arp欺騙原理和防護(hù)辦法

一、ARP協(xié)議簡介ARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，同時(shí)對(duì)上層〔網(wǎng)絡(luò)層〕提供效勞。IP數(shù)據(jù)包在局域網(wǎng)中傳輸，網(wǎng)絡(luò)設(shè)備并不識(shí)別32位IP地址，它們是以48位以太網(wǎng)地址傳輸數(shù)據(jù)包，這個(gè)以太網(wǎng)地址就是通俗說的網(wǎng)卡地址或者M(jìn)AC地址。因此，必須把IP目的地址轉(zhuǎn)換成MAC目的地址。在局域網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)展直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。它就是通過ARP協(xié)議〔地址解析協(xié)議〕獲得的。ARP的數(shù)據(jù)包構(gòu)造ARP的數(shù)據(jù)構(gòu)造如下圖：硬件類型〔Hardwaretype〕協(xié)議類型〔Protocoltype〕硬件地址長度〔Hlen〕協(xié)議長度〔Plen〕操作類型〔operation〕發(fā)送方硬件地址〔Senderhardwareaddress〕發(fā)送方協(xié)議地址〔Senderprotocoladdress〕目標(biāo)硬件地址〔Targethardwareaddress〕目標(biāo)協(xié)議地址〔Targetprotocoladdress〕具體的描述如下：硬件類型字段：指明了發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為1；協(xié)議類型字段：指明了發(fā)送方提供的高層協(xié)議類型，IP為0800〔16進(jìn)制〕；硬件地址長度和協(xié)議長度：指明了硬件地址和高層協(xié)議地址的長度；操作字段：用來表示這個(gè)報(bào)文的類型，ARP請(qǐng)求為1，ARP響應(yīng)為2；發(fā)送方的硬件地址：源主機(jī)硬件地址；發(fā)送方協(xié)議地址：源主機(jī)IP地址；目的硬件地址：目的主機(jī)硬件地址；目的協(xié)議地址：目的主機(jī)的IP地址。1.2ARP的工作原理ARP協(xié)議的目的：在同一個(gè)網(wǎng)段當(dāng)中，解釋目標(biāo)主機(jī)的MAC地址，并為下一步的與目標(biāo)IP地址通信做好準(zhǔn)備。階段A:由于計(jì)算機(jī)A不知道計(jì)算機(jī)B的MAC地址，它會(huì)發(fā)送一個(gè)ARP請(qǐng)求(request)的播送包，要求解釋計(jì)算機(jī)B的MAC地址。同時(shí)它含包含著計(jì)算機(jī)A的IP地址和MAC地址。對(duì)ARP請(qǐng)求包進(jìn)展抓包操作，正常的ARP請(qǐng)求包格式如下：階段B:計(jì)算機(jī)B接到該播送包后，取出A的IP地址和MAC地址,將其添加到本計(jì)算機(jī)的高速緩存的地址映射表〔IP-MAC地址對(duì)照表〕中。同時(shí)返回單播ARP響應(yīng)〔reply〕響應(yīng)包中包含B的IP地址和MAC地址。同時(shí)，由于計(jì)算機(jī)A發(fā)送到是播送，L3交換機(jī)也會(huì)收到計(jì)算機(jī)A播送，同時(shí)他也把A的IP地址和MAC地址添加到IP-MAC〔IPARP〕對(duì)照表當(dāng)中。對(duì)ARP響應(yīng)包進(jìn)展抓包操作，正常的ARP響應(yīng)包格式如下：階段C:計(jì)算機(jī)A收到計(jì)算機(jī)B的單播響應(yīng),取出B的IP地址和硬件地址,將其添加到高速緩存的地址映射表中。到此為止，計(jì)算機(jī)A和計(jì)算機(jī)B就可以正常進(jìn)展數(shù)據(jù)傳送。計(jì)算機(jī)A同其他的計(jì)算機(jī)通信都是按照上述的原則進(jìn)展。同理，當(dāng)計(jì)算機(jī)要進(jìn)展跨網(wǎng)段通信時(shí)候，首先也要解析網(wǎng)關(guān)〔L3switch〕的MAC地址，然后由網(wǎng)關(guān)代為轉(zhuǎn)發(fā)。二、ARP欺騙的方式和原理要保證網(wǎng)絡(luò)通信的正常，每個(gè)主機(jī)高速緩存的地址映射表和交換機(jī)的IPARP地址對(duì)照表都是準(zhǔn)確無誤的。任何一臺(tái)主機(jī)或交換機(jī)的對(duì)照表不正常都會(huì)或多或少地影響網(wǎng)絡(luò)通信，嚴(yán)重的時(shí)候，特別是整個(gè)網(wǎng)關(guān)的MAC學(xué)習(xí)不正常的時(shí)候會(huì)導(dǎo)致這個(gè)網(wǎng)段的主機(jī)無法進(jìn)展跨網(wǎng)段通信。ARP的欺騙是多種多樣的，一般按發(fā)送包的形式來說可以分成兩種：2.1無理(Gratuitous)ARP欺騙無理的ARP請(qǐng)求包，在包的封裝要包含以下特征，才算是無理ARP請(qǐng)求包，并會(huì)觸發(fā)網(wǎng)絡(luò)設(shè)備的相應(yīng)操作。ARP包里面的目標(biāo)MAC地址為播送地址，即目標(biāo)硬件地址=FF:FF:FF:FF:FF:FF；ARP包里面的源MAC地址為主機(jī)地址，即發(fā)送方協(xié)議地址=主機(jī)MAC地址；發(fā)送方協(xié)議地址=目標(biāo)協(xié)議地址=要解析的IP地址。在正常的網(wǎng)絡(luò)當(dāng)中，無理ARP請(qǐng)求包用于以下網(wǎng)絡(luò)功能的：1．檢查有沒有重復(fù)的IP地址：當(dāng)網(wǎng)絡(luò)設(shè)備在分配了IP地址的時(shí)候，首先會(huì)發(fā)送一個(gè)無理ARP請(qǐng)求，詢問有沒有其他主機(jī)在使用這個(gè)IP。如果網(wǎng)絡(luò)中有網(wǎng)絡(luò)設(shè)備使用了這個(gè)IP，則它就會(huì)發(fā)送一個(gè)ARP響應(yīng)包給新分配IP的網(wǎng)絡(luò)設(shè)備，告訴這個(gè)IP已經(jīng)被使用，這個(gè)時(shí)候Windows操作系統(tǒng)會(huì)做出一個(gè)IP地址沖突的告警。如果在規(guī)定的時(shí)候沒有收到任何ARP答復(fù)，則本網(wǎng)絡(luò)設(shè)備認(rèn)為這個(gè)IP沒有地址重復(fù)，是可以使用的。2．通知網(wǎng)絡(luò)中的其他網(wǎng)絡(luò)設(shè)備更新IPARP地址表〔IP-MAC地址對(duì)照表〕：上文已經(jīng)提到，當(dāng)網(wǎng)絡(luò)設(shè)備在分配了一個(gè)IP地址的時(shí)候，首先會(huì)發(fā)送一個(gè)無理ARP請(qǐng)求，這個(gè)請(qǐng)求包會(huì)包含這個(gè)網(wǎng)絡(luò)設(shè)備的IP和MAC信息，任何收到此播送的網(wǎng)絡(luò)設(shè)備將無條件地更新IPARP地址表。3．受到無理ARP請(qǐng)求包的交換機(jī)都立刻更新MAC和端口的對(duì)照表以下面為例子，計(jì)算機(jī)A發(fā)送了錯(cuò)誤的無理ARP請(qǐng)求包，對(duì)整個(gè)網(wǎng)絡(luò)的影響?！?〕在運(yùn)行正常的網(wǎng)絡(luò)中，計(jì)算機(jī)A，計(jì)算機(jī)B，計(jì)算機(jī)C都學(xué)到了正確的網(wǎng)關(guān)的MAC地址，跨網(wǎng)段通信一切正常?！?〕計(jì)算機(jī)A發(fā)送了一個(gè)錯(cuò)誤的無理ARP請(qǐng)求包，向整個(gè)網(wǎng)絡(luò)宣告網(wǎng)關(guān)192.168.1.254的MAC地址為AA:AA:AA:AA:AA:AA。此時(shí)無理ARP請(qǐng)求包的格式為：目標(biāo)硬件地址=FF:FF:FF:FF:FF:FF；發(fā)送方協(xié)議地址=主機(jī)MAC地址=AA:AA:AA:AA:AA:AA；發(fā)送方協(xié)議地址=目標(biāo)協(xié)議地址=192.168.1.254?！?〕網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)錯(cuò)誤無理ARP請(qǐng)求后，都會(huì)刷新本機(jī)的高速緩存的地址映射表〔IP-MAC地址對(duì)照表〕，本網(wǎng)段所有主機(jī)都學(xué)習(xí)到了錯(cuò)誤網(wǎng)關(guān)的MAC地址。主機(jī)訪問其他網(wǎng)段均不正常。普通的ARP請(qǐng)求包和ARP響應(yīng)包欺騙當(dāng)主機(jī)向本網(wǎng)絡(luò)發(fā)送ARP請(qǐng)求或響應(yīng)包時(shí)，里面會(huì)包含源主機(jī)的IP和MAC地址。收到這個(gè)ARP請(qǐng)求包或響應(yīng)包的任何網(wǎng)絡(luò)設(shè)備都會(huì)更新本機(jī)的高速緩存的地址映射表。當(dāng)主機(jī)向本網(wǎng)絡(luò)發(fā)送ARP請(qǐng)求或響應(yīng)，目的地址是播送地址時(shí)，網(wǎng)絡(luò)中的所有主機(jī)和網(wǎng)絡(luò)設(shè)備都會(huì)收到這個(gè)ARP請(qǐng)求或響應(yīng)包，其高速緩存的地址映射表立刻更新，網(wǎng)絡(luò)中的所有主機(jī)和網(wǎng)絡(luò)設(shè)備都會(huì)學(xué)習(xí)到了錯(cuò)誤的MAC地址，影響正常的網(wǎng)絡(luò)運(yùn)行。當(dāng)然，當(dāng)主機(jī)向本網(wǎng)絡(luò)發(fā)送ARP請(qǐng)求或響應(yīng)包時(shí)，目標(biāo)地址恰恰是單播地址時(shí)，則受到影響的只是這個(gè)單播地址的主機(jī)或網(wǎng)絡(luò)設(shè)備?！?〕在正常的網(wǎng)絡(luò)情況中，交換機(jī)和計(jì)算機(jī)C，計(jì)算機(jī)D都學(xué)習(xí)到了正確的計(jì)算機(jī)B的MAC地址?！?〕計(jì)算機(jī)A發(fā)送了錯(cuò)誤的ARP請(qǐng)求或ARP響應(yīng)，包包含發(fā)送方硬件地址為AA:AA:AA:AA:AA:AA，發(fā)送方協(xié)議地址為192.168.1.2。包的目標(biāo)地址是播送地址，本網(wǎng)段所有網(wǎng)絡(luò)設(shè)備或主機(jī)收到了這個(gè)播送?！?〕網(wǎng)絡(luò)設(shè)備都立刻更新其高速緩存的地址映射表，則網(wǎng)絡(luò)里面的主時(shí)機(jī)發(fā)現(xiàn)與計(jì)算機(jī)的通信不正常。同時(shí)，網(wǎng)關(guān)也學(xué)習(xí)到了交換機(jī)A錯(cuò)誤的MAC地址，計(jì)算機(jī)A的跨網(wǎng)段和同網(wǎng)段的通信均不正常。上面描述的是ARP的目標(biāo)地址是播送的情況。當(dāng)然，ARP也可能為單播的形式，則受到影響只是目標(biāo)地址的這些主機(jī)或網(wǎng)絡(luò)設(shè)備。三、E*TREME交換機(jī)防護(hù)ARP欺騙的方法E*TREME的交換機(jī)具有全方面的防護(hù)ARP欺騙的機(jī)制，保證主機(jī)或網(wǎng)絡(luò)設(shè)備學(xué)習(xí)不到錯(cuò)誤的MAC地址。3.1防無理(Gratuitous)ARP欺騙。無理(Gratuitous)ARP欺騙有著明顯的特征，ARP的目標(biāo)地址一定為播送地址，本網(wǎng)絡(luò)中的任何網(wǎng)絡(luò)設(shè)備都可以承受到。這種ARP欺騙危害很大，也較為常見。。E*treme的任何交換機(jī)都可以做到防止本網(wǎng)絡(luò)的網(wǎng)關(guān)不會(huì)被欺騙，最大限度的保證本網(wǎng)絡(luò)的跨網(wǎng)段工作正常。當(dāng)無理(Gratuitous)ARP請(qǐng)求包到達(dá)本網(wǎng)絡(luò)網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)要求為e*treme的交換機(jī)，交換時(shí)機(jī)對(duì)無理(Gratuitous)ARP請(qǐng)求包進(jìn)展檢查，對(duì)ARP請(qǐng)求包的IP和MAC地址項(xiàng)進(jìn)展核對(duì)。一旦發(fā)現(xiàn)ARP請(qǐng)求包里面包含不正確的關(guān)于本交換機(jī)的IP-MAC對(duì)照條目時(shí)，會(huì)對(duì)此包進(jìn)展拋棄，并對(duì)整個(gè)網(wǎng)絡(luò)發(fā)送一個(gè)正確的無理(Gratuitous)ARP請(qǐng)求包，糾正整個(gè)網(wǎng)絡(luò)的設(shè)備中網(wǎng)關(guān)地址的IP-MAC對(duì)照表?！?〕計(jì)算機(jī)A發(fā)送了一個(gè)惡意的無理(Gratuitous)ARP請(qǐng)求包，企圖竄改本網(wǎng)絡(luò)所有網(wǎng)絡(luò)設(shè)備的IP-MAC對(duì)照表中網(wǎng)關(guān)192.168.1.254正確的MAC地址對(duì)照條目。〔2〕交換機(jī)收到這個(gè)錯(cuò)誤的無理(Gratuitous)ARP請(qǐng)求包，對(duì)這個(gè)包進(jìn)展丟棄，并對(duì)整個(gè)本網(wǎng)絡(luò)發(fā)送一個(gè)正確的無理(Gratuitous)ARP請(qǐng)求包，糾正已經(jīng)錯(cuò)誤的網(wǎng)絡(luò)設(shè)備?！?〕糾正成功，所有主機(jī)或網(wǎng)絡(luò)設(shè)備都重新學(xué)習(xí)到了正確的條目。在E*TREME中的配置命令為：enableip-securityarpgratuitous-protection{vlan}[all|<vlan_name>]3.2防ARP請(qǐng)求包和ARP響應(yīng)包欺騙ARP請(qǐng)求和ARP響應(yīng)的欺騙包種類繁多，封裝的不合法的容也多種多樣。但是，任何的ARP請(qǐng)求和ARP響應(yīng)欺騙包都有一個(gè)特點(diǎn)，就是封裝在包里面硬件地址〔Senderhardwareaddress〕和發(fā)送方協(xié)議地址〔Senderprotocoladdress〕不是正確的對(duì)應(yīng)關(guān)系。承受方一旦收到這個(gè)錯(cuò)誤的ARP包，就會(huì)更新到錯(cuò)誤的IP-MAC對(duì)照表。在當(dāng)前復(fù)雜的局域網(wǎng)環(huán)境中，不合法的ARP請(qǐng)求包和ARP響應(yīng)包已經(jīng)很常見，通過傳統(tǒng)簡單的ARP的學(xué)習(xí)已經(jīng)不能保證交換機(jī)能學(xué)習(xí)到正確IP-MAC的對(duì)應(yīng)關(guān)系。E*treme的交換機(jī)可以通過DHCP偵測(cè)〔snooping〕的方式來學(xué)習(xí)正確的IP-MAC的對(duì)應(yīng)關(guān)系，E*TREME稱之為DHCP綁定數(shù)據(jù)庫〔DHCPbindingsdatabase〕。這個(gè)DHCP綁定數(shù)據(jù)庫是判斷ARP請(qǐng)求包和ARP響應(yīng)包是否正確的標(biāo)準(zhǔn)。主機(jī)在從DHCP效勞器當(dāng)中獲取IP地址的過程當(dāng)中，里面的數(shù)據(jù)包包含有源主機(jī)的IP和MAC地址的信息。在交換機(jī)開啟DHCP偵測(cè)功能就能從主機(jī)獲取IP地址的環(huán)節(jié)中學(xué)習(xí)到正確的IP-MAC的對(duì)應(yīng)關(guān)系，填入到DHCP綁定數(shù)據(jù)庫中。同時(shí)DHCP偵測(cè)還可以防止未授權(quán)的DHCP效勞器連接到網(wǎng)絡(luò)。在交換機(jī)當(dāng)中開啟DHCP偵測(cè)功能：enableip-securitydhcp-snooping{vlan}<vlan_name>ports[all|<ports>]violation-action[drop-packet{[block-mac|block-port][duration<duration_in_seconds>|permanently]|none]}]{snmp-trap}同時(shí)必須正確地配置DHCP效勞器IP或端口：configuretrusted-servers{vlan}<vlan_name>addserver<ip_address>trustfordhcp-server或者configuretrusted-ports[<ports>|all]trust-fordhcp-server在3層的交換機(jī)當(dāng)中，e*treme的交換機(jī)可以關(guān)閉傳統(tǒng)的ARP地址學(xué)習(xí)，該為通過DHCP偵測(cè)的方式來學(xué)習(xí)IPARP表。disableip-securityarplearninglearn-from-arp{vlan}<vlan_name>ports[all|<ports>]Enableip-securityarplearninglearn-from-dhcp{vlan}<vlan_name>ports[all|<ports>]〔1〕正常的情況下，通過DHCP自動(dòng)獲取IP的計(jì)算機(jī)在e*treme的2層或者3層的交換機(jī)中的DHCP綁定數(shù)據(jù)庫會(huì)留下響應(yīng)的正確的紀(jì)錄?！?〕當(dāng)網(wǎng)絡(luò)中有主機(jī)發(fā)送錯(cuò)誤的ARP請(qǐng)求包和ARP響應(yīng)的欺騙包的時(shí)候，E*TREME的交換機(jī)可以開啟ARP校驗(yàn)〔validation〕功能。數(shù)據(jù)包到達(dá)交換機(jī)，交換時(shí)機(jī)對(duì)ARP請(qǐng)求包和ARP響應(yīng)包里面的IP和MAC地址的和交換機(jī)本機(jī)的DHCP綁定數(shù)據(jù)庫紀(jì)錄核對(duì)，一旦發(fā)現(xiàn)有不合法或者不匹配，就做拋棄處理。不合法的數(shù)據(jù)包也不會(huì)經(jīng)過交換機(jī)，也不會(huì)轉(zhuǎn)發(fā)到其他的網(wǎng)絡(luò)設(shè)備或主機(jī)中。這樣，網(wǎng)絡(luò)中的其他主機(jī)或設(shè)備也只能收到正確的ARP請(qǐng)求包和ARP響應(yīng)包，保證本網(wǎng)絡(luò)中的所有主機(jī)或網(wǎng)絡(luò)設(shè)備的高速緩存的地址映射表準(zhǔn)確無誤。開啟ARP校驗(yàn)功能的命令為：enableip-securityarpvalidation{destination-mac}{source-mac}{ip}{vlan}<vlan_name>[all|<ports>]violation-action[drop-packet{[blockport][duration<duration_in_seconds>|permanently]}]{snmp-trap}E*TREME中的ARP校驗(yàn)功能可以檢測(cè)多種類型不合法的ARP數(shù)據(jù)包，根據(jù)當(dāng)前網(wǎng)絡(luò)的實(shí)際情況靈活采用。Arp的校驗(yàn)參數(shù)有destination-mac，source-mac，ip，DHCP四個(gè)，其中DHCP參數(shù)是無法調(diào)整，ARP校驗(yàn)功能一旦開啟，這個(gè)參數(shù)就一定要啟用。符合以下條件的ARP數(shù)據(jù)包會(huì)被E*TREME交換機(jī)丟棄：ARP校驗(yàn)參數(shù)檢查Arp請(qǐng)求包檢查Arp響應(yīng)包DHCP發(fā)送方協(xié)議地址不在DHCP綁定數(shù)據(jù)庫中或；發(fā)送方硬件地址和發(fā)送方協(xié)議地址對(duì)應(yīng)關(guān)系與DHCP綁定數(shù)據(jù)庫中的紀(jì)錄的不匹配。Ip發(fā)送方協(xié)議地址是組播地址或；目標(biāo)協(xié)議地址是組播地址或；發(fā)送方硬件地址和發(fā)送方協(xié)議地址對(duì)應(yīng)關(guān)系與DHCP綁定數(shù)據(jù)庫中的紀(jì)錄的不匹配。發(fā)送方協(xié)議地址是組播地址或；目標(biāo)協(xié)議地址是組播地址Source-mac中的源MAC地址與發(fā)送方硬件地址不匹配Destination-mac中的目標(biāo)MAC地址與目標(biāo)硬件地址不匹配下面是一個(gè)配置實(shí)例：左邊的交換機(jī)是2層交換機(jī)，是工廠缺省配置；右邊的交換機(jī)是3層交換機(jī)，主要配置如下：Createvlanv1Createvlanv2Confvlanv1addport1-2Confvlanv2addport25CCEnableipforwardingCEnablebootprelayCARP防護(hù)的配置如下：在L3的交換機(jī)上開啟防止無理ARP欺騙；enableip-securityarpgratuitous-protectionall在L2和L3的交換機(jī)中同時(shí)開啟ARP校驗(yàn)，防止非法的ARP包進(jìn)入交換機(jī)；L2交換機(jī)中配置：開啟DHCP偵測(cè)：enableip-securitydhcp-snoopingvlandefaultportsallviolation-actiondrop-packet；配置信任DHCP效勞器端口：configuretrusted-ports25trust