arp攻击及防护介绍

1.1 技术背景

在局域网中经常会出现一些断网或网速缓慢现象，诸如计算机显示连接正常，但无法浏览网页；网络连接出现频繁掉线；认证上网用户认证通过却无法连接网关；访问网上邻居正常但无法完成文件拷贝；局域网内ARP报文激增，出现不正常MAC地址。这些故障很大一部分来自根据ARP内部缺陷制造的ARP病毒的攻击。

ARP攻击会造成局域网瘫痪，只要有一台计算机感染ARP病毒整个局域网就会中断，网络对此没有任何耐受度。被攻击的计算机无法正常访问内，网关无法正常通信。ARP攻击能够窃取及篡改数据，盗用帐号，窃取聊天记录，在网页添加恶意内容，还可以通过第三方非法控制网络访问。

ARP的攻击类型主要有两类，一类是欺骗型攻击，主要用于窃取数据；另一类是破坏型攻击，用于制造网络异常，也称为ARP泛洪攻击。

1.2 攻击原理

一.ARP概述

ARP攻击源自ARP设计之初的缺陷。ARP（地址解析协议）是TCP/IP协议栈底层协议，负责发送数据包时将IP地址解析成对应的MAC地址。地址解析即将目标IP地址转换成目标MAC地址。

二.ARP工作原理

当一个基于TCP/IP的应用程序需要从一台主机发送数据到另一台主机时，它把信息封装成数据包，并附上目的主机的IP地址，在数据链路层，查询IP地址到实际MAC地址的映射，将目的MAC地址封装到以太网帧头中进行传送。

如果查询IP地址与MAC地址的映射关系时，无此映射表项，则广播发送ARP请求消息，询问这个目标IP地址拥有者对应的MAC地址。接收主机收到这个ARP请求后回送ARP应答，报告自己的MAC地址。发送主机会把这个IP地址与MAC地址的映射关系记录在ARP缓存表中。下次需要发送数据包时可通过查找缓存表直接转换IP地址为MAC地址。

主机在启动初期ARP缓存表是空的，在对外发送数据包时，将ARP学习到的IP与MAC映射关系记录在ARP缓存表中。为避免ARP缓存表规模过大，查找速度下降，每个表项均有老化计时器，超时的表项将被删除，再次发送时再通过ARP请求与应答学习IP与MAC映射。

ARP带来了二层网络设备自动学习MAC功能，并有效的分割了冲突域。

如下图所示，在局域网中有六台主机，主机A的ARP缓存表中有主机B与主机C两条映射关系。当主机A需要发送数据报文到主机D时，查询ARP缓存表找不到主机D的表项，则发送广播的ARP请求报文，询问IP地址为10.1.1.4的主机的MAC地址是多少。局域网中其他主机接收到该广播报文，与自己的IP地址比较，发现并不是询问自己的MAC地址则不予理睬，主机D接收到该报文则会回送ARP应答报告自己的MAC地址。主机A收到ARP应答后将学习到的映射关系记录进自己的ARP缓存表，并依此MAC封装数据帧发送到主机D。

图1:MAC地址学习

三.ARP安全缺陷

ARP的完全信任基础带来了一系列的安全漏洞。局域网中有两台主机A和B，如果主机A未发广播的ARP请求，主机B也可以主动发ARP应答给主机A，主机A在收到这个ARP应答后会自动更新自己的ARP缓存表，修改其中IP与MAC映射。主机A不会考虑这个ARP应答是否是正确的信息，而是直接更改ARP缓存表项。如果这是一条错误的信息，则此后主机A发往主机B的数据将无法到达主机B。

如下图所示，主机A在正确学习到主机D的MAC地址后，如果主机D主动发送ARP应答给主机A，主机A无法识别是否是正确的MAC信息，直接修改ARP缓存表。

图2:主动发送ARP应答报文

在ARP请求报文中包含发送者的IP地址与MAC地址信息，主机A可以在局域网中广播ARP请求，其他主机接收到该ARP请求后会更新本地缓存表中主机A的ARP表项。如果主机A已经知道主机B的MAC地址，主机A可以向主机B发送单播ARP请求，主机B收到ARP请求后，会更新本地ARP缓存表中主机A的MAC地址。同样主机B也不会考虑该信息是否正确而会直接修改ARP缓存表。

如下图所示，主机D已经学习到主机A的MAC地址，主机A发送ARP请求给主机D，主机D无法识别是否是正确的MAC信息，直接修改自己的ARP缓存表。

图3:主动发送ARP请求报文

ARP缓存表虽有老化机制，在表项超时删除后，能重新学习正确的MAC地址；但若ARP攻击报文发送频率很高，则老化机制对错误表项为力。

四.ARP攻击原理

ARP病毒及木马程序利用ARP的安全缺陷实现对网络的攻击。

网络中有A、B、C三台主机，主机A与主机B正常通信，主机C进入网络，开始实施ARP欺骗。首先，主机C给主机A发一个ARP应答报文，报文显示主机B的IP地址映射主机C的MAC，主机A收到这个报文，更新自己的ARP缓存表，修改主机B的IP地址对应的MAC。这样，其后主机A发往主机B的数据包均会发给主机C。如果主机C不转发该数据包到主机B，则主机B认为与主机A的通信发生故障，而主机A无法察觉。如果主机C转发数据包到主机B，则主机B与主机A之间的通信不受影响，仅仅是主机C监听到主机A到主机B的数据包。

同理，主机C发ARP应答报文欺骗主机B，则主机B发往主机A的数据包被主机C监听。

图4:ARP攻击原理

五.ARP攻击类型

根据ARP攻击的危害，可分为欺骗型和破坏型两类。实际网络中欺骗型攻击有三种，一种是局域网主机冒充网关欺骗网内主机，导致主机访问网关的数据包均发往欺骗主机，局域网内主机无法正常上网。另一种是欺骗网关，修改网关的ARP表项，导致网关到主机的数据包无法到达正确主机。第三种是主机对主机的欺骗，导致正常主机之间通信中断。

攻击者冒充网关欺骗主机，使用户正常发往网关的数据流发至攻击者，导致用户无法访问外部网络。

图5:冒充网关欺骗用户

攻击者冒充普通用户欺骗网关，使网关到用户的数据流无法到达正确用户。

图6:冒充用户欺骗网关

攻击者冒充用户欺骗用户，使正常用户之间通信中断。

图7:冒充用户欺骗用户

破坏型攻击也称为ARP泛洪攻击。攻击者伪造大量虚假ARP报文，对局域网内所有主机和网关进行广播，干扰正常通信。

图8:ARP泛洪攻击

1.3 防御技术

一.防御方法

ARP攻击能够成功，在于ARP的动态学习能力，为此防御ARP攻击的思想集中在保护正确渠道获取的ARP信息。

为防御攻击者冒充网关对主机进行欺骗，可以在主机上静态绑定网关的ARP信息。但是主机每次重启都需要重新绑定；且每台主机都需手工配置，工作量巨大。

为防御攻击者冒充主机对网关进行欺骗，可以在网关上静态绑定主机的ARP信息，但是仅当主机是静态IP时适用，且管理维护工作量巨大。

手工静态绑定ARP信息仅适用于网络拓扑简单且极少变化的环境。

除了手工静态的方式，考虑动态方式，网络设备如何自己抵御欺骗。

网关可以定期发布自己ARP的信息，澄清攻击者冒充网关对主机的欺骗，帮助主机找到正确的网关，但因广播信息赶不上欺骗信息的速度且导致网络资源占用，收效甚微。

交换机检查ARP报文并过滤欺骗报文，可以防御冒充网关对主机的欺骗。但仅能单方向防御。

由此可见，对整个局域网造成危害的ARP攻击在网络单点设备上进行防御，效果并不好，难免顾此失彼。因此，面对ARP的攻击，需要结合攻击的各种途径建立立体的防御体系。根据网络拓扑，可以分三个点实施防御方案，一是网关，二是接入交换机，三是用户端。

图9:防御思想

二.网关防御

局域网内的攻击者冒充用户欺骗网关，给网关发虚假的ARP应答消息，网关根据ARP报文修改缓存表，用攻击者的MAC地址覆盖原来正确的主机MAC，导致网关到用户通信中断。在网关上绑定用户IP与MAC则ARP报文无法更新缓存表项。绑定的MAC不被动态获取的ARP信息覆盖。

图10:网关防御

具体方法可以使用命令手工配置，静态ARP不被动态ARP信息覆盖。或者通过DHCP协议、认证协议提取IP与MAC信息，绑定为可信任的ARP表项，可信任的ARP不能被动态ARP信息覆盖。可见，绑定ARP可解决ARP协议简单的信任机制带来的欺骗信息。手工配置因工作量巨大，管理维护成本较高，在网络拓扑变动较多的环境多不采用。

图11:绑定ARP

三.接入交换机防御

攻击者冒充用户欺骗网关时，可以在接入交换机过滤欺骗报文。在接入交换机的端口绑定IP与MAC，当接收到虚假的ARP请求或者应答报文时，比较报文中封装的发送者IP（Sender IP）与发送者MAC（Sender MAC）是否与本地端口绑定的ARP信息一致，若不一致则认为是欺骗报文，直接过滤，该报文无法到达网关，攻击者对网关的欺骗失败。

具体方法可以在接入交换机上手工配置端口ARP绑定。或者通过DHCP snooping协议、认证协议提取端口上IP与MAC信息，写端口ARP绑定信息。端口绑定ARP后可过滤与绑定信息不一致的虚假ARP报文。

图12:接入交换机防御欺骗网关

同理，攻击者冒充网关欺骗用户时，接入交换机也通过端口绑定的ARP信息过滤欺骗报文，欺骗报文无法到达用户。攻击者冒充用户欺骗正常用户也能通过接入交换机进行有效防御。

图13:接入交换机防御欺骗用户

四.用户端防御

攻击者冒充网关欺骗用户，给用户发送虚假的ARP应答消息，用户根据ARP报文修改缓存表，用攻击者的MAC地址覆盖原来正确的网关MAC，导致用户到网关通信中断。在用户端绑定IP与MAC则ARP报文无法更新缓存表项。绑定的MAC不被动态获取的ARP信息覆盖。

具体方法可以使用命令手工配置，静态ARP不被动态ARP信息覆盖。或者在认证服务器上配置网关ARP信息，封装在认证协议报文中传递到用户，认证客户端提取网关IP与MAC信息，再写静态ARP表项。手工配置因每次主机启动均需重新配置，实用性不高。

图14:用户端防御

在使用认证接入的网络环境中，除了从认证协议提取网关ARP信息静态绑定，XX网络的安全管理客户端尚提供一种有效机制防御用户端主动发出ARP攻击报文。这种机制检测用户端发送ARP报文的发送者IP与发送者MAC，若与本机的IP、MAC不一致则隔离该用户，使该用户无法进入网络，从而阻隔了ARP攻击的源头。

图15:安全管理客户端

综上所述，针对网关、接入交换机、用户端三个防御点，使用静态、监控、认证三种方法可建立立体的ARP攻击防御体系。监控与认证均是动态获取正确ARP信息。因手工静态方式管理维护量大，实用性不大，下面着重介绍监控与认证方式的实现。

图16:ARP攻击防御体系

五.监控方式

监控方式的防御体系用于动态接入的网络环境，局域网内主机通过DHCP服务器获取IP地址相关信息。通过在接入交换机和网关上监控DHCP报文，将DHCP服务器分配的IP地址与MAC地址绑定。

在接入交换机上运行DHCP snooping，监听主机与DHCP服务器之间的协议报文，提取IP与MAC信息，在端口绑定ARP。

在网关运行DHCP relay安全模块，监听通过网关的DHCP协议报文，将提取的IP与MAC绑定，写ARP缓存表。

如下图所示，终端用户通过DHCP服务器获取IP信息，网关与接入交换机监听DHCP报文，绑定IP地址与MAC地址。当攻击者冒充用户欺骗网关时，网关上动态ARP信息无法覆盖DHCP学习到的MAC信息，ARP欺骗消息不被信任，攻击失败。当攻击者冒充网关欺骗用户，或者冒充用户欺骗用户时，接入交换机端口通过监听DHCP绑定的ARP信息将过滤欺骗报文，欺骗报文无法到达受骗用户，攻击失败。

图17:监控方式防御体系

六.认证方式

认证方式的防御体系用于认证接入的网络环境。在认证服务器上配置网关信息，通过认证的用户可以获得网关信息，认证客户端提取EAPOL协议报文中封装的网关IP与MAC信息，写本地ARP缓存表，绑定网关信息。接入交换机从EAPOL协议报文中提取用户端IP与MAC信息，在端口绑定ARP。网关与Radius服务器之间通过私有协议传递用户IP与MAC信息，写入网关ARP缓存表。

如下图所示，终端用户通过Radius服务器获取网关信息，当攻击者冒充网关时，动态ARP信息不能覆盖用户端绑定的网关MAC地址，ARP欺骗消息不被信任，攻击失败。

Radius服务器发送给网关用户ARP信息，当攻击者冒充用户时，动态ARP信息不能覆盖通过私有协议学习到的ARP表项，ARP欺骗消息不被信任，攻击失败。

在接入交换机端口上绑定用户IP与MAC，防御攻击者冒充网关欺骗用户或者冒充用户欺骗用户。

除此之外，认证客户端可以检测网卡发出的报文，如果发现本机成为攻击者，发出欺骗报文，传播虚假的ARP信息，则自动隔离该上网用户。

图18:认证方式防御体系

1.4 应用效果

XX网络提出的ARP攻击防御方案，在网关、接入交换机、用户三个防御点实施层层防护措施，提供三层立体防护网进行纵深防御，ARP攻击报文难以逃脱多重拦截，无法到达攻击目标，在各个源头有效阻断了攻击。该防御方案对网关欺骗、用户欺骗、恶意泛洪进行密切防御，确保网络通信可靠。网络中无多余报文传送，不会造成额外负荷。配置简单，动态防御，使网络管理员从用户托管静态配置的巨大维护工作量中出来。本解决方案在各行各业的局域网建设中有广泛应用，防御ARP攻击卓有成效，对建立安全可保障的网络环境提供强有力支持。