分布式防范ARP攻擊的解決方案探究

摘要近年來許多校園網絡都出現了ARP攻擊現象，后果嚴重甚至造成大面積網絡不能正常訪問，學校深受其害。筆者對該問題進行了系統研究，以期可以更好的防范和避免ARP攻擊帶來的危害。

關鍵詞網絡安全 ARP攻擊 分布式防范 網關

中圖分類號:TO393文獻標識碼:A

1 概述

1.1 ARP攻擊概述

近來，許多校園網絡都出現了ARP①攻擊現象，嚴重者甚至造成大面積網絡癱瘓，阻隔學校對外網的訪問，學校深受其害。針對此情況本文給出了有效的防ARP攻擊解決方案。要解決ARP攻擊問題，我們必須先了解ARP攻擊的類型、原理，做到對癥下藥，以便更好解決這一問題。

1.2 ARP攻擊的類型

目前ARP攻擊中有網關仿冒、欺騙網關、欺騙終端用戶三種類型。本文將作如下詳細分析:

1.2.1 網關仿冒

ARP病毒通過發送錯誤的網關MAC對應關系給其它受害者，導致其它終端用戶不能正常訪問網關。這種攻擊形式在校園網中非常常見。見下圖:

圖1網關仿冒攻擊示意圖

如上圖所示，攻擊者發送偽造的網關ARP報文，欺騙同網段內的其它主機。從而網絡中主機訪問網關的流量，被重定向到一個錯誤的MAC地址，導致該用戶無法正常訪問外網。

1.2.2欺騙網關

攻擊者發送錯誤的終端用戶的IP+MAC的對應關系給網關，導致網關無法和合法終端用戶正常通信。目前校園的攻擊方式大多是這種方式。見下圖:

圖2欺騙網關攻擊示意圖

如上圖，攻擊者偽造虛假的ARP報文，欺騙網關相同網段內的某一合法用戶的MAC地址已經更新。網關發給該用戶的所有數據全部重定向到一個錯誤的MAC地址，導致該用戶無法正常訪問外網。

1.2.3 欺騙終端用戶

這種攻擊類型，攻擊者發送錯誤的終端用戶/服務器的IP+MAC的對應關系給受害的終端用戶，導致同網段內兩個終端用戶之間正常通信中斷。這種攻擊在校園中也有出現，但是相比較而言，蓋然性較低。見下圖:

如上圖，攻擊者偽造虛假的ARP報文，欺騙網關相同網段內的某一合法用戶的MAC地址已經更新。網關發給這個用戶的所有數據被重定向到一個錯誤的MAC地址，導致該用戶外網訪問無法正常進行。

2解決方案介紹

2.1 認證模式

2.1.1總體思路

用戶在認證時，通過CAMS服務器下發網關的IP-MAC對應關系到INOD客戶端。INOD客戶端將該對應關系在主機上綁定。從而有效防止主機被虛假的網關ARP表項欺騙。如下圖:

圖4認證模式示意圖

2.1.2 防ARP攻擊處理機制及流程

(1)處理機制。iNode客戶端②，通過同CAMS③服務器配合，由管理員在CAMS上設置正確的網關IP、MAC對應列表，并傳送至客戶端，客戶端無論當前ARP緩存是何種狀態，均按照CAMS系統下發的IP、MAC列表更新本地的ARP緩存，并周期性更新，保證用戶主機網關MAC地址的正確性，從而保證用戶主機報文發往正確的設備。

(2)處理流程。iNode防止ARP攻擊方案，第一步是設置本地正確的ARP列表。本地ARP列表設置流程如下圖所示:

圖5iNode設置本地ARP流程

iNode客戶端在發起1x認證后，CAMS在認證成功報文中返回管理員預設置的ARP列表。用戶主機在獲取IP地址、獲取網關IP后，在CAMS下發的ARP列表中查詢是否有同本主機網關IP對應的ARP列表項，如果存在，則根據CAMS下發的信息更新本地ARP緩存，如果不存在，則向用戶發出告警信息，錯誤原因可能是管理員配置不當，也可能是用戶的DHCP請求沒有得到正確的DHCP Server回應，造成本地網關IP不在CAMS下發的ARP列表范圍內。為了防止用戶上線過程中網關ARP列表信息被篡改，iNode客戶端根據CAMS下發的正確信息周期性的更新本地ARP緩存。

2.2 DHCP 監控模式

2.2.1總體思路

接入交換機通過監控用戶的正常動態IP地址獲取過程，獲取正常用戶的IP-MAC對應關系在接入交換機上綁定。接入交換機過濾掉所有不匹配綁定關系的ARP報文，來防止接入的用戶主機進行ARP欺騙攻擊。如下圖:

為了對已經沒有用處的DHCP Snooping④動態表項的老化部分定期刪除，以優化系統，防范安全隱患。具體實現過程為:當DHCP Snooping至少記錄了一條正式表項時，交換機會啟動20秒的租約定時器，即每隔20秒輪詢一次DHCP Snooping表項，通過表項記錄的租約時間、系統當前時間與表項添加時間的差值來判斷該表項是否已經過期。若記錄的表項租約時間小于系統當前時間與表項添加時間的差值，則說明該表項已經過期，將刪除該條表項，從而實現DHCP Snooping動態表項的老化。

需要注意的是:DHCP Snooping表項的老化功能有一定的局限性，當DHCP服務器端的租約設置為無限期或者很長時，會出現老化不及時的現象。

2.2.2 ARP入侵檢測功能

(1)ARP入侵檢測功能工作機制。為了防止ARP中間人攻擊，接入交換機支持將收到的ARP(請求與回應)報文重定向到CPU，結合DHCP Snooping安全特性來判斷ARP報文的合法性并進行處理，具體如下。

當ARP報文中的源IP地址及源MAC地址的綁定關系與DHCP Snooping表項或者手工配置的IP靜態綁定表項匹配，且ARP報文的入端口及其所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態綁定表項一致，則為合法ARP報文，進行轉發處理。

當ARP報文中的源IP地址及源MAC地址的綁定關系與DHCP Snooping表項或者手工配置的IP靜態綁定表項不匹配，或ARP報文的入端口，入端口所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態綁定表項不一致，則為非法ARP報文，直接丟棄，并通過Debug打印出丟棄信息提示用戶。

圖8ARP入侵檢測功能示意圖

(2)手工配置IP靜態綁定表項。DHCP Snooping表只記錄了通過DHCP方式動態獲得客戶端的IP地址，如果用戶的IP地址背用戶更換，那么該用戶的IP地址等一些信息將不能被DHCP Snooping表記錄，因此不能通過基于DHCP Snooping表項的ARP入侵檢測，這就會是該用戶不能正常訪問外網。

為了可以使這些合法的用戶正常的訪問網絡，交換機可以支持手工配置IP靜態綁定表的表項。這樣可以使該用戶的報文順利得到處理。

(3)ARP信任端口設置。ARP信任端口設置由于實際組網中，交換機的上行口將自動接收信息和應答報文，這些ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooing表項或者靜態綁定表中。為了解決上行端口這種接收和應答可以順利通過ARP入侵檢測問題，交換機支持通過配置ARP信任端口，靈活控制ARP報文檢測功能，只檢測來源自其它端口的ARP報文，但是不檢測來自于信任端口的報文。

3總結

ARP防攻擊解決方案具有較強的適應性，符合校園網的設置，對ARP攻擊問題可以起到很好的預防和解決，應大力推廣，以促進該問題的盡快解決。

注釋

①ARP:地址解析協議.

②iNode客戶端:網絡終端設備上的軟件，用來發起認證請求.

③CAMS:AAA服務器(認證、授權、計費服務器).

④DHCP Snooping:DHCP監聽.

參考文獻

[1]王達.網管員必讀:網絡組建[M].北京:電子工業出版社，2007.

[2]鄧清華，陳松喬.ARP 欺騙攻擊及其防范[J].微機發展，2004.14(8).

[3]王佳，李志蜀.基于ARP 協議的攻擊原理分析[J].微電子學與計算機，2004.21(4).