容与DHCP绑定表比较验证其正确性。若ARP响应与DHCP表不一致,则丢弃该ARP响应。Dhcp Snooping技术的ARP审查特性可以保护网络免遭ARP攻击。
3.3 Dhcp Snooping配置
楼栋使用的是一台50口锐捷2652交换机,上联端口为GigabitEthernet 0/50端口,其余49口为用户端接入端口。
在RG-2652开启Dhcp Snooping功能:
RG-2652>enable
RG-2652#configure
RG-2652(config)#ip dhcp snooping
端口GigabitEthernet 0/50设为Dhcp Snooping信任端口:
RG-2652(config)#interface GigabitEthernet 0/50
RG-2652 (config-if-GigabitEthernet 0/50)#ip dhcp snooping trust
RG-2652#write
4结束语
目前大多数的交换机都支持Dhcp Snooping技术 ,在交换机上作该配置很大程度上减少了ARP攻击的概率,但并不是完全防治。对防范ARP攻击的方式还有很多种,如安装ARP防火墙,如使用网管软件对每台终端设备进行管理等。本文在交换机使用Dhcp Snooping技术对在一定范围的小型局域网有效,而更高明的ARP攻击将来也会面临,如何保证网络安全运行,需要我们进一步探究。
参考文献
[1] 尹淑玲.网络安全技术教程[M].湖北:武汉大学出版社,2014:52.
[2] 李俊民.网络安全与黑客攻防[M].北京:电子工业出版社,2011:73.
作者简介:
李智洋(1989-),男,江西赣州人;助理实验师,理学学士,现就职单位:广东财经大学,研究方向:计算机网络。