12121407徐龍偉-arp協(xié)議安全防護(hù)

1、計(jì)算機(jī)網(wǎng)絡(luò)研討第八周,組員： 12121408 朱 偉 12121447 蔣 濤 12121407 徐龍偉,研討題目,ARP協(xié)議原理安全及防護(hù),地址解析協(xié)議，即ARP（Address Resolution Protocol）是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機(jī)發(fā)送信息時(shí)將包含目標(biāo)IP地址的ARP請求廣播到網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，以此確定目標(biāo)的物理地址；收

2、到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時(shí)間，下次請求時(shí)直接查詢ARP緩存以節(jié)約資源。地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個主機(jī)互相信任的基礎(chǔ)上的，網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARP應(yīng)答消息，其他主機(jī)收到應(yīng)答報(bào)文時(shí)不會檢測該報(bào)文的真實(shí)性就會將其記入本機(jī)ARP緩存；由此攻擊者就可以向某一主機(jī)發(fā)送偽ARP應(yīng)答報(bào)文，使其發(fā)送的信息無法到達(dá)預(yù)期的主機(jī)或到達(dá)錯誤的主機(jī)，這就構(gòu)成了一個ARP欺騙。ARP命令可用于查詢本機(jī)ARP緩存中IP

3、地址和MAC地址的對應(yīng)關(guān)系、添加或刪除靜態(tài)對應(yīng)關(guān)系等。相關(guān)協(xié)議有RARP、代理ARP。NDP用于在IPv6中代替地址解析協(xié)議。,一、ARP協(xié)議工作原理,主機(jī)A的IP地址為192.168.1.1，MAC地址為0A-11-22-33-44-01；主機(jī)B的IP地址為192.168.1.2，MAC地址為0A-11-22-33-44-02；當(dāng)主機(jī)A要與主機(jī)B通信時(shí)，地址解析協(xié)議可以將主機(jī)B的IP地址（192.168.1.2）解析成主機(jī)B

4、的MAC地址，以下為工作流程。,第1步：根據(jù)主機(jī)A上的路由表內(nèi)容，IP確定用于訪問主機(jī)B的轉(zhuǎn)發(fā)IP地址是192.168.1.2。然后A主機(jī)在自己的本地ARP緩存中檢查主機(jī)B的匹配MAC地址。第2步：如果主機(jī)A在ARP緩存中沒有找到映射，它將詢問192.168.1.2的硬件地址，從而將ARP請求幀廣播到本地網(wǎng)絡(luò)上的所有主機(jī)。源主機(jī)A的IP地址和MAC地址都包括在ARP請求中。本地網(wǎng)絡(luò)上的每臺主機(jī)都接收到ARP請求并且檢查是否與自己的IP

5、地址匹配。如果主機(jī)發(fā)現(xiàn)請求的IP地址與自己的IP地址不匹配，它將丟棄ARP請求。第3步：主機(jī)B確定ARP請求中的IP地址與自己的IP地址匹配，則將主機(jī)A的IP地址和MAC地址映射添加到本地ARP緩存中。第4步：主機(jī)B將包含其MAC地址的ARP回復(fù)消息直接發(fā)送回主機(jī)A。第5步：當(dāng)主機(jī)A收到從主機(jī)B發(fā)來的ARP回復(fù)消息時(shí)，會用主機(jī)B的IP和MAC地址映射更新ARP緩存。本機(jī)緩存是有生存期的，生存期結(jié)束后，將再次重復(fù)上面的過程。主機(jī)B的

6、MAC地址一旦確定，主機(jī)A就能向主機(jī)B發(fā)送IP通信了。,工作要素——ARP緩存,ARP緩存是個用來儲存IP地址和MAC地址的緩沖區(qū)，其本質(zhì)就是一個IP地址-->MAC地址的對應(yīng)表，表中每一個條目分別記錄了網(wǎng)絡(luò)上其他主機(jī)的IP地址和對應(yīng)的MAC地址。每一個以太網(wǎng)或令牌環(huán)網(wǎng)絡(luò)適配器都有自己單獨(dú)的表。當(dāng)?shù)刂方馕鰠f(xié)議被詢問一個已知IP地址節(jié)點(diǎn)的MAC地址時(shí)，先在ARP緩存中查看，若存在，就直接返回與之對應(yīng)的MAC地址，若不存在，才發(fā)送AR

7、P請求向局域網(wǎng)查詢。,為使廣播量最小，ARP維護(hù)IP地址到MAC地址映射的緩存以便將來使用。ARP緩存可以包含動態(tài)和靜態(tài)項(xiàng)目。動態(tài)項(xiàng)目隨時(shí)間推移自動添加和刪除。每個動態(tài)ARP緩存項(xiàng)的潛在生命周期是10分鐘。新加到緩存中的項(xiàng)目帶有時(shí)間戳，如果某個項(xiàng)目添加后2分鐘內(nèi)沒有再使用，則此項(xiàng)目過期并從ARP緩存中刪除；如果某個項(xiàng)目已在使用，則又收到2分鐘的生命周期；如果某個項(xiàng)目始終在使用，則會另外收到2分鐘的生命周期，一直到10分鐘的最長生命周期。

8、靜態(tài)項(xiàng)目一直保留在緩存中，直到重新啟動計(jì)算機(jī)為止。,ARP工作媒介——報(bào)文,硬件類型：指明了發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為1；協(xié)議類型：指明了發(fā)送方提供的高層協(xié)議類型，IP為0800（16進(jìn)制）；硬件地址長度和協(xié)議長度：指明了硬件地址和高層協(xié)議地址的長度，這樣ARP報(bào)文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用；操作類型：用來表示這個報(bào)文的類型，ARP請求為1，ARP響應(yīng)為2，RARP請求為3，RARP響應(yīng)為4；發(fā)送方硬件

9、地址（0-3字節(jié)）：源主機(jī)硬件地址的前3個字節(jié)；發(fā)送方硬件地址（4-5字節(jié)）：源主機(jī)硬件地址的后3個字節(jié)；發(fā)送方IP地址（0-1字節(jié)）：源主機(jī)硬件地址的前2個字節(jié)；發(fā)送方IP地址（2-3字節(jié)）：源主機(jī)硬件地址的后2個字節(jié)；目標(biāo)硬件地址（0-1字節(jié)）：目的主機(jī)硬件地址的前2個字節(jié)；目標(biāo)硬件地址（2-5字節(jié)）：目的主機(jī)硬件地址的后4個字節(jié)；目標(biāo)IP地址（0-3字節(jié)）：目的主機(jī)的IP地址。[3],二、ARP欺騙,地址解析協(xié)議是建立

10、在網(wǎng)絡(luò)中各個主機(jī)互相信任的基礎(chǔ)上的，它的誕生使得網(wǎng)絡(luò)能夠更加高效的運(yùn)行，但其本身也存在缺陷：ARP地址轉(zhuǎn)換表是依賴于計(jì)算機(jī)中高速緩沖存儲器動態(tài)更新的，而高速緩沖存儲器的更新是受到更新周期的限制的，只保存最近使用的地址的映射關(guān)系表項(xiàng)，這使得攻擊者有了可乘之機(jī)，可以在高速緩沖存儲器更新表項(xiàng)之前修改地址轉(zhuǎn)換表，實(shí)現(xiàn)攻擊。ARP請求為廣播形式發(fā)送的，網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARP應(yīng)答消息，并且當(dāng)其他主機(jī)收到應(yīng)答報(bào)文時(shí)不會檢測該報(bào)文的真實(shí)性就將

11、其記錄在本地的MAC地址轉(zhuǎn)換表，這樣攻擊者就可以向目標(biāo)主機(jī)發(fā)送偽ARP應(yīng)答報(bào)文，從而篡改本地的MAC地址表。[5] ARP欺騙可以導(dǎo)致目標(biāo)計(jì)算機(jī)與網(wǎng)關(guān)通信失敗，更會導(dǎo)致通信重定向，所有的數(shù)據(jù)都會通過攻擊者的機(jī)器，因此存在極大的安全隱患。,常見ARP欺騙形式,1、假冒ARP reply包（單播）XXX，I have IP YYY and my MAC is ZZZ！2、假冒ARP reply包（廣播）Hello ever

12、yone！ I have IP YYY and my MAC is ZZZ！向所有人散布虛假的IP/MAC3、假冒ARP request（廣播）I have IP XXX and my MAC is YYY.Who has IP ZZZ？ tell me please！表面為找IP ZZZ的MAC，實(shí)際是廣播虛假的IP、MAC映射（XXX，YYY）,,4、假冒ARP request（單播）已知IP ZZZ的MACHel

13、lo IP ZZZ！ I have IP XXX and my MAC is YYY.5、假冒中間人欺騙主機(jī)（MAC為MMM）上啟用包轉(zhuǎn)發(fā)向主機(jī)AAA發(fā)假冒ARP Reply：AAA，I have IP BBB and my MAC is MMM，向主機(jī)BBB發(fā)假冒ARP Reply：BBB，I have IP AAA and my MAC is MMM由于ARP Cache的老化機(jī)制，有時(shí)還需要做周期性連續(xù)欺騙。,三

14、、ARP欺騙的防范,不要把網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上（RARP同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。設(shè)置靜態(tài)的MAC-->IP對應(yīng)表，不要讓主機(jī)刷新設(shè)定好的轉(zhuǎn)換表。除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應(yīng)表中。使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播。確保這臺ARP服務(wù)器不被黑。使用“proxy”代理IP的傳輸。,,使

15、用硬件屏蔽主機(jī)。設(shè)置好路由，確保IP地址能到達(dá)合法的路徑（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。管理員定期用響應(yīng)的IP包中獲得一個RARP請求，然后檢查ARP響應(yīng)的真實(shí)性。管理員定期輪詢，檢查主機(jī)上的ARP緩存。使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。若感染ARP病毒，可以通過清空ARP緩存、指定ARP對應(yīng)關(guān)系、添加路由信息、使用防病毒軟件等方式解決

16、。,,1、運(yùn)營商可采用Super VLAN或PVLAN技術(shù)所謂Super VLAN也叫VLAN聚合，這種技術(shù)在同一個子網(wǎng)中化出多個Sub VLAN，而將整個IP子網(wǎng)指定為一個VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默認(rèn)網(wǎng)關(guān)IP地址，不同的Sub VLAN仍保留各自獨(dú)立的廣播域。子網(wǎng)中的所有主機(jī)只能與自己的默認(rèn)網(wǎng)關(guān)通信。如果將交換機(jī)或IP DSLAM設(shè)備的每個端口化為一個Sub VLAN

17、，則實(shí)現(xiàn)了所有端口的隔離，也就避免了ARP欺騙。PVLAN即私有VLAN（Private VLAN） ，PVLAN采用兩層VLAN隔離技術(shù)，只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機(jī)或IP DSLAM設(shè)備的每個端口化為一個（下層）VLAN，則實(shí)現(xiàn)了所有端口的隔離。PVLAN和SuperVLAN技術(shù)都可以實(shí)現(xiàn)端口隔離，但實(shí)現(xiàn)方式、出發(fā)點(diǎn)不同。PVLAN是為了節(jié)省VLAN，而SuperVlan的初衷是節(jié)省IP地址。

18、,2、單位局域網(wǎng)可采用IP與MAC綁定在PC上IP+MAC綁，網(wǎng)絡(luò)設(shè)備上IP+MAC+端口綁。但不幸的是Win 98/me、未打arp補(bǔ)丁的win 2000/xp sp1（現(xiàn)在大多都已經(jīng)打過了）等系統(tǒng) 使用arp -s所設(shè)置的靜態(tài)ARP項(xiàng)還是會被ARP欺騙所改變。如果網(wǎng)絡(luò)設(shè)備上只做IP+MAC綁定，其實(shí)也是不安全的，假如同一二層下的某臺機(jī)器發(fā)偽造的arp reply（源ip和源mac都填欲攻擊的那臺機(jī)子的）給網(wǎng)關(guān)，還是會造成網(wǎng)關(guān)

19、把流量送到欺騙者所連的那個（物理）端口從而造成網(wǎng)絡(luò)不通。對于采用了大量傻瓜交換機(jī)的局域網(wǎng)，用戶自己可以采取支持arp過濾的防火墻等方法。推薦Look ‘n’Stop防火墻，支持arp協(xié)議規(guī)則自定義。最后就是使用ARPGuard啦（才拉到正題上），但它只是保護(hù)主機(jī)和網(wǎng)關(guān)間的通訊。,四、ARPGuard的原理,1、第一次運(yùn)行（或檢測到網(wǎng)關(guān)IP改變）時(shí)獲取網(wǎng)關(guān)對應(yīng)的MAC地址，將網(wǎng)卡信息、網(wǎng)關(guān)IP、網(wǎng)關(guān)MAC等信息保存到配置文件中，其

20、他時(shí)候直接使用配置文件。2、移去原默認(rèn)路由（當(dāng)前網(wǎng)卡的）3、產(chǎn)生一個隨機(jī)IP，將它添加成默認(rèn)網(wǎng)關(guān)。4、默認(rèn)網(wǎng)關(guān)IP 和網(wǎng)關(guān)的MAC綁定（使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項(xiàng)）5、周期性檢測ARP Cache中原默認(rèn)網(wǎng)關(guān)（不是隨機(jī)IP那個） 網(wǎng)關(guān)的MAC在ARP Cache的值是否被改寫，若被改寫就報(bào)警。,,6、針對有些攻擊程序只給網(wǎng)關(guān)設(shè)備（如路由器或三層交換機(jī)）