IDC中心的ARP攻击与防御解决方案

1 引言

ARP攻击在各大数据中心(IDC中心)泛滥,使得国内众多机房或网络运营商深恶痛绝。由于其攻击的特性,它可以导致被攻击网站或服务器的无法访问,或者使访问者访问其他错误网址或接收到错误信息,直接危害着企业的利益。因此,ARP欺骗攻击严重影响了IDC中心的正常运行和信息安全,如何进行防范及清楚ARP病毒已成为网络管理者迫切需要解决的问题。

2 ARP工作原理

ARP(Address Resolution Protocol)是地址解析协议,提供了从IP地址到物理地址的映射。即通过已知的网络层(IP层,也就是相当于OSI的第三层)地址获得数据链路层(MAC层,也就是相当于OSI的第二层)的MAC地址。

ARP工作原理:主机A向主机B发送报文,会首先查询本地的ARP缓存表,通过B的IP地址找到对应的MAC地址后,就会进行数据传输。如果未找到,则A会广播一个 ARP请求报文(此报文中包含主机A的IP地址到物理地址的映射及主机B的IP地址),请求主机B回答其物理地址。网上所有主机包括B都收到该ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。

3 IDC中常见ARP欺骗攻击方式

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP地址到MAC地址映射。如果IDC的托管主机受到 ARP 病毒感染或是被黑客控制了,就可能出现了 ARP 欺骗攻击 。通常,被感染或被控制的主机会向本网段广播伪造的 ARP 信息,这会导致同网段的其它托管主机或是网关的 ARP 表出现混乱,会造成这些主机无法进行正常通信,更有甚者则会导致这些主机上的通信被监听或窃取事件的发生等等问题。

3.1 欺骗攻击

这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机。便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由。

(1)相同网段ARP欺骗

此种欺骗攻击通常会伪造一个ARP_REPLY的响应包发送给欲欺骗主机,人为指定该数据包中的源IP,目标IP,源MAC地址,目标MAC地址。通过此虚假的ARP响应包修改欲欺骗主机的ARP缓存,达到欺骗目的。以图1为例说明相同网段间ARP欺骗过程。

主机C欲非法入侵主机B,下面是具体的步骤:

①主机C首先研究与主机B正常通信的主机A,发现主机A漏洞。

②根据主机A的漏洞,使其暂时停止工作。

③主机C将自己IP地址改为192.168.0.1。

④主机C向主机B发送一个ARP响应包,其中源IP地址为192.168.0.1,源MAC地址为CC:CC:CC:CC:CC:CC,要求主机B更新ARP缓存中IP地址到MAC地址的映射表.

⑤主机B更新了自己的ARP缓存。

⑥主机C成功入侵主机B。

以上为一个在同网段内的ARP欺骗过程。

(2)不同网段ARP欺骗

如主机A与主机C在不同网段,上面的方法则不起作用。以图2为例说明不同网段间ARP欺骗过程。

在现在的情况下,位于192.168.1网段的主机C如何冒充主机B欺骗主机A呢?显然用上面的办法的话,即使欺骗成功,那么由主机C和主机A之间也无法建立telnet会话,因为路由器不会把主机A发给主机B的包向外转发,路由器会发现地址在192.168.0.这个网段之内。

现在就涉及到另外一种欺骗方式——ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤:

①主机C需将自己发出的非法IP包的存活时间改成最大。

②寻找主机B的漏洞使其暂时停止工作。

③当主机A找不到原来的192.0.0.2后,将更新自己的ARP对应表。此时,主机C发送一个原IP地址为192.0.0.2,MAC地址为CC:CC:CC:CC:CC:CC的ARP响应包。

④现在每台主机都知道了,一个新的MAC地址对应192.0.0.2,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.2的IP包丢给路由。于是还需要构造一个ICMP的重定向广播。

⑤定制一个ICMP重定向包告诉网络中的主机, 到192.0.0.2的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.2的IP包丢给路由。

⑥主机A接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的通讯都丢给路由器。

⑦主机C成功入侵主机A。

其实上面的想法只是一种理想话的情况,主机许可接收的ICMP重定向包其实有很多的限制条件,这些条件使ICMP重定向变的非常困难。

(3)ARP欺骗新表现形式

此种欺骗攻击方式同上一样,向全网发送伪造的ARP数据包,区别在于它对HTTP报文的修改。

用户在浏览某些网页时,网页中可能会包含一些恶意的代码,这就是俗称的“网页木马”,此种行为被称为“挂马”。主要有以下三种方法插入恶意代码:

①局域网被ARP欺骗。当网内的一台主机欲访问网外的WEB服务器时,该主机会将请求发给负责本网的网关,由网关到服务器获得请求页面再发给该主机。此时攻击主机伪装成网关将插入恶意代码的网页发给请求主机,对于该局域网内的其他主机均可采取此种攻击方法。

②服务器被ARP欺骗。服务器所处局域网内,有主机被感染病毒,服务器发给用户的网页在传输过程中被插入恶意代码。

③服务器被攻击。服务器被入侵或感染病毒,硬盘上网页文件被修改插入恶意代码。

3.2 MAC Flooding

MAC Flooding 可以称之为 MAC 洪泛现象,这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信。其中 Flooding 是一种快速散布网络连接设备 (如交换机)更新信息到整个大型网络打每一个节点的一种方法。交换机中也存放着一个 ARP 缓存表。同主机中的 ARP 缓存表相同,它也起到记录网络设备 MAC 地址与 IP 地址的 对应关系的功能。但是交换机中的 ARP 缓存表的大小是固定的,这就导致了 ARP 欺骗的另 一种隐患:由于交换机可以主动学习客户端的 MAC 地址,并建立和维护这个 ARP 缓存表, 当某人利用欺骗攻击连续大量的制造欺骗 MAC 地址,ARP 缓存表就会被迅速填满,同时更新信息以洪泛方式发送到所有的接口,也会发给所有的接口和邻近的交换机,会导致其他交换机的 ARP 表 溢出,造成交换机负载过大,网络缓慢和丢包甚至瘫痪。所以说 MAC Flooding 是一种比较 危险的攻击,严重会使整个网络不能正常通信。

3.3基于ARP的DOS攻击

DoS 攻击的目的就是让被攻击主机拒绝 用户的服务访问,破环系统的正常运行。最终使用户的部分 Internet 连接和网络系统失效。 它的基本原理是:攻击者利用 ARP 欺骗 工具,不断向被攻击主机发送大量的连接请求,由于遭到 ARP 欺骗的主机不能够根据 ARP 缓存表找到对方主机,加之主机的处理能力有限,使得它不能为正常用户提供服务,便出现 拒绝服务。在这个过程中,攻击者可以使用 ARP 欺骗方式来隐藏自己,这样在被攻击主机 的日志上就不会出现攻击者真实的 IP 地址。被攻击主机不能根据日志上提供的 IP 地址找到正真的攻击者。

4 防范措施

针对IDC机房内经常发生的ARP病毒攻击,在此介绍防范ARP攻击的几种方法。

4.1 常用解决方法

(1)捆绑MAC和IP地址

杜绝IP 地址盗用现象。如果是通过代理服务器上网:到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行捆绑。如:ARP-s 192.16.10.400-EO-4C-6C-08-75.这样,就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了,即使别人盗用您的IP 地址,也无法通过代理服务器上网。如果是通过交换机连接,可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。

(2)修改MAC地址,欺骗ARP欺骗技术

就是假冒MAC 地址,所以最稳妥的一个办法就是修改机器的MAC 地址,只要把MAC 地址改为别的,就可以欺骗过ARP 欺骗,从而达到突破封锁的目的。

(3)交换机端口设置

①端口保护(类似于端口隔离):ARP 欺骗技术需要交换机的两个端口直接通讯,端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯,需要通过转发才能相互通讯。

②数据过滤:如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP端口等对进出交换机的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL,每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤,扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤,异词检查伪装MAC 地址的帧。

(4)禁止网络接口做ARP解析

在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击),可以做静态ARP 协议设置(因为对方不会响应ARP 请求报文)如ARP——s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如:Unix , NT 等,都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。

(5)定期检查ARP缓存

管理员定期用响应的IP 包中获得一个rarp 请求,然后检查ARP 响应的真实性。定期轮询, 检查主机上的ARP 缓存。

4.2 推荐使用方法

根据ARP欺骗攻击的常见方式及IDC机房自身特点,在IDC机房推荐采取网关及其网内主机的IP—MAC的静态双向绑定办法,这是一个较全面并相对持久的解决方式。

此种双向静态绑定的作法,是分别对网关的ARP缓存中的IP地址—MAC地址及其网内各主机的IP地址—MAC地址进行静态绑定,并把正确的IP地址及MAC地址记下来。

具体方法为,建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:

192.168.2.32 08:00:4E:B0:24:47,然后再在/etc/rc.d/rc.local最后添加:arp -f生效即可。

通过双向静态绑定可再也不受其它人的信息干扰,之后完全按照绑定的地址进行信息的传输,可排除其他错误指令的干扰,能有效地完成工作。在这种情况下,可大大降低用户服务器或主机在受到攻击时无法访问而掉线的情况发生。此种解决方案虽然对IDC中心会带来一定的工作量,但其效果要明显好于其他方法,有效抵制ARP欺骗攻击。

5 结束语

ARP 攻击问题一直是困扰着IDC中心的一个难题. 但其并不是无法解决的,通过建立完善的预防机制,能够最大程度上抵制ARP 欺骗攻击。随着网络产品及技术的不断更新,IDC中心网络建设的不断完善,我们已经可以更好的解决ARP欺骗攻击问题,确保IDC中心安全可靠运行。

参考文献

[1] 樊景博,刘爱军.ARP病毒的原理及防御办法[J].商洛学院学报,2007(2).

[2] 曹洪武.ARP欺骗入侵的检测与防范策略[J].塔里木大学学报2007(2).

[3] 孟晓明.给予ARP的网络欺骗的检测与防范[J].信息技术,2005(5):41-44.

[4] 王坚,梁海军.ARP欺骗原理及其防范策略探讨[J].计算机与现代化,2008(2):90-101.

[5] 叶城绪.校园网中基于ARP的欺骗及其预防[J].青海大学学报(自然科学报),2007(3):59-61.