ARP攻击防范技术白皮书杭州华三通信技术有限公司www.h3c.com.cn第1页,共17页ARP攻击防范技术白皮书关键词:ARP,仿冒网关,欺骗网关,欺骗其他用户,泛洪攻击摘要:本文针对目前常见的ARP攻击,介绍了H3C网络设备所能提供的防范ARP攻击的方法以及典型组网应用。缩略语:缩略语英文全名中文解释ARPAddressResolutionProtocol地址解析协议DHCPDynamicHostConfigurationProtocol动态主机配置协议MACMediaAccessControl媒体访问控制iMCIntelligentManagementCenter开放智能管理中枢ARP攻击防范技术白皮书杭州华三通信技术有限公司www.h3c.com.cn第2页,共17页目录1概述.......................................................................................................................................31.1产生背景......................................................................................................................31.1.1ARP工作机制.....................................................................................................31.1.2ARP攻击类型介绍..............................................................................................31.1.3ARP攻击的危害.................................................................................................61.2H3C解决方案...............................................................................................................72ARP攻击防范技术介绍...........................................................................................................82.1接入设备攻击防范介绍.................................................................................................82.1.1ARPDetection功能............................................................................................82.1.2ARP网关保护功能............................................................................................102.1.3ARP过滤保护功能............................................................................................102.1.4ARP报文限速功能............................................................................................102.2网关设备攻击防范介绍...............................................................................................112.2.1授权ARP功能...................................................................................................112.2.2ARP自动扫描和固化功能.................................................................................122.2.3配置静态ARP表项............................................................................................122.2.4ARP主动确认功能............................................................................................122.2.5ARP报文源MAC一致性检查功能.....................................................................132.2.6源MAC地址固定的ARP攻击检测功能..............................................................142.2.7限制接口学习动态ARP表项的最大数目...........................................................142.2.8ARP防IP报文攻击功能.....................................................................................143典型组网应用.......................................................................................................................153.1监控方式....................................................................................................................153.2认证方式....................................................................................................................163.3网吧解决方案.............................................................................................................174参考文献..............................................................................................................................17ARP攻击防范技术白皮书杭州华三通信技术有限公司www.h3c.com.cn第3页,共17页1概述1.1产生背景1.1.1ARP工作机制ARP协议是以太网等数据链路层的基础协议,负责完成IP地址到硬件地址的映射。工作过程简述如下:(1)当主机或者网络设备需要解析一个IP地址对应的MAC地址时,会广播发送ARP请求报文。(2)主机或者网络设备接收到ARP请求后,会进行应答。同时,根据请求发送者的IP地址和MAC地址的对应关系建立ARP表项。(3)发起请求的主机或者网络设备接收到应答后,同样会将应答报文中发送者的IP地址和MAC地址的映射关系记录下来,生成ARP表项。1.1.2ARP攻击类型介绍从ARP工作机制可以看出,ARP协议简单易用,但是却没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。伪造ARP报文具有如下特点:z伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致。z伪造的ARP报文中源IP地址和源MAC地址的映射关系不是合法用户真实的映射关系。目前主要的ARP攻击方式有如下几类:z仿冒网关攻击z仿冒用户攻击(欺骗网关或者其他主机)z泛洪攻击1.仿冒网关攻击如图1所示,因为主机A仿冒网关向主机B发送了伪造的网关ARP报文,导致主机B的ARP表中记录了错误的网关地址映射关系,从而正常的数据不能被网关接收。ARP攻击防范技术白皮书杭州华三通信技术有限公司www.h3c.com.cn第4页,共17页AB正常数据通信被阻断IP地址MAC地址10.10.10.11-1-1IP地址MAC地址10.10.10.22-2-2主机B发送给网关的数据主机A发送的仿冒网关ARP报文IP地址MAC地址10.10.10.33-3-3网关的MAC为2-2-2IP地址MAC地址10.10.10.12-2-2TypeDynamicIP地址MAC地址10.10.10.11-1-1TypeDynamicARP表项更新为图1仿冒网关攻击示意图仿冒网关攻击是一种比较常见的攻击方式,如果攻击源发送的是广播ARP报文,或者根据其自身所掌握的局域网内主机的信息依次地发送攻击报文,就可能会导致整个局域网通信的中断,是ARP攻击中影响较为严重的一种。2.仿冒用户攻击(1)欺骗网关如图2所示,主机A仿冒主机B向网关发送了伪造的ARP报文,导致网关的ARP表中记录了错误的主机B地址映射关系,从而正常的数据报文不能正确地被主机B接收。ARP攻击防范技术白皮书杭州华三通信技术有限公司www.h3c.com.cn第5页,共17页图2欺骗网关攻击示意图(2)欺骗其他用户如图3所示,主机A仿冒主机B向主机C发送了伪造的ARP报文,导致主机C的ARP表中记录了错误的主机B地址映射关系,从而正常的数据报文不能正确地被主机B接收。ARP攻击防范技术白皮书杭州华三通信技术有限公司www.h3c.com.cn第6页,共17页BMAC5-5-5图3欺骗其他用户攻击示意图3.ARP泛洪攻击网络设备在处理ARP报文时需要占用系统资源,同时因为系统内存和查找ARP表效率的要求,一般网络设备会限制ARP表的大小。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使设备ARP表溢出,合法用户的ARP报文不能生成有效的ARP表项,导致正常通信中断。另外,通过向设备发送大量目标IP地址不能解析的IP报文,使设备反复地对目标IP地址进行解析,导致CPU负荷过重,也是泛洪攻击的一种。1.1.3ARP攻击的危害ARP攻击是一种非常恶劣的网络攻击行为:z会造成网络不稳定,引发用户无法上网或者企业断网导致重大生产事故。z利用ARP攻击可进一步实施攻击,非法获取游戏、网银、文件服务等系统的帐号和口令,使被攻击者造成利益上的重大损失。ARP攻击防范技术白皮书杭州华三通信技术有限公司www.h3c.com.cn第7页,共17页1.2H3C解决方案针对上述网络中常见的ARP攻击行为,H3C提出了较为完整的解决方案,可以彻底解决客户网络受到ARP攻击的问题。图4网络设备角色示意简图如图4所示,ARP攻击防范技术的思路是以设备角色为