如何通過動(dòng)態(tài)ARP檢測中間人攻擊

中間人攻擊對于企業(yè)來說是一種相當(dāng)頭疼的攻擊方式，通過截獲和偽裝企業(yè)之間的通訊數(shù)據(jù)，可以達(dá)到偽裝成數(shù)據(jù)發(fā)送方的目的。其間很多企業(yè)的敏感數(shù)據(jù)都面臨著被泄露的危機(jī)，那么ARP協(xié)議作為一柄雙刃劍，我們就利用其優(yōu)勢方面，通過動(dòng)態(tài)ARP檢測和防止中間人攻擊。

一、中間人攻擊案例模擬　

有三臺(tái)終端同時(shí)連接到同一個(gè)工作組交換機(jī)中。(實(shí)際情況可能會(huì)有更多的終端，為了簡單起見，筆者以三個(gè)終端為例)。此時(shí)如果主機(jī)A需要訪問主機(jī)B(第一次訪問時(shí)只知道對方的IP地址而不知道MAC地址)，就需要先發(fā)送一個(gè)ARP請求。向各臺(tái)主機(jī)詢問，IP地址為多少的主機(jī)其MAC地址為多少，并會(huì)附上主機(jī)A的MAC地址。這個(gè)ARP請求會(huì)以廣播的形式在網(wǎng)絡(luò)中傳播，即網(wǎng)絡(luò)中的每一臺(tái)客戶端都將受到這個(gè)信息。正常情況下，除了B以外的不相關(guān)的主機(jī)都會(huì)丟棄這個(gè)數(shù)據(jù)包。而只有主機(jī)B接收到這個(gè)請求后，才會(huì)進(jìn)行響應(yīng)。主機(jī)B首先會(huì)在自己的ARP緩存中創(chuàng)建主機(jī)A IP地址與MAC地址的相關(guān)記錄(如果已經(jīng)存在這個(gè)IP地址，則會(huì)進(jìn)行更新)，并向主機(jī)A發(fā)送ARP響應(yīng)。此時(shí)的ARP響應(yīng)是一個(gè)單播數(shù)據(jù)包，即直接發(fā)送給主機(jī)A，而不是以廣播的形式發(fā)送。

以上是一個(gè)比較正常的ARP處理流程。但是在這個(gè)處理的過程中，如果沒有采取恰當(dāng)?shù)陌踩�措施，則很可能會(huì)引發(fā)中間人攻擊。如上圖所示，如果終端設(shè)備C在收到主機(jī)A發(fā)送的ARP請求之后，沒有拋棄這個(gè)數(shù)據(jù)包，而是發(fā)送了偽造的ARP響應(yīng)(將自己的MAC地址替代主機(jī)B的MAC地址)，其就可以發(fā)起中間人攻擊。在接收到主機(jī)C的ARP響應(yīng)之后，主機(jī)A將不能夠擁有主機(jī)B的正確MAC地址與IP地址。對于主機(jī)A來說，它就會(huì)錯(cuò)誤的認(rèn)為主機(jī)C就是其要發(fā)送數(shù)據(jù)的對象。從而將數(shù)據(jù)直接發(fā)送給主機(jī)C。此時(shí)對于主機(jī)A和主機(jī)B之間的任何通信，就會(huì)被發(fā)送到主機(jī)C上。然后主機(jī)C在獲取相關(guān)的內(nèi)容之后，可能進(jìn)行流量的重定向。在這個(gè)過程中，主機(jī)C就被稱為中間人。這個(gè)過程就被稱為中間人攻擊。

二、通過動(dòng)態(tài)ARP檢測來防止中間人攻擊

為了有效防止中間人攻擊，在思科的網(wǎng)絡(luò)產(chǎn)品中設(shè)計(jì)了動(dòng)態(tài)ARP檢測。其原理比較簡單，就是交換機(jī)的相關(guān)端口會(huì)自動(dòng)檢測ARP數(shù)據(jù)包來自于正確的端口，并且沒有被攻擊者所更改或者欺騙。這個(gè)原理說起來簡單，其實(shí)要實(shí)現(xiàn)起來需要經(jīng)過許多的技術(shù)處理。通常情況下，通過DHCP監(jiān)聽綁定表，交換機(jī)能夠確定正確的端口。如果交換機(jī)能夠數(shù)據(jù)來自錯(cuò)誤的端口，則會(huì)自動(dòng)拋棄這個(gè)數(shù)據(jù)包，并會(huì)將相關(guān)的信息記錄在案。而且還會(huì)將違規(guī)端口設(shè)置為err-disable狀態(tài)，攻擊者將不能夠?qū)�網(wǎng)絡(luò)進(jìn)行進(jìn)一步的破壞工作。

如果要在這個(gè)環(huán)境中啟用動(dòng)態(tài)ARP檢測技術(shù)，需要執(zhí)行如下幾個(gè)步驟。

第一步是需要在各個(gè)交換機(jī)端口上啟用DHCP監(jiān)聽。如上所示，動(dòng)態(tài)ARP檢測需要判斷數(shù)據(jù)的端口是否來自合法的端口。而要檢測這個(gè)內(nèi)容的話，必須要有DHCP監(jiān)聽綁定表。而這個(gè)表則是有DHCP監(jiān)聽程序創(chuàng)建的。這里需要注意，要在交換機(jī)所有的接口上啟用這個(gè)監(jiān)聽服務(wù)。否則的話，就可能會(huì)出現(xiàn)問題。

第二步是比較關(guān)鍵，是需要將交換機(jī)間的連接配置為DAI(動(dòng)態(tài)ARP檢測)信任端口。在上面舉例子的時(shí)候，筆者為了簡單起見，只畫了一個(gè)工作組交換機(jī)。而在實(shí)際工作中，企業(yè)往往是有多個(gè)交換機(jī)共同組成一個(gè)網(wǎng)絡(luò)。此時(shí)如果讓多個(gè)交換機(jī)之間也能夠啟用動(dòng)態(tài)ARP檢測功能呢?其需要做的配置，就是將交換機(jī)之間的鏈路配置為DAI信任端口�？梢允褂妹�令ip arp inspection trust來實(shí)現(xiàn)。

當(dāng)啟用了動(dòng)態(tài)ARP檢測功能，如果再發(fā)生中間人攻擊事件的話，交換機(jī)會(huì)如何應(yīng)對呢?如上圖所示，當(dāng)攻擊者C連接到工作組交換機(jī)，并且試圖發(fā)送虛假的ARP響應(yīng)時(shí)，交換機(jī)會(huì)根據(jù)DHCP監(jiān)聽綁定表檢測到這種攻擊行為，并會(huì)丟棄這個(gè)ARP數(shù)據(jù)包。然后交換機(jī)會(huì)將這個(gè)攻擊者C所連接的端口設(shè)置為err-disable狀態(tài)，并向管理員發(fā)出警報(bào)。

當(dāng)啟用了動(dòng)態(tài)ARP檢測的時(shí)候，需要注意其誤診斷的情況。如上圖所示，如果中間人C其不是直接連接在工作組交換機(jī)上。而是連接在一個(gè)集線器上。然后再通過這個(gè)集線器連接到交換機(jī)。此時(shí)當(dāng)其發(fā)出中間者攻擊時(shí)，交換機(jī)會(huì)將這個(gè)接口關(guān)閉掉。此時(shí)連接在這個(gè)接口上的所有主機(jī)都將無法與網(wǎng)絡(luò)進(jìn)行通信。這個(gè)“一人有罪，全家受罰”的辦法，往往會(huì)涉及到無辜。網(wǎng)絡(luò)管理員在啟用這個(gè)功能時(shí)，需要考慮到這個(gè)負(fù)面作用。在后續(xù)排除故障的時(shí)候，也會(huì)有參考的價(jià)值。

三、動(dòng)態(tài)ARP檢測在其他方面的作用

ARP動(dòng)態(tài)檢測功能在防止中間人攻擊方面有比較特殊的表現(xiàn)。但是其功能還遠(yuǎn)遠(yuǎn)不止這個(gè)方面。如ARP動(dòng)態(tài)檢測功能還可以實(shí)現(xiàn)ARP抑制。即限制入站ARP數(shù)據(jù)包的速率。如果當(dāng)ARP數(shù)據(jù)包的速率達(dá)到一個(gè)指定的數(shù)值之后，此時(shí)可能網(wǎng)絡(luò)中存在著ARP攻擊。在這種情況下，交換機(jī)會(huì)自動(dòng)將這個(gè)接口設(shè)置為disable狀態(tài)。要啟用ARP抑制功能，需要在交換機(jī)中進(jìn)行額外的配置。如可以通過如下命令來實(shí)現(xiàn)：ip arp inspection limit rate (ARP數(shù)據(jù)包速率)。執(zhí)行這個(gè)配置并不難，其難點(diǎn)在于如何確定這個(gè)速率。如果速率設(shè)置的比較高，那么起不到ARP抑制的功能。相反，如果設(shè)置的比較低的話，又可能會(huì)影響到網(wǎng)絡(luò)的正常使用。

四、動(dòng)態(tài)ARP檢測需要使用的相關(guān)技術(shù)

從以上的分析中可以看出，動(dòng)態(tài)ARP檢測并不是一門獨(dú)立的技術(shù)，其必須要有其他的技術(shù)的幫助才能夠?qū)崿F(xiàn)。故筆者更喜歡將其稱為一個(gè)技術(shù)的組合。如需要啟用DHCP監(jiān)聽程序才能夠幫助交換機(jī)判斷數(shù)據(jù)來源接口的合法性等等。當(dāng)啟用ARP檢測技術(shù)的時(shí)候，交換機(jī)會(huì)自動(dòng)判斷是否啟用了一些必須的輔助技術(shù)。如果沒有啟用的話，交換機(jī)會(huì)報(bào)錯(cuò)，并終止用戶的請求。所以在配置這個(gè)功能的時(shí)候，網(wǎng)絡(luò)管理員還需要了解其他與之關(guān)聯(lián)的技術(shù)。特別是需要了解其實(shí)現(xiàn)的一些前提條件，即需要先啟用哪些技術(shù)。

在實(shí)際工作中，如像用戶介紹或者培訓(xùn)過程中，筆者將動(dòng)態(tài)ARP檢測技術(shù)當(dāng)作一個(gè)安全的解決方案(幾種技術(shù)的組合)，而不是一門單獨(dú)的技術(shù)。這無論是在學(xué)習(xí)還是在配置中都需要引起重視。筆者再強(qiáng)調(diào)一次，動(dòng)態(tài)ARP檢測是一種結(jié)合DHCP監(jiān)聽技術(shù)、IPSG技術(shù)等等的安全方案，其主要用來解決跟ARP攻擊相關(guān)的安全問題。它能夠有效保護(hù)多層交換網(wǎng)絡(luò)中接入層的ARP攻擊，如ARP中間人攻擊、ARP欺騙、ARP擴(kuò)散攻擊，實(shí)現(xiàn)ARP抑制等等。當(dāng)然在實(shí)現(xiàn)的過程中，也會(huì)存在一些負(fù)面作用。其最大的負(fù)面影響就是會(huì)使得連接在同一個(gè)接口上的其他無辜用戶遭受到損失。在設(shè)計(jì)與部署動(dòng)態(tài)ARP檢測功能的時(shí)候，需要考慮到這個(gè)問題。如當(dāng)連接到某個(gè)接口的終端出現(xiàn)網(wǎng)絡(luò)故障，而其他接口運(yùn)作正常時(shí)，就需要考慮到是否是這個(gè)原因所造成的。
 

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]