《论文:局域网ARP欺骗攻击及安全防范策略21446.docx》由会员分享,可在线阅读,更多相关《论文:局域网ARP欺骗攻击及安全防范策略21446.docx(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、某某学院毕业论文院系:计算算机与软件件工程学院院学号:班级:姓名:论文题目:局域网AARP欺骗骗攻击及安安全防范策策略指导老师:时间:二0一0年年十二月局域网ARRP欺骗攻攻击及安全全防范策略略摘 要:介绍了ARRP协议的的功能和工工作原理基基础上,分分析了当前前ARP协协议所存在在的安全漏漏洞。重点点讨论了利利用ARPP协议自身身的安全缺缺陷进行网网络攻击的的多种实现现方法以及及这些攻击击所带来的的危害。最最后根据实实际的管理理,给出了了一些有效效的安全抵抵御措施和和检浏方法法,并说明明了这些方方法的优点点与缺点。关健词:ARP协协议;安全缺陷陷;防范措施施;攻击方式式;检测方方法Abstr
2、ract: Basedd on an iintrooducttion to tthe ffuncttionss andd worrkingg theeory of tthe AARP (Addrress Resoolutiion PProtoocol), thhis ppaperr anaalysees thhe seecuriity hholess in ARP. Thee seccuritty vuulnerrabillity of AARP, the attaackinng foorms and poteentiaal daamagees arre exxtenssivelly diis
3、cusssed. Sevverall prootecttion soluutionns foor daaily manaagemeents and deteectioon arre giiven, advvantaages and disaadvanntagee of thesse meeasurres aare ddetaiiled.Keywoord: ARP; secuurityy vullneraabiliitiess; prrotecctionn meaasurees;atttackk wayys;deetecttion methhod目录1、ARPP协议的含含义和工作作原理51.1、
4、AARP协议议简介51.2、AARP协议议的数据结结构51.3、AARP协议议的利用51.3.11、交换网网络的嗅探探551.3.22、IP地地址冲突61.3.33、阻止目目标的数据据包通过网网关61.3.44、通过AARP检测测混杂模式式节点71.4、AARP协议议的原理72、ARPP协议存在在的安全漏漏洞83、ARPP欺骗攻击击实现的过过程93.1、网网段内的AARP欺骗骗攻击93.2跨跨网段的AARP欺骗骗攻击104、ARPP攻击的分分类1004.1、AARP 欺欺骗攻击1004.2、网网络监听114.3、广广泛拒绝服服务攻击DDOS114.4、IIP地址冲冲突124.5、克克隆攻击12
5、5、防范AARP攻击击的解决方方案135.1、设设置静态的的ARP缓缓存表135.2、交交换机上绑绑定端口和和MAC地地址145.3、VVLAN技技术1555.4、建建立信任IIP-MAAC地址映映射表155.5、AARP报文文限速166、ARPP欺骗的检检测1666.1、AARP地址址欺骗攻击击者的定位位166.2、AARP欺骗骗攻击的检检测176.2.11、命令行行法176.2.22、工具软软件法176.2.33、Sniifferr抓包嗅探探法176.2.44、主机级级检测方法法186.2.55、网络级级检测方法法187、结束语语19参考文献200附录221致谢2221、ARPP协议的含含
6、义和工作作原理1.1、AARP协议议简介ARP协议议是“Adddresss Reesoluutionn Prootocool”(地地址解析协协议)的缩缩写。在局局域网中,网网络中实际际传输的是是“帧”,帧帧里面是有有目标主机机的MACC地址的。在在以太网中中,一个主主机要和另另一个主机机进行直接接通信,必必须要知道道目标主机机的MACC地址。但但这个目标标MAC地地址是如何何获得的呢呢?它就是是通过地址址解析协议议获得的。所所谓“地址址解析”就就是主机在在发送帧前前将目标IIP地址转转换成目标标MAC地地址的过程程。ARPP协议的基基本功能就就是通过目目标设备的的IP地址址,查询目目标设备的的
7、MAC地地址,以保保证通信的的顺利进行行。1.2、AARP协议议的数据结结构typeddefsttructtarphhdr unnsignnedshhortaarp_hhrd;/*硬件类类型*/ unssigneedshoortarrp_prro;/*协议类型型*/ unssigneedchaararpp_hlnn;/*硬硬件地址长长度*/ unssigneedchaararpp_plnn;/*协协议地址长长度*/ unssigneedshoortarrp_opp;/*AARP操作作类型*/ unssigneedchaararpp_shaa6;/*发送送者的硬件件地址*/ unssigneed
8、lonngarpp_spaa;/*发发送者的协协议地址*/ 6;/*目目标的硬件件地址*/ unssigneedlonngarpp_tpaa;/*目目标的协议议地址*/ ARRPHDRR,*PAARPHDDR;1.3、AARP协议议的利用1.3.11、交换网网络的嗅探探ARP协议议并不只在在发送了AARP请求求才接收AARP应答答。当计算算机接收到到ARP应应答数据包包的时候,就就会对本地地的ARPP缓存进行行更新,将将应答中的的IP和MMAC地址址存储在AARP缓存存中。因此此,在上面面的假设网网络中,BB向A发送送一个自己己伪造的AARP应答答,而这个个应答中的的数据为发发送方IPP地址是
9、1192.1168.110.3(CC的IP地地址),MMAC地址址是DD-DD-DDD-DDD-DD-DD(CC的MACC地址本来来应该是CCC-CCC-CC-CC-CCC-CCC,这里被被伪造了)。当当A接收到到B伪造的的ARP应应答,就会会更新本地地的ARPP缓存,将将本地的IIP-MAAC对应表表更换为接接收到的数数据格式,由由于这一切切都是A的的系统内核核自动完成成的,A可可不知道被被伪造了。1.3.22、IP地地址冲突我们知道,如如果网络中中存在相同同IP地址址的主机的的时候,就就会报告出出IP地址址冲突的警警告。这是是怎么产生生的呢? 比如某某主机B规规定IP地地址为1992.16
10、68.0.1,如果果它处于开开机状态,那那么其他机机器A更改改IP地址址为1922.1688.0.11就会造成成IP地址址冲突。其其原理就是是:主机AA在连接网网络(或更更改IP地地址)的时时候就会向向网络发送送ARP包包广播自己己的IP地地址,也就就是freeearpp。如果网网络中存在在相同IPP地址的主主机B,那那么B就会会通过ARRP来reeply该该地址,当当A接收到到这个reeply后后,A就会会跳出IPP地址冲突突的警告,当当然B也会会有警告。 因此用ARRP欺骗可可以来伪造造这个ARRPrepply,从从而使目标标一直遭受受IP地址址冲突警告告的困扰。1.3.33、阻止目目标的
11、数据据包通过网网关比如在一个个局域网内内通过网关关上网,那那么连接外外部的计算算机上的AARP缓存存中就存在在网关IPP-MACC对应记录录。如果,该该记录被更更改,那么么该计算机机向外发送送的数据包包总是发送送到了错误误的网关硬硬件地址上上,这样,该该计算机就就不能够上上网了。 这里里也主要是是通过ARRP欺骗进进行的。有有两种办法法达到这样样的目的。 1、向目标标发送伪造造的ARPP应答数据据包,其中中发送方的的IP地址址为网关的的地址,而而MAC地地址则为一一个伪造的的地址。当当目标接收收到该ARRP包,那那么就更新新自身的AARP缓存存。如果该该欺骗一直直持续下去去,那么目目标的网关关
12、缓存一直直是一个被被伪造的错错误记录。当当然,如果果有些了解解的人查看看ARP-a,就知知道问题所所在了。 2、欺骗网网关。向网网关发送伪伪造的ARRP应答数数据包,其其中发送方方的IP地地址为目标标的IP地地址,而MMAC地址址则为一个个伪造的地地址。这样样,网关上上的目标AARP记录录就是一个个错误的,网网关发送给给目标的数数据报都是是使用了错错误的MAAC地址。这这种情况下下,目标能能够发送数数据到网关关,却不能能接收到网网关的任何何数据。同同时,目标标自己查看看ARP-a却看不不出任何问问题来。1.3.44、通过AARP检测测混杂模式式节点在混杂模式式中,网卡卡进行包过过滤不同于于普通
13、模式式。本来在在普通模式式下,只有有本地地址址的数据包包或者广播播(多播等等)才会被被网卡提交交给系统核核心,否则则的话,这这些数据包包就直接被被网卡抛弃弃。现在,混混合模式让让所有经过过的数据包包都传递给给系统核心心,然后被被snifffer等等程序利用用。 通过特殊设设计的ARRP请求可可以用来在在一定程度度上检测处处于混杂模模式的节点点,比如对对网络中的的每个节点点都发送MMAC地址址为FF-FF-FFF-FFF-FF-FE的AARP请求求。对于网网卡来说这这不是一个个广播地址址(FF-FF-FFF-FFF-FF-FF),所所以处于普普通模式的的节点就会会直接抛弃弃该数据包包,但是多多数
14、操作系系统核心都都认为这是是一个广播播地址,如如果有一般般的sniifferr程序存在在,并设置置网卡为混混杂模式,那那么系统核核心就会作作出应答,这这样就可以以判断这些些节点是否否存在嗅探探器了。 可以查看,很很多基于AARP的攻攻击都是通通过ARPP欺骗实现现的。至于于ARP欺欺骗的防范范,还是尽尽可能使用用静态的AARP。对对于WINN,使用aarp-ss来进行静静态ARPP的设置。当当然,如果果能够完全全使用静态态的IP+MAC对对应,就更更好了,因因为静态的的ARP缓缓存只是相相对的。 当然,可以以有一些方方法来实现现ARP欺欺骗的检测测。设置一一个ARPP的嗅探器器,其中维维护着一
15、个个本地网络络的IP-MAC地地址的静态态对应表,查查看所有经经过的ARRP数据,并并检查其中中的IP-MAC对对应关系,如如果捕获的的IP-MMAC对应应关系和维维护的静态态对应关系系对应不上上,那么就就表明是一一个欺骗的的ARP数数据包了。1.4、AARP协议议的原理以主机A(1192.1168.11.5)向向主机B(1192.1168.11.1)发发送数据为为例。当发发送数据时时,主机AA会在自己己的ARPP缓存表中中寻找是否否有目标IIP地址。如如果找到了了,也就知知道了目标标MAC地地址,直接接把目标MMAC地址址写入帧里里面发送就就可以了;如果在AARP缓存存表中没有有找到目标标I
16、P地址址,主机AA就会在网网络上发送送一个广播播,A主机机MAC地地址是“主主机A的MMAC地址址”,这表表示向同一一网段内的的所有主机机发出这样样的询问:“我是1192.1168.11.5,我我的硬件地地址是主主机A的MMAC地址址.请问问IP地址址为1922.1688.1.11的MACC地址是什什么?”网网络上其他他主机并不不响应ARRP询问,只只有主机BB接收到这这个帧时,才才向主机AA做出这样样的回应:“1922.1688.1.11的MACC地址是000-aaa-00-62-cc6-099”。这样样,主机AA就知道了了主机B的的MAC地地址,它就就可以向主主机B发送送信息了。同同时A和
17、BB还同时都都更新了自自己的ARRP缓存表表(因为AA在询问的的时候把自自己的IPP和MACC地址一起起告诉了BB),下次次A再向主主机B或者者B向A发发送信息时时,直接从从各自的AARP缓存存表里查找找就可以了了。ARPP缓存表采采用了老化化机制(即即设置了生生存时间TTTL),在在一段时间间内(一般般15到220分钟)如如果表中的的某一行没没有使用,就就会被删除除,这样可可以大大减减少ARPP缓存表的的长度,加加快查询速速度。 ARP攻击击就是通过过伪造IPP地址和MMAC地址址实现ARRP欺骗,能能够在网络络中产生大大量的ARRP通信量量使网络阻阻塞,攻击击者只要持持续不断的的发出伪造造
18、的ARPP响应包就就能更改目目标主机AARP缓存存中的IPP-MACC条目,造造成网络中中断或中间间人攻击。 ARP攻击击主要是存存在于局域域网网络中中,局域网网中若有一一个人感染染ARP木木马,则感感染该ARRP木马的的系统将会会试图通过过“ARPP欺骗”手手段截获所所在网络内内其它计算算机的通信信信息,并并因此造成成网内其它它计算机的的通信故障障。 RARP的的工作原理理: 1、发送主主机发送一一个本地的的RARPP广播,在在此广播包包中,声明明自己的MMAC地址址并且请求求任何收到到此请求的的RARPP服务器分配配一个IPP地址; 2、本地网网段上的RRARP服服务器收到到此请求后后,检
19、查其其RARPP列表,查查找该MAAC地址对对应的IPP地址; 3、如果存存在,RAARP服务务器就给源源主机发送送一个响应应数据包并将将此IP地地址提供给给对方主机机使用; 4、如果不不存在,RRARP服服务器对此此不做任何何的响应; 5、 源主主机收到从从RARPP服务器的的响应信息息,就利用用得到的IIP地址进进行通讯;如果一直直没有收到到RARPP服务器的的响应信息息,表示初初始化失败败。 6、如果在在第1-33中被ARRP病毒攻攻击,则服服务器做出出的反映就就会被占用用,源主机机同样得不不到RARRP服务器器的响应信信息,此时时并不是服服务器没有有响应而是是服务器返返回的源主主机的I
20、PP被占用。二、ARPP协议存在在的安全漏漏洞ARP协议议是建立在在信任局域域网内所有有结点的基基础上的,它它很高效,但但却不安全全。它的主主要漏洞有有以下三点点。1、主机地地址映射表表是基于高高速缓存、动动态更新的的,ARPP将保存在在高速缓存存中的每一一个映射地地址项目都都设置了生生存时间,它它只保存最最近的地址址对应关系系。这样恶恶意的用户户如果在下下次交换前前修改了被被欺骗机器器上的地址址缓存,就就可以进行行假冒或拒拒绝服务攻攻击。2、由于AARP是无无状态的协协议,即使使没有发送送ARP请请求报文,主主机也可以以接收ARRP应答,只只要接受到到ARP应应答分组的的主机就无无条件地根根
21、据应答分分组的内容容刷新本机机的高速缓缓存。这就就为ARPP欺骗提供供了可能,恶恶意节点可可以发布虚虚假的ARRP报文从从而影响网网内结点的的通信,甚甚至可以做做“中间人人”。3、任何AARP应答答都是合法法的,ARRP应答无无须认证,只只要是区域域网内的AARP应答答分组,不不管(其实实也不知道道)是否是是合法的应应答,主机机都会接受受ARP应应答,并用用其IP一一MAC信信息篡改其其缓存。这这是ARPP的另一个个隐患。三、ARPP欺骗攻击击实现的过过程3.1、网网段内的AARP欺骗骗攻击ARP欺骗骗攻击的核核心就是向向目标主机机发送伪造造的ARPP应答,并并使目标主主机接收应应答中伪造造的
22、IP与与MAC间间的映射对对,并以此此更新目标标主机缓存存。设在同同一网段的的三台主机机分别为,,详见表表1。表1:同网网段主机IIP地址和和MAC地地址对应表表用户主机IIP地址MMAC地址址A1011010001000-E00-4C-11-111-111B1011010002000-E00-4C-22-222-222C101101003300-EE0-4CC-33-33-333假设与是信任关关系,欲欲向发送送数据包。攻攻击方通通过前期准准备,可以以发现的的漏洞,使使暂时无无法工作,然然后发送送包含自己己MAC地地址的ARRP应答给给。由于于大多数的的操作系统统在接收到到ARP应应答后会及及
23、时更新AARP缓存存,而不考考虑是否发发出过真实实的ARPP请求,所所以接收收到应答后后,就更新新它的ARRP缓存,建建立新的IIP和MAAC地址映映射对,即即的IPP地址100101002对应了了的MAAC地址000-E00-4C-33-333-333。这样,导导致就将将发往的的数据包发发向了,但和BB却对此全全然不知,因因此C就实实现对A和和B的监听听。3.2、跨跨网段的AARP欺骗骗攻击 跨网网段的ARRP欺骗比比同一网段段的ARPP欺骗要复复杂得多,它它需要把AARP欺骗骗与ICMMP重定向向攻击结合合在一起。假假设和在同一网网段,在在另一网段段,详见表表2。表2、跨网网段主机IIP地
24、址和和MAC地地址对应表表用户主机IIP地址MMAC地址址A1011010001000-E00-4C-11-111-111B1011010002000-E00-4C-22-222-222C1011020003000-E00-4C-33-333-333 首先先攻击方修改IPP包的生存存时间,将将其延长,以以便做充足足的广播。然然后和上面面提到的一一样,寻找找主机的的漏洞,攻攻击此漏洞洞,使主机机暂时无无法工作。此此后,攻击击方发送送IP地址址为的IIP地址11010010002,MMAC地址址为的MMAC地址址00-EE0-4CC-33-33-333的ARRP应答给给。接接收到应答答后,更新新其
25、ARPP缓存。这这样,在主主机上的IP地地址就对应应的MAAC地址。但但是,在在发数据包包给时,仍仍然会在局局域网内寻寻找1010110022的MACC地址,不不会把包发发给路由器器,这时就就需要进行行ICMPP重定向,告告诉主机到1010110022的最短路路径不是局局域网,而而是路由,请请主机重定定向路由路路径,把所所有到100101002的包发发给路由器器。主机在接受到到这个合理理的ICMMP重定向向后,修改改自己的路路由路径,把把对1010110022的数据包包都发给路路由器。这这样攻击方方就能得得到来自内内部网段的的数据包。四、ARPP攻击的分分类4.1、AARP 欺欺骗攻击“中间人
26、”攻攻击,又称称为ARPP双向欺骗骗。它的基基本原理就就是将自己己的主机插插入到两个个目标主机机通讯路径径之间。截截获两个目目的主机直直接的通讯讯数据。假假设有三台主机(如图1所所示),正正常下A与与C直接的的通讯是不不可见的,但但是利用“中中间人,的的欺骗技术术,主机BB可以实现现交换机网网络下的嗅嗅探。其主主要步骤如如下:1、主机BB向主机AA发送一个个非法的AARP响应应包,里面面包括主机机C的IPP地址和主主机B的MMAC地址址,主机AA收到这个个包后并没没有去验证证包的真实实性就把AARP缓存存中C的地地址篡改为为B的MAAC地址。2、主机BB也向主机机C发送一一个非法的的ARP包包
27、,里面包包含了A的的IP地址址和B的MMAC地址址,由于AARP协议议的漏洞,主主机C也没没有验证AARP的真真实性就把把ARP缓缓存中A的的MAC地地址改为BB的MACC地址。3、主机BB启动IPP转发功能能。主机AA与C的所所有直接的的通讯将经经过B,再再由B转发发给他们。这这样主机BB就成功的的对网内的的用户进行行了ARPP欺骗。4.2、网网络监听 由由图1可知知,当攻击击者B想要要截取主机机C对外网网通讯的信信息时,主主机B会给给主机C和和网关D发发送一个欺欺骗的ARRP应答包包,根据“中中间人”的的欺骗原理理,主机CC和网关DD都会认为为主机B是是对方,这这样主机CC看似能于于外网进
28、行行通讯了,然然而实际上上它的通讯讯信息却受受到主机BB的监听。此此时,主机机B不仅可可以完成监监听,还可可以随意改改变数据包包中的信息息,并成功功转发数据据包。假如如主机B在在区域网上上广播一个个IP地址址为网关的的欺骗ARRP通知包包,并篡改改网关D的的ARP缓缓存内的IIP-MAAC映射,主主机B则可可以监听区区域网内与与外网的所所有通讯信信息。大部部分的木马马或病毒都都使用该AARP欺骗骗攻击手段段到达攻击击的目的。4.3、广广泛拒绝服服务攻击DDOS 拒拒绝服务攻攻击DOSS就是使目目标主机不不能正常响响应外界请请求,不能能对外提供供服务。拒拒绝服务攻攻击主要有有以下4种种方式:1、
29、进攻主主机持续响响应本网络络内的所有有ARP应应答,并且且应答为一一个虚构的的MAC地地址,那么么目的主机机向外发送送的所有数数据帧都会会丢失,使使得上层应应用忙于处处理这种异异常而无法法响应外来来请求,也也就导致目目标主机产产生拒绝服服务。2、进攻主主机持续响响应本网络络所有的AARP进行行应答,并并且应答包包内的MAAC地址全全部为本子子网网关的的MAC地地址,由于于网关自身身有IP转转发功能的的,那么本本子网内所所有的数据据通讯都需需要网关进进行一次转转发,这样样就无形中中增加了网网关的负荷荷,会导致致网关超负负荷而崩溃溃或者等待待队列过长长,进而使使子网主机机内部之间间,子网主主机与外
30、网网主机之间间的通讯全全部失败或或者收发数数据超时。 3、一般交换网络采用的多是二层交换机,此类交换机自身维护着一个ARP缓存,用于映射MAC地址对应的交换机的端口号,这个缓存中可容纳的映射条数是有限的。如果进攻主机发送大量的包含不同MAC地址的ARP包,当数量足够多时,就有可能造成交换机DOS,不能正常转发数据包,使得交换机所连接的所有网络中断。4、如果某某一子网中中存在着许许多像路由由器或者提提供NATT服务的服服务器这些些具有IPP转发功能能的主机,利利用ARPP篡改的技技术则可以以实现多种种形式的信信息洪泛。假假设某子网网包含了具具有IP转转化功能的的主机1、22和3,通通过ARPP欺
31、骗,把把主机1的的ARP缓缓存中默认认网关对应应的MACC地址改为为主机2的的MAC地地址,利用用同样的方方法把主机机2的ARRP缓存的的默认网关关对应的MMAC地址址改为主机机3的MAAC地址,这这样主机11到网关的的数据通道道就变成了了1-2-3-网关,如如果1的数数据流量很很大,则22, 3也也会有较高高的负荷,并并且分析可可知被欺骗骗后子网的的通讯流量量是原来的的三倍。从从而形成讯讯息洪泛,整整个子网的的性能就急急剧降低了了。4.4、 IP地址址冲突 进进攻主机发发送更改后后的ARPP报文,其其包括目的的主机的IIP地址和和伪装的MMAC地址址,当系统统检测到两两个不同的的MAC地地址
32、对应同同一个IPP地址则会会提示IPP地址冲突突,在Wiindowws操作系系统中弹出出警告对话话框,Unnix/LLinuxx操作系统统上表现为为系统以mmail方式等警告告用户,这这两种情况况下都会使使目的主机机发生网络络中断。4.5、克克隆攻击如今,攻击击者已经能能修改网络络接口的MMAC地址址。攻击者者首先对目目标主机进进行拒绝服服务攻击,使使其不能对对外部做出出任何反应应。然后攻攻击者就可可以将自己己的MACC地址与IIP地址分分别改为目目标主机的的MAC地地址与IPP地址,这这样攻击者者的主机就就变成了目目标主机的的副本,从从而进一步步伪装了自自己更进一一步的实施施各种非法法攻击,
33、窃窃取各种通通信数据。五、防范AARP攻击击的解决方方案5.1、设设置静态的的ARP缓缓存表ARP协议议进攻最根根本的原理理就是改变变IP地址址与MACC地址对应应关系,所所以可以通通过设置静静态的ARRP缓存表表来防止AARP协议议攻击。设设置静态AARP表有有两种方法法,一是在在目的主机机的ARPP缓存中设设置静态的的地址映射射记录,二二是在三层层交换机设设置IP- MMAC地址址对应表。在在三层交换换机上设置置后,攻击击主机就没没有机会应应答向其他他主机发送送ARP请请求。如果果攻击者在在未收到AARP请求求的情况下下仍凭空伪伪造ARPP应答请求求发送给其其他主机,三三层交换机机将拒绝用
34、用伪造的数数据更新AARP缓存存表中的静静态记录。这这种方法比比较简单,比比较直观,但但是在经常常要更换IIP地址且且有较多主主机的的局局域网里,这这种方法就就显得十分分繁琐,工工作量大。在目的主机机的ARPP缓存中设设置静态的的地址映射射记录的具具体方法为为:用户在DOOS提示符符下执行 arp a命令令,看到C:“Doocumeents and Setttingss“useerarpp -aInterrfacee: 100.10.100.1 - 0xx2Interrnet Addrress Phyysicaal Adddresss Typee10.100.1000.2544 000-400
35、-66-77-888-d77 dyynamiic其中10.10.1100.2254和000-300-6d-bc-99c-d77分别为网网关的IPP 地址和和MAC地地址,因用用户所在的的区域、楼楼体和交换换机不同,其其对应网关关的IP地地址和MAAC地址也也不相同。或者编写一一个批处理理文件arrp.baat,实现现将交换机机网关的MMAC地址址和网关的的IP地址址的绑定,内内容 eccho ooff arrp -dd arp -s 10.110.1000.2554 000-400-66-77-888-d77 用户应该按按照第一步步中查找到到的交换机机网关的IIP地址和和MAC地地址,填入入a
36、rp -s后面即即可,同时时需要将这这个批处理理软件拖到到“winndowss-开始始-程序序-启动动”中,以以便用户每每次开机后后计算机自自动加载并并执行该批批处理文件件,对用户户起到一个个很好的保保护作用。5.2、交交换机上绑绑定端口和和MAC地地址交换机的每每一个端口口都对应着着一台主机机,而每一一台主机的的MAC都都是唯一的的。设置交交换机的每每一个端口口与MACC地址相对对应,如果果来自该端端口的MAAC地址与与之前的MMAC地址址不相符,就就自动封锁锁该端口,使使其不能连连接到局域域网。这样样,进攻主主机就无法法发送伪造造的ARPP数据帧,从从而有效的的防止了AARP欺骗骗的发生。
37、在在交换机中中,绑定端端口和MAAC地址通通常用到AACL配置置。访A控控制列表(Acceess CContrrol LList, ACLL)通过一一系列的匹匹配条件对对数据包进进行分类,交交换机根据据ACL中中指定的条条件来检测测数据包,从从而决定是是转发还是是丢弃该数数据包。下下面我们结结合一个实实例来说明明该问题。如如图2,三层层华为交换换机S35536E Swittch AA有两个端端口Ethherneet 0/1、Etthernnet 00/2分别别属于vllan 11、vlaan2, vlann 1, vlann 2的三三层接口地地址分别是是1.0.0.1/8.2.0.0.1/8。
38、组组网要求是是静态Maac、端口口捆绑:端端口Ethherneet 0/ 1仅仅仅允许pccl(Maac:1 .1.11)接入。1、创建AACL Swittch AA ACCL nuum 200002、定义规规则禁止00/1去往往任意端口口的数据包包 SwiitchAA-acll一linnk-2000 rrule 0 deeny iingreessinnterfface e0/11 egrress any3、定义规规则允许11.1.11的MACC地址从EEO门发住住任意端口口 SwittchA-acl一一linkk-2000 ruules 1 peermittingrress 1 .11.1
39、iinterrfacee e0/1 eggresss anyy4、下发访访问控制列列表 Swittch AA paackett-fillter linkk-grooup 22000由上可知,当当区域网要要加入一台台主机或者者移除一台台主机的时时候都得手手工配置,该该方法虽然然能够比较较好的防止止ARP病病毒,但是是缺点是不不灵活。5.3、VVLAN技技术一般情况下下,ARPP广播包是是不能跨子子网或者网网段传播的的,言下之之意就是说说子网、网网段可以隔隔离广播包包。一个VVLAN就就是一个逻逻辑广播域域,通过VVLAN技技术可以在在局域网中中创建多个个子网,就就在局域网网中隔离了了广播,缩缩小
40、了广播播范围,也也就减小了了广播风暴暴的产生的的几率。如如果利用VVLAN技技术将相互互信任的主主机所在的的安全子网网与进攻者者可能访问问的不安全全子网隔离离开来,对对不安全的的子网中采采用ARPP静态记录录。在安全全的子网中中,就可以以采用最基基本的方法法发送ARRP请求,安安全子网的的主机与不不安全子网网的主机通通讯由三层层交换机做做“代理”,三三层交换机机采用静态态记录来抵抵御来与不不安全子网网上进攻者者实施的AARP进攻攻。从效果果来看,就就解决了上上段最后提提出的问题题,即安全全子网中的的主机与不不安全子网网上的主机机通信时,只只相信来自自于三层交交换机(相相当于ARRP服务器器)的
41、ARRP响应。而而且划分过过后的局域域网,即使使其中的一一个VLAAN受到AARP攻击击后,也不不影响其他他VLANN主机的工工作。同时时VLANN的划分对对于ARPP病毒定位位非常有帮帮助,能快快速的定位位受进攻的的主机。5.4、建建立信任IIP-MAC地地址映射表表上面两种方方法的不足足之处都是是需要手动动的维护静静态记录,工工作比较分分散。为了了解决这个个问题,可可以在局域域网内部指指定一台主主机作为AARP服务务器来集中中管理,用用它来保存存和维护局局域网内相相对可靠主主机的IPP-MAC地地址映射记记录。当局局域网内有有ARP请请求时,服服务器就通通过查询自自己的ARRP缓存的的静态
42、记录录并以被查查询主机的的名义响应应ARP请请求,并且且服务器按按照一定的的时间间隔隔在局域网网内广播正正确的IPP- MAAC地址表表。同时,设设置局域网网内部的其其他主机只只使用来自自ARP服服务器的AARP响应应。这个方方法看起来来很完美,但但是目前还还很难将主主机配置成成只相信来来自ARPP服务器的的ARP响响应。在这这介绍一种种通过交换换机实现对对信任IPP地址和MMAC地址址管理的方方法,DHHCP SSNOOPPING即即DHCPP服务器的的二层监听听功能,在在交换机上上开启DHHCP SSNOOPPING功功能后,以以太网交换换机就可以以通过监听听DHCPPACK或或DHCPP
43、REQUUEST报报文,记录录DHCPP客户端IIP地址与与MAC地地址的对应应关系,通通过设置DDHCP SNOOOPINGG信任端口口,保证主主机能从合合法的服务务器获取IIP地址,从从而实现了了对不信任任DHCPP报文的过过滤功能。这这样进攻者者将无法伪伪造ARPP应答包,也也不能通过过MAC地地址替换来来达到嗅探探的目的了了。在这里里要注意的的是D日CCPSnooopinng表只记记录了通过过DHCPP方式动态态获取IPP地址的客客户端信息息。如果主主机的IPP地址固定定的,必须须在交换机机上手工配配置IP静静态绑定表表的表项,即即要绑定用用户的IPP地址、MMAC地址址及连接该该用户
44、的端端口。5.5、AARP报文文限速由广泛拒绝绝服务攻击击DOS来来看,ARRP欺骗还还有一个特特征就是不不断的发送送ARP欺欺骗包,以以达到欺骗骗的目的。对对于该类的的广泛DOOS,我们们可以通过过设置三层层交换机的的ARP报报文限速避避免其进攻攻。ARPP报文限速速就是限制制端口接受受ARP报报文的单位位时间的数数量。当通通过交换机机启动某个个端口的AARP报文文限速功能能后,交换换机会统计计该端口每每秒内接收收的ARPP报文数量量,如果每每秒内统计计到的的AARP报文文数量超过过设定值,则则认为该端端受到ARRP报文攻攻击。此时时,交换机机将关闭该该端口,使使其不再接接收任何报报文,经过过一段时间间自动恢复复被关闭的的端口的开开启状态。从从而避免大大量ARPP报