科普!ARP攻击是个啥,该如何防范?
正文
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。
会造成网络连接不稳定,引发用户通信中断;或者利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。
什么是ARP
地址解析协议ARP(Address Resolution Protocol)是用来将IP地址解析为MAC地址的协议。
在局域网中,当主机或其它三层网络设备有数据要发送给另一台主机或三层网络设备时,它需要知道对方的网络层地址(即IP地址)。
但是仅有IP地址是不够的,因为IP报文必须封装成帧才能通过物理网络发送,因此发送方还需要知道接收方的物理地址(即MAC地址),这就需要一个从IP地址到MAC地址的映射。
ARP即可以实现将IP地址解析为MAC地址。主机或三层网络设备上会维护一张ARP表,用于存储IP地址和MAC地址的关系。一般ARP表项包括动态ARP表项和静态ARP表项。
动态ARP
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。
ARP地址解析过程:动态ARP通过广播ARP请求和单播ARP应答这两个过程完成地址解析。
1.首先,Host_1会查找自己本地缓存的ARP表,确定是否包含Host_3对应的ARP表项。如果Host_1在ARP表中找到了Host_3对应的MAC地址,则Host_1直接利用ARP表中的MAC地址,对数据报文进行帧封装,并将数据报文发送给Host_3。如果Host_1在ARP表中找不到Host_3对应的MAC地址,则先缓存该数据报文,并以广播方式发送一个ARP请求报文。如图1中所示,OP字段为1表示该报文为ARP请求报文,ARP请求报文中的源MAC地址和源IP地址为Host_1的MAC地址和IP地址,目的MAC地址为全0的MAC地址,目的IP地址为Host_3的IP地址。有关ARP报文格式的详细介绍请参见ARP报文格式。
2.Router_1收到ARP请求报文后,将该ARP请求报文在同一广播域内转发。
3.同一广播域内的主机Host_2和Host_3都能接收到该ARP请求报文,但只有被请求的主机(即Host_3)会对该ARP请求报文进行处理。Host_3比较自己的IP地址和ARP请求报文中的目的IP地址,当两者相同时进行如下处理:将ARP请求报文中的源IP地址和源MAC地址(即Host_1的IP地址和MAC地址)存入自己的ARP表中。之后以单播方式发送ARP应答报文给Host_1,ARP应答报文内容如图1中所示,OP字段为2表示该报文为ARP应答报文,源MAC地址和源IP地址为Host_3的MAC地址和IP地址,目的MAC地址和目的IP地址为Host_1的MAC地址和IP地址。
4.Router_1收到ARP应答报文后,将该ARP应答报文转发给Host_1。Host_1收到ARP应答报文后,将Host_3的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将数据报文进行帧封装,并将数据报文发送给Host_3。
静态ARP
静态ARP表项是由网络管理员手工建立的IP地址和MAC地址之间固定的映射关系。静态ARP表项不会被老化,不会被动态ARP表项覆盖。
正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习,生成的动态ARP表项可以被老化,可以被更新。但是当网络中存在ARP攻击时,设备中动态ARP表项可能会被更新成错误的ARP表项,或者被老化,造成合法用户通信异常。静态ARP表项不会被老化,也不会被动态ARP表项覆盖,可以保证网络通信的安全性。静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址,此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系,从而保护了本端设备和对端设备间的正常通信。一般在网关设备上配置静态ARP表项。
免费ARP
设备主动使用自己的IP地址作为目的IP地址发送ARP请求,此种方式称免费ARP。
免费ARP有如下作用:
l IP地址冲突检测:当设备接口的协议状态变为Up时,设备主动对外发送免费ARP报文。正常情况下不会收到ARP应答,如果收到,则表明本网络中存在与自身IP地址重复的地址。如果检测到IP地址冲突,设备会周期性的广播发送免费ARP应答报文,直到冲突解除。
l 用于通告一个新的MAC地址:发送方更换了网卡,MAC地址变化了,为了能够在动态ARP表项老化前通告网络中其他设备,发送方可以发送一个免费ARP。
l 在VRRP备份组中用来通告主备发生变换:发生主备变换后,MASTER设备会广播发送一个免费ARP报文来通告发生了主备变换。
什么是ARP安全?
了解了ARP基本工作原理之后,再来看看如何保障ARP安全。
在网络中,常见的ARP攻击方式主要包括:
•ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景:
■设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
■攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
•ARP欺骗攻击,是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。
ARP安全应用场景
防ARP泛洪攻击:局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。
当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。如下图:为了避免上述危害,可以在网关设备上部署防ARP泛洪攻击功能,包括ARP报文限速功能、ARP Miss消息限速功能、ARP表项严格学习功能以及ARP表项限制功能。
•部署ARP报文限速功能后,Gateway会对收到的ARP报文进行数量统计,如果在一定时间内,ARP报文的数量超出了配置的阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文,这样可以防止设备因处理大量ARP报文造成CPU负荷过重。
•部署ARP Miss消息限速功能后,Gateway会对ARP Miss消息进行数量统计,如果在一定时间内,ARP Miss消息的数量超出了配置的阈值(ARP Miss消息限速值),则超出部分的ARP Miss消息将被忽略,且Gateway会丢弃触发ARP Miss消息的IP报文,这样可以防止Gateway因处理大量目标IP地址不能解析的IP报文造成CPU负荷过重。
•部署ARP表项严格学习功能后,Gateway仅仅学习自己发送的ARP请求报文的应答报文,并不学习其它设备主动向Gateway发送的ARP报文,这样可以防止Gateway因学习大量ARP报文而导致ARP表项资源被无效的ARP条目耗尽。
•部署ARP表项限制功能后,Gateway会对各个接口学习动态ARP表项的数目进行限制。当指定接口下的动态ARP表项达到允许学习的最大数目后,将不允许新增动态ARP表项,这样可以防止一个接口所接入的某一用户主机发起ARP攻击而导致整个设备的ARP表资源都被耗尽。
防ARP欺骗攻击
局域网中UserA、UserB、UserC等用户通过Switch接入连接到Gateway访问Internet。
正常情况下,UserA、UserB、UserC上线之后,通过相互之间交互ARP报文,UserA、UserB、UserC和Gateway上都会创建相应的ARP表项。此时,如果有攻击者通过在广播域内发送伪造的ARP报文,篡改Gateway或者UserA、UserB、UserC上的ARP表项,攻击者可以轻而易举地窃取UserA、UserB、UserC的信息或者阻碍UserA、UserB、UserC正常访问网络。
为了避免上述危害,可以在网关设备上部署防ARP欺骗攻击功能,包括ARP表项固化功能、ARP表项严格学习功能、发送免费ARP报文等功能。
• 部署ARP表项固化功能后,Gateway在第一次学习到ARP之后,不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息,或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认,这样可以防止攻击者伪造ARP报文修改网关上其他用户的ARP表项。
• 部署ARP表项严格学习功能后,Gateway仅仅学习自己向UserA、UserB或UserC发送的ARP请求报文的应答报文,不学习攻击者主动向Gateway发送的ARP报文,并且不允许攻击者主动发送的ARP报文更新Gateway上现有的ARP条目,这样可以防止攻击者冒充其他用户修改网关上对应的ARP表项。
• 部署发送免费ARP报文功能后,Gateway主动向用户发送以自己IP地址为目标IP地址的ARP请求报文,定时更新用户ARP表项的网关MAC地址,这样可以防止用户的报文不能正常的转发到网关或者被恶意攻击者窃听。