《局域网ARP欺骗攻击及安全防范策略毕业设计23599.docx》由会员分享,可在线阅读,更多相关《局域网ARP欺骗攻击及安全防范策略毕业设计23599.docx(53页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、新疆机电职业技术学院毕业论文新疆机电职业技术学院计算机系毕业论文题 目:局域网ARRP攻击击及防范范专 业:计算机网络络技术年 级:高计算机110班学生姓名:王文瑞学 号:2010118988指导教师:李 欣2012年12月12日49局域网ARRP攻击击及防范范摘要: AARP攻攻击,是是针对以以太网地地址解析析协议(AARP)的的一种攻攻击技术术。此种种攻击可可让攻击击者取得得局域网网上的数数据封包包甚至可可篡改封封包,且且可让网网络上特特定计算算机或所所有计算算机无法法正常连连接。目目前,AARP欺欺骗是黑黑客常用用的攻击击手段之之一,且且ARPP欺骗攻攻击的后后果一般般都是比比较非常常严
2、重的的,大多多数情况况下会造造成大面面积掉线线。有些些网管员员对此不不甚了解解,出现现故障时时,认为为PC没没有问题题,交换换机没掉掉线的“本本事”,电电信也不不承认宽宽带故障障。而且且如果第第一种AARP欺欺骗发生生时,只只要重启启路由器器,网络络就能全全面恢复复,那问问题一定定是在路路由器了了。为此此,宽带带路由器器被认为为是“罪魁祸首首”,而事实实并非如如此。鉴于此此,本文文将论述述ARPP地址解解析协议议的含义义和工作作原理,分分析了AARP协协议所存存在的安安全漏洞洞,分析析网段内内和跨网网段ARRP欺骗骗的实现现过程。最最后,结结合网络络管理的的实际工工作,介介绍IPP地址和和MA
3、CC地址绑绑定、交交换机端端口和MMAC地地址绑定定、VLLAN隔隔离等技技术等几几种能够够有效防防御ARRP欺骗骗攻击的的安全防防范策略略。最后通过过使用文文中介绍绍安全防防范策略略成功阻阻止P22P终结结者、AArpkkilller等等ARPP攻击软软件的攻攻击验证证了该安安全策略略的有效效性。关键词: ARPP协议 IPP地址 局域域网 MACC地址 网络络安全 LAN AARP atttackk annd pprottecttionnAbstrractt: ARPP atttacck, whiich is bassed on Ethhernnet adddresssess annaly
4、yticcal prootoccol (ARRP) an atttackk teechnnoloogy. Thhis atttackk maay llet thee atttacckerr haas aa loocall-arrea nettworrk ppackketss off daata or eveen ttampper witth tthe pacckett, aand alllowss neetwoork on speeciffic commputter or alll coompuuterr caannoot nnormmal connnecctioon. At preesenn
5、t, thee ARRP ddeceeptiion is hacckerrs ccommmonlly uusedd atttacck mmeanns oone, annd tthe connseqquenncess off ARRP ddeceeptiion atttackk iss ussuallly commparre vveryy seerioous, inn moost cirrcummstaancees wwilll caauseed eexteensiive callls. Soome nettworrk aadmiinisstraatorr arre nnot welll uun
6、deersttoodd, mmalffuncctioon, thiink PC no proobleem, swiitchhes diddntt drroppped skkilll, tellecoom ddoess noot aacknnowlledgge bbroaadbaand fauult. Annd iif tthe firrst kinnd oof AARP deccepttionn occcurrs, as lonng aas tthe resstarrt rroutter, thhe nnetwworkk caan ffullly rrecooverr, tthatt prro
7、bllem musst bbe oon aa roouteer. Theerefforee, bbroaadbaand rouuterr iss coonsiiderred thhe cchieef cculppritt, butt thhis is nott thhe ccasee. IIn vvieww off thhis, thhis artticlle wwilll bee diiscuusseed tthe meaaninng oof AARP adddresss aanallytiicall prrotoocoll annd wworkkingg prrincciplle, ana
8、alyzzes thee exxisttingg ARRP aagreeemeent seccuriity vullnerrabiilittiess, aanallyziing nettworrk ssegmmentt wiithiin aand acrrosss thhe nnetwworkk seegmeent thee reealiizattionn prroceess of ARPP deecepptioon. Finnallly, commbinned witth tthe praactiicall woork of nettworrk mmanaagemmentt, iintrro
9、duucess thhe IIP aaddrresss annd MMAC adddresss bbinddingg, sswittch porrt aand MACC adddreess binndinng, as welll aas sseveerall vllanss issolaatioon ttechhnollogyy caan eeffeectiivelly ddefeensee ARRP ddeceeptiion atttackk seecurrityy prreveentiive strrateegy. Fiinallly thrrouggh tthe usee off inn
10、trooducced saffetyy prreveentiive strrateegy preevenntedd P22P ttermminaatorr, Arppkilllerr ettc AARP atttackk sooftwwaree atttacck vveriifieed tthe efffecttiveenesss oof tthe seccuriity strrateegy.Keyorrds: ARRP agrreemmentt IPP adddreess Buureaau aareaa neet MACC adddreess Neetwoork seccuriity目 录引
11、 言2第一章. ARPP协议简简介2第二章. ARPP协议的的工作原原理3第三章. 分析ARP协议议存在的的安全漏漏洞5一、 分析析ARPP协议存存在的安安全漏洞洞5二、 AARP欺欺骗检测测方法5(一)主主机级检检测方法法5(二)网网络级检检测方法法5第四章. ARPP欺骗攻攻击的实实现过程程6一、 通过过路由器器实现VVLANN间的通通信6二、 公司司网络实实现vllan间间通信6第五章. ARPP攻击简简介6一、仿冒网网关7二、欺骗网网关7三、欺骗终终端用户户7四、“中间间人”攻击8五、 ARRP报文文泛洪攻攻击8第六章.攻攻击安全全防范策策略8一、 DHHCP Snooopiing功功
12、能9二、 IPP静态绑绑定功能能9三、 ARRP入侵侵检测功功能9四、 ARRP报文文限速功功能9五、 CAAMS下下发网关关配置功功能10第七章. ARPP攻击防防御配置置举例10一、 DHHCP监监控模式式下的AARP攻攻击防御御配置举举例10(一)组组网需求求10(二)组组网图11(三)配配置思路路11(四)配配置步骤骤11(五)注注意事项项14二、认证模模式下的的ARPP攻击防防御配置置举例15(一)组组网需求求15(二)组组网图16(三)配配置思路路16(四)配配置步骤骤16(五)注注意事项项27第八章. 结 论27参考文献献28致 谢28引 言在局域网中中,网络络中实际际传输的的是
13、“帧帧”,帧帧里面是是有目标标主机的的MACC地址的的。在以以太网中中,一个个主机要要和另一一个主机机进行直直接通信信,必须须要知道道目标主主机的MMAC地地址。网网吧是最最常见的的局域网网,在使使用过程程中有时时出现别别人可以以正常上上网而自自己却无无法访问问任何页页面和网网络信息息的情况况,虽然造造成这种种现象的的情况有有 很多多,但是是目前最最常见的的就是AARP欺欺骗了,很很多黑客客工具甚甚至是病病毒都是是通过AARP欺欺骗来实实现对主主机进行行攻击和和阻止本本机访问问任何网网络信息息的目的的。首先我们可可以肯定定一点的的就是发发送ARRP欺骗骗包是通通过一个个恶毒的的程序自自动发送送
14、的,正正常的TTCP/IP网网络是不不会有这这样的错错误包发发送的,而而人工发发送又比比较麻烦烦。也就就是说当当黑客没没有运行行这个恶恶毒程序序的话,网网络上通通信应该该是一切切正常的的,保留留在各个个连接网网络计算算机上的的ARPP缓存表表也应该该是正确确的,只只有程序序启动开开始发送送错误AARP信信息以及及ARPP欺骗包包时才会会让某些些计算机机访问网网络出现现问题。ARP欺骗骗可以造造成内部部网络的的混乱,让让某些被被欺骗的的计算机机无法正正常访问问内外网网,让网网关无法法和客户户端正常常通信。实实际上他他的危害害还不仅仅仅如此此,一般般来说IIP地址址的冲突突我们可可以通过过多种方方
15、法和手手段来避避免,而而ARPP协议工工作在更更低层,隐隐蔽性更更高。系系统并不不会判断断ARPP缓存的的正确与与否,无无法像IIP地址址冲突那那样给出出提示。而而且很多多黑客工工具例如如网络剪剪刀手等等, 可可以随时时发送AARP欺欺骗数据据包和AARP恢恢复数据据包,这这样就可可以实现现在一台台普通计计算机上上通过发发送ARRP数据据包的方方法来控控制网络络中任何何一台计计算机的的上网与与否, 甚至还还可以直直接对网网关进行行攻击,让让所有连连接网络络的计算算机都无无法正常常上网。这这点在以以前是不不可能的的,因为为普通计计算机没没有管理理权限来来控制网网关,而而现在却却成为可可 能,所所
16、以说AARP欺欺骗的危危害是巨巨大的,而而且非常常难对付付,非法法用户和和恶意用用户可以以随时发发送ARRP欺骗骗和恢复复数据包包,这样样就增加加了网络络管理员员查找真真凶的难难度,所所以跟踪踪防范局局域网AARP欺欺骗类攻攻击的最最新技术术,做到到防范于于未然就就必不可可少。第一章. ARPP协议简简介ARP(AAddrresss Reesollutiion Prootoccol) ,是是由Daavidd CPluummeer在8266intternnet标标准(草案)提出,当当时是为为了美国国数字设设备公司司、英特特尔公司司施乐乐复印机机公司等等三个公公司的110 MMbitt以太网网所设
17、计计,在推推广时也也允许其其它类型型的网络络使用。AARP也也即地址址解析协协议,该该协议是是将IPP地址与与网络物物理地址址一一对对应的协协议。负负责IPP地址和和网卡实实体地址址(MAAC)之之间的转转换。也也就是将将网络层层(IPP层,也也就是相相当于IISO/OSII 的第第三层)地地址解析析为数据据连接层层(MAAC层,也也就是相相当于IISO/OSII的第二二层)的的MACC地址。TCP/IP协议中规定,IP地址为32位,由网络号和网络内的主机号构成,每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中,源主机和目的主机通信时,源主机不仅要知道目的主机的IP地
18、址,还要知道目的主机的数据链路层地址,即网卡的MAC地址,同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址,并实现双方通信。第二章. ARPP协议的的工作原原理在网络中的的任何一一台主机机,都有有两个唯唯一的标标识。一一个是由由32位二二进制组组成lPP地址,用用于在网网络层当当中标识识和查找找计算机机,另一一个是由由48位二二进制组组成的MMAC地地址,用用于在数数据链路路层中标标识和查查找计算算机。IIP地址址是不能能直接用用来通讯讯的,因因为IPP地址只只是主机机在网络络层中的的地址,如如果要将将网络层层中传输输的数据据报交给给目的主主机,还还
19、要传到到链路层层变成MMAC帧帧才能发发送到实实际的网网络上。因因此IPP地址与与MACC地址之之间就必必须存在在一个映映射表,而而ARPP协议就就很好的的解决了了这些问问题。每每一台安安装有TTCP/IP协议议的计算算机内部部都有一一张ARRP高速速缓存表表,该缓缓存表记记录了最最近一段段时间内内区域网网内与该该计算机机通讯的的其他计计算机的的IP地址址与其相相应的MMAC地地址之间间的对应应关系。当当源主机机要发送送lP数据据报时,数数据链路路层必须须将IPP数据报报封装成成以太网网数据帧帧,才能能在以太太网中传传输。在在封装过过程中,为为了找到到与目的的IP地址址对应的的MACC地址,源
20、源主机先先会把目目的主机机的lPP的地址址与子网网掩码进进行逻辑辑与操作作,以判判断目的的主机是是否与自自己在同同一个网网段内。如如果在同同一网段段内,源源主机会会先查看看ARPP高速缓缓存是否否有与目目的IPP地址对对应的MMAC地地址信息息,如果果MACC地址已已存在,就就直接使使用。如如果对应应的信息息不存在在,就向向本地网网段发起起一个包包含ARRP请求求的广播播包,查查询此目目的主机机对应的的MACC地址。此此ARPP请求数数据包里里包括源源主机的的IP地址址、MAAC地址址、以及及目的主主机的llP地址址。网络络中所有有的主机机收到这这个ARRP请求求后。会会检查数数据包中中的目的
21、的IP是否否和自己己的IPP地址一一致。如如果不相相同就忽忽略此数数据包,如如果相同同,则给给源主机机发送一一个ARRP响应应数据包包,通过过该报文文使源主主机获得得目标主主机的MMAC地地址信息息则可利利用此信信息开始始数据的的传输。假假如目的的主机与与源主机机不在同同一个网网段内,源源主机会会在ARRP高速速缓存中中查找默默认网关关所对应应的MAAC地址址,由默默认网关关再对该该分组进进行转发发。如果果没有,源源主机就就会发送送一个广广播包,查查询默认认网关对对应的MMAC地地址。主主机每隔隔一段时时间或者者每收到到新的AARP应应答就会会更新AARP缓缓存,以以保证自自己拥有有最新的的地
22、址解解析缓存存。ARRP协议议工作原原理详见见以下图图1和图图2。图1 网段段内ARRP工作作原理图2 夸网网段ARRP工作作原理我们还是来来通过实实验更加加深入直直观地了了解ARRP协议议的工作作原理吧吧。我们们假设有有两台主主机:AA机的IIP地址址是1992.1168.0.11,MAAC地址址是522-544-abb-277-822-833 。BB机的IIP地址址是1992.1168.0.22,MAAC地址址是522-544-abb-277-822-844 。当当主机AA想与主主机B进进行通讯讯时,AA机只知知道B机机的IPP地址是是1922.1668.00.2,当数据据包封装装到MAA
23、C层时时他如何何知道BB的MAAC地址址呢,一一般的OOS中是是这样做做的,在在OS的的内核中中保存一一分MAAC地址址表,就就是我们们一中介介始到的的。用aarp -a就就可以看看见这个个表的内内容了,例例如: C:/aarp -a Interrfacce: 1922.1668.00.X on Intterffacee 0xx100000002 Interrnett Adddreess PPhyssicaal AAddrresss Typpe 192.1168.0.11 552-554-aab-227-882-883 dynnamiic 其中表内有有IP和和MACC地址的的对应关关系,当当要
24、过进进行通讯讯时,系系统先查查看这个个表中是是否有相相关的表表项,如如果有就就直接使使用,如如果没有有系统就就会发出出一个AARP请请求包,这个包包的目的的地址为为ffffffffffffffff的广播播地址,他他的作用用就是询询问局域域网内IIP地址址为1992.1168.0.22的主机机的MAAC地址址,就像像是A在在局域网网中发信信息找一一个IPP地址为为1922.1668.00.2的的主机MMAC地地址,同同样A机机把自已已的MAAC地址址告诉出出去是552-554-aab-227-882-883 ,随随后所有有主机都都会接收收到这个个包,但但只有IIP为1192.1688.0.2的B
25、B才会响响应一个个ARPP应答包包给主机机A, B机会会回信息息给A机机说他的的MACC地址是是52-54-ab-27-82-84,好这下下主机AA就知道道B的MMAC地地址了,于于时他就就可以封封包发送送了,同同时主机机A将BB的MAAC地址址放入AARP缓缓冲中,隔隔一定时时间就将将其删除除,确保保不断更更新。 注意,在这这个过程程中,如如果主机机A在发发送ARRP请求求时,假假如该局局域网内内有一台台主机CC的IPP和A相相同,CC就会得得知有一一台主机机的IPP地址同同自已的的IP地地址相同同,于时时就蹦出出一个IIP冲突突的对话话筐。与与ARPP相对应应的还有有一个协协议RAARP(
26、Revversse Addreess Ressoluutioon PProttocool),反向向地址解解析协议议,该协协议主要要用于工工作站模模型动态态获取IIP的过过程中,作作用是由由MACC地址向向服务器器取回IIP地址址。第三章. 分析AARP协协议存在在的安全全漏洞一、 分析析ARPP协议存存在的安安全漏洞洞 AARP协协议是建建立在信信任局域域网内所所有结点点的基础础上的,它它很高效效,但却却不安全全。它的的主要漏漏洞有以以下三点点。(11)主机机地址映映射表是是基于高高速缓存存、动态态更新的的,ARRP将保保存在高高速缓存存中的每每一个映映射地址址项目都都设置了了生存时时间,它它
27、只保存存最近的的地址对对应关系系。这样样恶意的的用户如如果在下下次交换换前修改改了被欺欺骗机器器上的地地址缓存存,就可可以进行行假冒或或拒绝服服务攻击击。(22)由于于ARPP是无状状态的协协议,即即使没有有发送AARP请请求报文文,主机机也可以以接收AARP应应答,只只要接受受到ARRP应答答分组的的主机就就无条件件地根据据应答分分组的内内容刷新新本机的的高速缓缓存。这这就为AARP欺欺骗提供供了可能能,恶意意节点可可以发布布虚假的的ARPP报文从从而影响响网内结结点的通通信,甚甚至可以以做“中间人人”。(3)任何ARRP应答答都是合合法的,ARP应答无须认证,只要是区域内的ARP应答分组,
28、不管(其实也不知道)是否是合法的应答,主机都会接受ARP应答,并用其lPPMACC信息篡篡改其缓缓存。这这是ARRP的另另一个隐隐患。目目前主要要存在22种检测测ARPP欺骗的的机制。在在主机级级,普通通主机可可以采用用两种方方法检测测自己的的是否正正在被其其它主机机欺骗:一种是是主动探探查可疑疑的主机机;另一一种是被被动检查查网络AARP广广播报文文。在网网络级,处处于网络络管理员员控制下下的机器器将检查查所有的的ARPP请求与与响应以以查明异异常并判判断是否否出现AARP欺欺骗行为为。二、 AARP欺欺骗检测测方法(一) 主机级检测测方法主动检测测。当主主机收到到ARPP应答报报文时,从从
29、应答报报文中提提取MAAC地址址。然后后构造一一个RAARP请请求报文文,这样样就可以以得到这这个MAAC地址址对应的的IP地址址,比较较两个IIP地址址,如果果不同,就就说明有有主机进进行了AARP欺欺骗。还还有另外外一种方方法就是是:主机机定期向向区域网网发送查查询自己己IP地址址的ARRP请求求报文。如如果收到到其它主主机的应应答。就就说明该该区域网网可能存存在ARRP欺骗骗。被动检测测。当系系统接收收到来自自局域网网上的AARP请请求时,系系统检查查该请求求发送端端的IPP地址是是否与自自己的IIP地址址相同。如如果相同同,则说说明该网网络上另另有一台台机器与与自己具具有相同同的IPP
30、地址。当当然还有有一种情情况,就就是每当当系统启启动时或或更改主主机IPP地址时时,ARRP协议议自动地地向本地地网络发发送一个个广播请请求包,通通告自己己的IPP地址并并检测是是否存在在IP地址址冲突。由由上可知知,主机机级检测测出来的的异常情情况。可可能是由由于用户户操作失失误或者者其它原原因造成成的,并并不能有有效和准准确的检检测出AARP欺欺骗。下下面介绍绍的检测测方法更更能有效效的检测测出ARRP欺骗骗。(二) 网络级检测测方法通过配置置主机定定期向中中心管理理主机报报告其AARP缓缓存的内内容。这这样中心心管理主主机上的的程序就就会查找找出两台台或者多多台主机机报告信信息的不不一致
31、,以以及同一一台主机机前后报报告内容容的变化化。根据据这些情情况可以以初步确确定谁是是进攻者者。谁被被进攻者者。这里里需要考考虑的是是:每台台主机向向衷心管管理主机机发送数数据的时时间间隔隔,如果果发送的的间隔太太短会占占用通讯讯的信道道。影响响整个区区域网通通讯的性性能。如如果间隔隔太长,以以至超过过攻击者者一次进进攻的时时间。进进攻者可可能在短短时间内内攻击之之后又把把一切都都恢复了了,则失失去意义义。中心管理理主机上上保存着着可信任任的IPPMACC映射表表,然后后通过检检查匹配配网络的的IPMACC映射表表,检测测ARPP欺骗。可可信任的的IPMACC映射表表可以有有管理员员手动配配置
32、。也也可以在在网络正正常时通通过ARRP扫描描获取网网内的IIPMACC映射表表。第四章. ARPP欺骗攻攻击的实实现过程程一、 通过过路由器器实现VVLANN间的通通信ARP欺骗骗攻击的的核心就就是向目目标主机机发送伪伪造的AARP应应答,并并使目标标主机接接收应答答中伪造造的IPP与MAAC间的的映射对对,并以以此更新新目标主主机缓存存。设在在同一网网段的三三台主机机分别为为,,详详见表11。表1:同网网段主机机IP地地址和MMAC地地址对应应表用户主机IP地址MAC地址址A1010010001100-E00-4CC-11-11-11B1010010002200-E00-4CC-222-2
33、22-222C1010010003300-E00-4CC-333-333-333假设与是信任任关系,欲向发送数数据包。攻攻击方通过前前期准备备,可以以发现的漏洞洞,使暂时无无法工作作,然后后发送送包含自自己MAAC地址址的ARRP应答答给。由由于大多多数的操操作系统统在接收收到ARRP应答答后会及及时更新新ARPP缓存,而而不考虑虑是否发发出过真真实的AARP请请求,所所以接接收到应应答后,就就更新它它的ARRP缓存存,建立立新的IIP和MMAC地地址映射射对,即即的IIP地址址101010002对对应了的MAAC地址址00-E0-4C-33-33-33。这这样,导导致就就将发往往的数数据包发
34、发向了,但和B却却对此全全然不知知,因此此C就实实现对AA和B的的监听。二、 公司司网络实实现vllan间间通信跨网段的AARP欺欺骗比同同一网段段的ARRP欺骗骗要复杂杂得多,它它需要把把ARPP欺骗与与ICMMP重定定向攻击击结合在在一起。假假设和和在同同一网段段,在在另一网网段,详详见表22。表2:跨网网段主机机IP地地址和MMAC地地址对应应表用户主机IP地址MAC地址址A1010010001100-E00-4CC-11-11-11B1010010002200-E00-4CC-222-222-222C1010010003300-E00-4CC-333-333-333首先攻击方方修改改I
35、P包包的生存存时间,将将其延长长,以便便做充足足的广播播。然后后和上面面提到的的一样,寻寻找主机机的漏漏洞,攻攻击此漏漏洞,使使主机暂时无无法工作作。此后后,攻击击方发发送IPP地址为为的IIP地址址101010002,MMAC地地址为的MAAC地址址00-E0-4C-33-33-33的的ARPP应答给给。接收到到应答后后,更新新其ARRP缓存存。这样样,在主主机上上的IIP地址址就对应应的MMAC地地址。但但是,在发数数据包给给时,仍仍然会在在局域网网内寻找找101010002的的MACC地址,不不会把包包发给路路由器,这这时就需需要进行行ICMMP重定定向,告告诉主机机到110110110
36、02的最最短路径径不是局局域网,而而是路由由,请主主机重定定向路由由路径,把把所有到到101010002的的包发给给路由器器。主机机在接接受到这这个合理理的ICCMP重重定向后后,修改改自己的的路由路路径,把把对100100100022的数据据包都发发给路由由器。这这样攻击击方就就能得到到来自内内部网段段的数据据包。第五章. ARPP攻击简介介ARP欺骗骗按照ARRP协议议的设计计,一个个主机即即使收到到的ARRP应答答并非自自身请求求得到的的,也会会将其IIP地址址和MAAC地址址的对应应关系添添加到自自身的AARP映映射表中中。这样样可以减减少网络络上过多多的ARRP数据据通信,但但也为“
37、ARPP欺骗”创造了了条件。校校园网中中,常见见的ARRP攻击击有如下下几中形形式。一、仿冒网网关攻击者伪造造ARPP报文,发发送源IIP地址址为网关关IP地址址,源MMAC地地址为伪伪造的MMAC地地址的AARP报报文给被被攻击的的主机,使使这些主主机更新新自身AARP表表中网关关IP地址址与MAAC地址址的对应应关系。这这样一来来,主机机访问网网关的流流量,被被重定向向到一个个错误的的MACC地址,导导致该用用户无法法正常访访问外网网。如下下图:“仿冒网关关”攻击示示意图二、欺骗网网关攻击者伪造造ARPP报文,发发送源IIP地址址为同网网段内某某一合法法用户的的IP地址址,源MMAC地地址
38、为伪伪造的MMAC地地址的AARP报报文给网网关;使使网关更更新自身身ARPP表中原原合法用用户的IIP地址址与MAAC地址址的对应应关系。这这样一来来,网关关发给该该用户的的所有数数据全部部重定向向到一个个错误的的MACC地址,导导致该用用户无法法正常访访问外网网。如下下图:“欺骗网关关”攻击示示意图三、欺骗终终端用户户攻击者伪造造ARP报文,发发送源IIP地址址为同网网段内某某一合法法用户的的IP地址址,源MMAC地地址为伪伪造的MMAC地地址的AARP报报文给同同网段内内另一台台合法主主机;使使后者更更新自身身ARPP表中原原合法用用户的IIP地址址与MAAC地址址的对应应关系。这这样一
39、来来,网段段内的其其他主机机发给该该用户的的所有数数据都被被重定向向到错误误的MAAC地址址,同网网段内的的用户无无法正常常互访。如下图:“欺骗终端端用户”攻击示示意图四、“中间间人”攻击ARP “中间人人”攻击,又又称为AARP双双向欺骗骗。如ARP“中中间人”攻击示示意图所所示,HHostt A和和Hosst CC通过Swwitcch进行行通信。此此时,如如果有恶恶意攻击击者(HHostt B)想想探听HHostt A和和Hosst CC之间的的通信,它它可以分分别给这这两台主主机发送送伪造的的ARPP应答报报文,使使Hosst AA和Hosst CC用MACC_B更更新自身身ARPP映射
40、表表中与对对方IPP地址相相应的表表项。此此后,HHostt A 和Hosst CC之间看看似“直接”的通信信,实际际上都是是通过黑黑客所在在的主机机间接进进行的,即即Hosst BB担当了了“中间人人”的角色色,可以以对信息息进行了了窃取和和篡改。这这种攻击击方式就就称作“中间人人(Maan-IIn-TThe-Midddlee)攻击击”。如下图图:ARP“中中间人”攻击示示意图五、 ARRP报文文泛洪攻攻击恶意用户利利用工具具构造大大量ARRP报文文发往交交换机的的某一端端口,导导致CPPU负担担过重,造造成其他他功能无无法正常常运行甚甚至设备备瘫痪。第六章.攻攻击安全全防范策策略本文根据A
41、ARP攻攻击的特特点,给给出了DDHCPP监控模模式下的的ARPP攻击防防御解决决方案和和认证模模式下的的ARPP攻击防防御解决决方案。前前者通过过接入交交换机上上开启DDHCPP Snnooppingg功能、配配置IPP静态绑绑定表项项、ARRP入侵侵检测功功能和AARP报报文限速速功能,可可以防御御常见的的ARPP攻击;后者不不需要在在接入交交换机上上进行防防攻击配配置,而而需要通通过CAAMS服服务器下下发网关关的IPP/MAAC对应应关系给给客户端端,防御御“仿冒网网关”攻击。详详见常见网络攻攻击和防防范对照照表。常见网络攻攻击和防防范对照照表攻击方式防御方法动态获取IIP地址址的用户
42、户进行“仿冒网网关”、“欺骗网网关”、“欺骗终终端用户户”、“ARPP中间人人攻击”配置DHCCP SSnooopinng、ARPP入侵检检测功能能手工配置IIP地址址的用户户进行“仿冒网网关”、“欺骗网网关”、“欺骗终终端用户户”、“ARPP中间人人攻击”配置IP静静态绑定定表项、ARP入侵检测功能ARP泛洪洪攻击配置ARPP报文限限速功能能动态和手工工配置IIP地址址的用户户进行“仿冒网网关”攻击配置认证模模式的AARP攻攻击防御御解决方方案(CCAMSS下发网网关配置置功能)一、 DHHCP Snooopiing功功能DHCP Snooopiing是是运行在在二层接接入设备备上的一一种D
43、HHCP安安全特性性。通过监听DDHCPP报文,记记录DHHCP客客户端IIP地址址与MAAC地址址的对应应关系; 通过设置DDHCPP Snnooppingg信任端端口,保保证客户户端从合合法的服服务器获获取IPP地址。l 信任端口正正常转发发接收到到的DHHCP报报文,从从而保证证了DHHCP客客户端能能够从DDHCPP服务器器获取IIP地址址。l 不信任端口口接收到到DHCCP服务务器响应应的DHHCP-ACKK和DHCCP-OOFFEER报文文后,丢丢弃该报报文,从从而防止止了DHHCP客客户端获获得错误误的IPP地址。二、 IPP静态绑绑定功能能DHCP Snooopiing表表只记
44、录录了通过过DHCCP方式式动态获获取IPP地址的的客户端端信息,如如果用户户手工配配置了固固定IPP地址,其其IP地址址、MAAC地址址等信息息将不会会被DHHCP Snooopiing表表记录。因因此,交交换机支支持手工工配置IIP静态态绑定表表的表项项,实现现用户的的IP地址址、MAAC地址址及接入入交换机机连接该该用户的的端口之之间的绑绑定关系系。这样样,该固固定用户户的报文文就不会会被ARRP入侵侵检测功功能过滤滤。三、 ARRP入侵侵检测功功能H3C低端端以太网网交换机机支持将将收到的的ARPP(请求求与回应应)报文文重定向向到CPPU,结结合DHHCP Snooopiing安安全
45、特性性来判断断ARPP报文的的合法性性并进行行处理,具具体如下下。l 当ARP报报文中的的源IPP地址及及源MAAC地址址的绑定定关系与与DHCCP SSnooopinng表项项或者手手工配置置的IPP静态绑绑定表项项匹配,且且ARPP报文的的入端口口及其所所属VLLAN与与DHCCP SSnooopinng表项项或者手手工配置置的IPP静态绑绑定表项项一致,则则为合法法ARPP报文,进进行转发发处理。l 当ARP报报文中的的源IPP地址及及源MAAC地址址的绑定定关系与与DHCCP SSnooopinng表项项或者手手工配置置的IPP静态绑绑定表项项不匹配配,或AARP报报文的入入端口,入入
46、端口所所属VLLAN与与DHCCP SSnooopinng表项项或者手手工配置置的IPP静态绑绑定表项项不一致致,则为为非法AARP报报文,直直接丢弃弃。四、 ARRP报文文限速功功能H3C低端端以太网网交换机机支持端端口ARRP报文文限速功功能,使使受到攻攻击的端端口暂时时关闭,来来避免此此类攻击击对CPPU的冲冲击。开启某个端端口的AARP报报文限速速功能后后,交换换机对每每秒内该该端口接接收的AARP报报文数量量进行统统计,如如果每秒秒收到的的ARPP报文数数量超过过设定值值,则认认为该端端口处于于超速状状态(即即受到AARP报报文攻击击)。此此时,交交换机将将关闭该该端口,使使其不再再
47、接收任任何报文文,从而而避免大大量ARRP报文文攻击设设备。同同时,设设备支持持配置端端口状态态自动恢恢复功能能,对于于配置了了ARPP限速功功能的端端口,在在其因超超速而被被交换机机关闭后后,经过过一段时时间可以以自动恢恢复为开开启状态态。五、 CAAMS下下发网关关配置功功能CAMS(Commpreehennsivve AAcceess Mannageemennt SServver,综综合访问问管理服服务器)作作为网络络中的业业务管理理核心,可可以与以以太网交交换机等等网络产产品共同同组网,完完成用户户的认证证、授权权、计费费和权限限管理。如如CAMS组组网示意意图所示。CAMS组组网示意意图认证模式的的ARPP攻击防防御解决决方案,不不需要在在接入交交换机上上进行特特殊的防防攻击配配置,只只需要客客户端通通过8002.11x认证证登录网网络,并并在CAAMS上上进行用用户网关