徐龍偉-ARP協議安全防護課件

1、計算機網絡研討計算機網絡研討第八周組員：組員： 12121408 朱 偉 12121447 蔣 濤 12121407 徐龍偉徐龍偉-ARP協議安全防護研討題目徐龍偉-ARP協議安全防護 地址解析協議，即地址解析協議，即ARP（Address Resolution Protocol） 是根據IP地址獲取物理地址的一個TCP/IP協議。主機發(fā)送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節(jié)約資源。地址解析協議是建立在網絡中各個主機互相信任的基

2、礎上的，網絡上的主機可以自主發(fā)送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；由此攻擊者就可以向某一主機發(fā)送偽ARP應答報文，使其發(fā)送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。ARP命令可用于查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態(tài)對應關系等。相關協議有RARP、代理ARP。NDP用于在IPv6中代替地址解析協議。徐龍偉-ARP協議安全防護一、ARP協議工作原理 主機A的IP地址為192.168.1.1， MAC地址為 0A-11-22-33-44-01； 主機B的IP地址為 192.168.1.2，

3、MAC地址為0A-11-22-33-44-02； 當主機A要與主機B通信時，地址解析協議可以將主機B的IP地址（192.168.1.2）解析成主機B的MAC地址，以下為工作流程。徐龍偉-ARP協議安全防護第1步：根據主機A上的路由表內容，IP確定用于訪問主機B的轉發(fā)IP地址是192.168.1.2。然后A主機在自己的本地ARP緩存中檢查主機B的匹配MAC地址。第2步：如果主機A在ARP緩存中沒有找到映射，它將詢問192.168.1.2的硬件地址，從而將ARP請求幀廣播到本地網絡上的所有主機。源主機A的IP地址和MAC地址都包括在ARP請求中。本地網絡上的每臺主機都接收到ARP請求并且檢查是否與

4、自己的IP地址匹配。如果主機發(fā)現請求的IP地址與自己的IP地址不匹配，它將丟棄ARP請求。第3步：主機B確定ARP請求中的IP地址與自己的IP地址匹配，則將主機A的IP地址和MAC地址映射添加到本地ARP緩存中。第4步：主機B將包含其MAC地址的ARP回復消息直接發(fā)送回主機A。第5步：當主機A收到從主機B發(fā)來的ARP回復消息時，會用主機B的IP和MAC地址映射更新ARP緩存。本機緩存是有生存期的，生存期結束后，將再次重復上面的過程。主機B的MAC地址一旦確定，主機A就能向主機B發(fā)送IP通信了。徐龍偉-ARP協議安全防護工作要素ARP緩存ARP緩存是個用來儲存IP地址和MAC地址的緩沖區(qū)，其本質

5、就是一個IP地址-MAC地址的對應表，表中每一個條目分別記錄了網絡上其他主機的IP地址和對應的MAC地址。每一個以太網或令牌環(huán)網絡適配器都有自己單獨的表。當地址解析協議被詢問一個已知IP地址節(jié)點的MAC地址時，先在ARP緩存中查看，若存在，就直接返回與之對應的MAC地址，若不存在，才發(fā)送ARP請求向局域網查詢。徐龍偉-ARP協議安全防護為使廣播量最小，ARP維護IP地址到MAC地址映射的緩存以便將來使用。ARP緩存可以包含動態(tài)和靜態(tài)項目。動態(tài)項目隨時間推移自動添加和刪除。每個動態(tài)ARP緩存項的潛在生命周期是10分鐘。新加到緩存中的項目帶有時間戳，如果某個項目添加后2分鐘內沒有再使用，則此項目過

6、期并從ARP緩存中刪除；如果某個項目已在使用，則又收到2分鐘的生命周期；如果某個項目始終在使用，則會另外收到2分鐘的生命周期，一直到10分鐘的最長生命周期。靜態(tài)項目一直保留在緩存中，直到重新啟動計算機為止。徐龍偉-ARP協議安全防護ARP工作媒介報文硬件類型協議類型硬件地址長度協議長度操作類型發(fā)送方硬件地址（0-3字節(jié)）發(fā)送方硬件地址（4-5字節(jié)）發(fā)送方IP地址（0-1字節(jié)）發(fā)送方IP地址（2-3字節(jié)）目標硬件地址（0-1字節(jié)）目標硬件地址（2-5字節(jié)）目標IP地址（0-3字節(jié)）徐龍偉-ARP協議安全防護硬件類型：指明了發(fā)送方想知道的硬件接口類型，以太網的值為1；協議類型：指明了發(fā)送方提供的高

7、層協議類型，IP為0800（16進制）；硬件地址長度和協議長度：指明了硬件地址和高層協議地址的長度，這樣ARP報文就可以在任意硬件和任意協議的網絡中使用；操作類型：用來表示這個報文的類型，ARP請求為1，ARP響應為2，RARP請求為3，RARP響應為4；發(fā)送方硬件地址（0-3字節(jié)）：源主機硬件地址的前3個字節(jié)；發(fā)送方硬件地址（4-5字節(jié)）：源主機硬件地址的后3個字節(jié)；發(fā)送方IP地址（0-1字節(jié)）：源主機硬件地址的前2個字節(jié)；發(fā)送方IP地址（2-3字節(jié)）：源主機硬件地址的后2個字節(jié)；目標硬件地址（0-1字節(jié)）：目的主機硬件地址的前2個字節(jié)；目標硬件地址（2-5字節(jié)）：目的主機硬件地址的后4個字

8、節(jié)；目標IP地址（0-3字節(jié)）：目的主機的IP地址。3 徐龍偉-ARP協議安全防護二、ARP欺騙地址解析協議是建立在網絡中各個主機互相信任的基礎上的，它的誕生使得網絡能夠更加高效的運行，但其本身也存在缺陷： ARP地址轉換表是依賴于計算機中高速緩沖存儲器動態(tài)更新的，而高速緩沖存儲器的更新是受到更新周期的限制的，只保存最近使用的地址的映射關系表項，這使得攻擊者有了可乘之機，可以在高速緩沖存儲器更新表項之前修改地址轉換表，實現攻擊。ARP請求為廣播形式發(fā)送的，網絡上的主機可以自主發(fā)送ARP應答消息，并且當其他主機收到應答報文時不會檢測該報文的真實性就將其記錄在本地的MAC地址轉換表，這樣攻擊者就可

9、以向目標主機發(fā)送偽ARP應答報文，從而篡改本地的MAC地址表。5 ARP欺騙可以導致目標計算機與網關通信失敗，更會導致通信重定向，所有的數據都會通過攻擊者的機器，因此存在極大的安全隱患。徐龍偉-ARP協議安全防護常見ARP欺騙形式 1、假冒ARP reply包（單播） XXX，I have IP YYY and my MAC is ZZZ！ 2、假冒ARP reply包（廣播） Hello everyone！ I have IP YYY and my MAC is ZZZ！ 向所有人散布虛假的IP/MAC 3、假冒ARP request（廣播） I have IP XXX and my MAC

10、 is YYY. Who has IP ZZZ？ tell me please！ 表面為找IP ZZZ的MAC，實際是廣播虛假的IP、MAC映射（XXX，YYY）徐龍偉-ARP協議安全防護 4、假冒ARP request（單播） 已知IP ZZZ的MAC Hello IP ZZZ！ I have IP XXX and my MAC is YYY. 5、假冒中間人 欺騙主機（MAC為MMM）上啟用包轉發(fā) 向主機AAA發(fā)假冒ARP Reply： AAA，I have IP BBB and my MAC is MMM， 向主機BBB發(fā)假冒ARP Reply： BBB，I have IP AAA an

11、d my MAC is MMM 由于ARP Cache的老化機制，有時還需要做周期性連續(xù)欺騙。徐龍偉-ARP協議安全防護三、ARP欺騙的防范 不要把網絡安全信任關系建立在IP基礎上或MAC基礎上（RARP同樣存在欺騙的問題），理想的關系應該建立在IP+MAC基礎上。 設置靜態(tài)的MAC-IP對應表，不要讓主機刷新設定好的轉換表。 除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應表中。 使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。 使用“proxy”代理IP的傳輸。徐龍偉-ARP協議安全防護 使用硬件屏蔽主機。設置好路

12、由，確保IP地址能到達合法的路徑（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網橋無法阻止ARP欺騙。 管理員定期用響應的IP包中獲得一個RARP請求，然后檢查ARP響應的真實性。 管理員定期輪詢，檢查主機上的ARP緩存。 使用防火墻連續(xù)監(jiān)控網絡。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。 若感染ARP病毒，可以通過清空ARP緩存、指定ARP對應關系、添加路由信息、使用防病毒軟件等方式解決。徐龍偉-ARP協議安全防護 1、運營商可采用、運營商可采用Super VLAN或或PVLAN技術技術所謂Super VLAN也叫VLAN聚合，這種技術在同一個子網中化出多個Sub V

13、LAN，而將整個IP子網指定為一個VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默認網關IP地址，不同的Sub VLAN仍保留各自獨立的廣播域。子網中的所有主機只能與自己的默認網關通信。如果將交換機或IP DSLAM設備的每個端口化為一個Sub VLAN，則實現了所有端口的隔離，也就避免了ARP欺騙。PVLAN即私有VLAN（Private VLAN） ，PVLAN采用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口化為一個（下層）VLAN，則實現了所有端口的隔離。PVLAN和Super

14、VLAN技術都可以實現端口隔離，但實現方式、出發(fā)點不同。PVLAN是為了節(jié)省VLAN，而SuperVlan的初衷是節(jié)省IP地址。徐龍偉-ARP協議安全防護 2、單位局域網可采用、單位局域網可采用IP與與MAC綁定綁定在PC上IP+MAC綁，網絡設備上IP+MAC+端口綁。但不幸的是Win 98/me、未打arp補丁的win 2000/xp sp1（現在大多都已經打過了）等系統(tǒng) 使用arp -s所設置的靜態(tài)ARP項還是會被ARP欺騙所改變。如果網絡設備上只做IP+MAC綁定，其實也是不安全的，假如同一二層下的某臺機器發(fā)偽造的arp reply（源ip和源mac都填欲攻擊的那臺機子的）給網關，還是

15、會造成網關把流量送到欺騙者所連的那個（物理）端口從而造成網絡不通。對于采用了大量傻瓜交換機的局域網，用戶自己可以采取支持arp過濾的防火墻等方法。推薦Look nStop防火墻，支持arp協議規(guī)則自定義。最后就是使用ARPGuard啦（才拉到正題上），但它只是保護主機和網關間的通訊。徐龍偉-ARP協議安全防護四、ARPGuard的原理1、第一次運行（或檢測到網關IP改變）時獲取網關對應的MAC地址，將網卡信息、網關IP、網關MAC等信息保存到配置文件中，其他時候直接使用配置文件。2、移去原默認路由（當前網卡的）3、產生一個隨機IP，將它添加成默認網關。4、默認網關IP 和網關的MAC綁定（使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項）5、周期性檢測ARP Cache中原默認網關（不是隨機IP那個） 網關的MAC在ARP Cache的值是否被改寫，若被改寫就報警。徐龍偉-ARP協議安全防護