如何通過動態(tài)ARP檢測中間人攻擊

中間人攻擊對于企業(yè)來說是一種相當(dāng)頭疼的攻擊方式，通過截獲和偽裝企業(yè)之間的通訊數(shù)據(jù)，可以達(dá)到偽裝成數(shù)據(jù)發(fā)送方的目的。其間很多企業(yè)的敏感數(shù)據(jù)都面臨著被泄露的危機(jī)，那么ARP協(xié)議作為一柄雙刃劍，我們就利用其優(yōu)勢方面，通過動態(tài)ARP檢測和防止中間人攻擊。

一、中間人攻擊案例模擬　

有三臺終端同時連接到同一個工作組交換機(jī)中。(實際情況可能會有更多的終端，為了簡單起見，筆者以三個終端為例)。此時如果主機(jī)A需要訪問主機(jī)B(第一次訪問時只知道對方的IP地址而不知道MAC地址)，就需要先發(fā)送一個ARP請求。向各臺主機(jī)詢問，IP地址為多少的主機(jī)其MAC地址為多少，并會附上主機(jī)A的MAC地址。這個ARP請求會以廣播的形式在網(wǎng)絡(luò)中傳播，即網(wǎng)絡(luò)中的每一臺客戶端都將受到這個信息。正常情況下，除了B以外的不相關(guān)的主機(jī)都會丟棄這個數(shù)據(jù)包。而只有主機(jī)B接收到這個請求后，才會進(jìn)行響應(yīng)。主機(jī)B首先會在自己的ARP緩存中創(chuàng)建主機(jī)A IP地址與MAC地址的相關(guān)記錄(如果已經(jīng)存在這個IP地址，則會進(jìn)行更新)，并向主機(jī)A發(fā)送ARP響應(yīng)。此時的ARP響應(yīng)是一個單播數(shù)據(jù)包，即直接發(fā)送給主機(jī)A，而不是以廣播的形式發(fā)送。

以上是一個比較正常的ARP處理流程。但是在這個處理的過程中，如果沒有采取恰當(dāng)?shù)陌踩�措施，則很可能會引發(fā)中間人攻擊。如上圖所示，如果終端設(shè)備C在收到主機(jī)A發(fā)送的ARP請求之后，沒有拋棄這個數(shù)據(jù)包，而是發(fā)送了偽造的ARP響應(yīng)(將自己的MAC地址替代主機(jī)B的MAC地址)，其就可以發(fā)起中間人攻擊。在接收到主機(jī)C的ARP響應(yīng)之后，主機(jī)A將不能夠擁有主機(jī)B的正確MAC地址與IP地址。對于主機(jī)A來說，它就會錯誤的認(rèn)為主機(jī)C就是其要發(fā)送數(shù)據(jù)的對象。從而將數(shù)據(jù)直接發(fā)送給主機(jī)C。此時對于主機(jī)A和主機(jī)B之間的任何通信，就會被發(fā)送到主機(jī)C上。然后主機(jī)C在獲取相關(guān)的內(nèi)容之后，可能進(jìn)行流量的重定向。在這個過程中，主機(jī)C就被稱為中間人。這個過程就被稱為中間人攻擊。

二、通過動態(tài)ARP檢測來防止中間人攻擊

為了有效防止中間人攻擊，在思科的網(wǎng)絡(luò)產(chǎn)品中設(shè)計了動態(tài)ARP檢測。其原理比較簡單，就是交換機(jī)的相關(guān)端口會自動檢測ARP數(shù)據(jù)包來自于正確的端口，并且沒有被攻擊者所更改或者欺騙。這個原理說起來簡單，其實要實現(xiàn)起來需要經(jīng)過許多的技術(shù)處理。通常情況下，通過DHCP監(jiān)聽綁定表，交換機(jī)能夠確定正確的端口。如果交換機(jī)能夠數(shù)據(jù)來自錯誤的端口，則會自動拋棄這個數(shù)據(jù)包，并會將相關(guān)的信息記錄在案。而且還會將違規(guī)端口設(shè)置為err-disable狀態(tài)，攻擊者將不能夠?qū)�網(wǎng)絡(luò)進(jìn)行進(jìn)一步的破壞工作。

如果要在這個環(huán)境中啟用動態(tài)ARP檢測技術(shù)，需要執(zhí)行如下幾個步驟。

第一步是需要在各個交換機(jī)端口上啟用DHCP監(jiān)聽。如上所示，動態(tài)ARP檢測需要判斷數(shù)據(jù)的端口是否來自合法的端口。而要檢測這個內(nèi)容的話，必須要有DHCP監(jiān)聽綁定表。而這個表則是有DHCP監(jiān)聽程序創(chuàng)建的。這里需要注意，要在交換機(jī)所有的接口上啟用這個監(jiān)聽服務(wù)。否則的話，就可能會出現(xiàn)問題。

第二步是比較關(guān)鍵，是需要將交換機(jī)間的連接配置為DAI(動態(tài)ARP檢測)信任端口。在上面舉例子的時候，筆者為了簡單起見，只畫了一個工作組交換機(jī)。而在實際工作中，企業(yè)往往是有多個交換機(jī)共同組成一個網(wǎng)絡(luò)。此時如果讓多個交換機(jī)之間也能夠啟用動態(tài)ARP檢測功能呢?其需要做的配置，就是將交換機(jī)之間的鏈路配置為DAI信任端口�？梢允褂妹�令ip arp inspection trust來實現(xiàn)。

當(dāng)啟用了動態(tài)ARP檢測功能，如果再發(fā)生中間人攻擊事件的話，交換機(jī)會如何應(yīng)對呢?如上圖所示，當(dāng)攻擊者C連接到工作組交換機(jī)，并且試圖發(fā)送虛假的ARP響應(yīng)時，交換機(jī)會根據(jù)DHCP監(jiān)聽綁定表檢測到這種攻擊行為，并會丟棄這個ARP數(shù)據(jù)包。然后交換機(jī)會將這個攻擊者C所連接的端口設(shè)置為err-disable狀態(tài)，并向管理員發(fā)出警報。

當(dāng)啟用了動態(tài)ARP檢測的時候，需要注意其誤診斷的情況。如上圖所示，如果中間人C其不是直接連接在工作組交換機(jī)上。而是連接在一個集線器上。然后再通過這個集線器連接到交換機(jī)。此時當(dāng)其發(fā)出中間者攻擊時，交換機(jī)會將這個接口關(guān)閉掉。此時連接在這個接口上的所有主機(jī)都將無法與網(wǎng)絡(luò)進(jìn)行通信。這個“一人有罪，全家受罰”的辦法，往往會涉及到無辜。網(wǎng)絡(luò)管理員在啟用這個功能時，需要考慮到這個負(fù)面作用。在后續(xù)排除故障的時候，也會有參考的價值。

三、動態(tài)ARP檢測在其他方面的作用

ARP動態(tài)檢測功能在防止中間人攻擊方面有比較特殊的表現(xiàn)。但是其功能還遠(yuǎn)遠(yuǎn)不止這個方面。如ARP動態(tài)檢測功能還可以實現(xiàn)ARP抑制。即限制入站ARP數(shù)據(jù)包的速率。如果當(dāng)ARP數(shù)據(jù)包的速率達(dá)到一個指定的數(shù)值之后，此時可能網(wǎng)絡(luò)中存在著ARP攻擊。在這種情況下，交換機(jī)會自動將這個接口設(shè)置為disable狀態(tài)。要啟用ARP抑制功能，需要在交換機(jī)中進(jìn)行額外的配置。如可以通過如下命令來實現(xiàn)：ip arp inspection limit rate (ARP數(shù)據(jù)包速率)。執(zhí)行這個配置并不難，其難點在于如何確定這個速率。如果速率設(shè)置的比較高，那么起不到ARP抑制的功能。相反，如果設(shè)置的比較低的話，又可能會影響到網(wǎng)絡(luò)的正常使用。

四、動態(tài)ARP檢測需要使用的相關(guān)技術(shù)

從以上的分析中可以看出，動態(tài)ARP檢測并不是一門獨立的技術(shù)，其必須要有其他的技術(shù)的幫助才能夠?qū)崿F(xiàn)。故筆者更喜歡將其稱為一個技術(shù)的組合。如需要啟用DHCP監(jiān)聽程序才能夠幫助交換機(jī)判斷數(shù)據(jù)來源接口的合法性等等。當(dāng)啟用ARP檢測技術(shù)的時候，交換機(jī)會自動判斷是否啟用了一些必須的輔助技術(shù)。如果沒有啟用的話，交換機(jī)會報錯，并終止用戶的請求。所以在配置這個功能的時候，網(wǎng)絡(luò)管理員還需要了解其他與之關(guān)聯(lián)的技術(shù)。特別是需要了解其實現(xiàn)的一些前提條件，即需要先啟用哪些技術(shù)。

在實際工作中，如像用戶介紹或者培訓(xùn)過程中，筆者將動態(tài)ARP檢測技術(shù)當(dāng)作一個安全的解決方案(幾種技術(shù)的組合)，而不是一門單獨的技術(shù)。這無論是在學(xué)習(xí)還是在配置中都需要引起重視。筆者再強(qiáng)調(diào)一次，動態(tài)ARP檢測是一種結(jié)合DHCP監(jiān)聽技術(shù)、IPSG技術(shù)等等的安全方案，其主要用來解決跟ARP攻擊相關(guān)的安全問題。它能夠有效保護(hù)多層交換網(wǎng)絡(luò)中接入層的ARP攻擊，如ARP中間人攻擊、ARP欺騙、ARP擴(kuò)散攻擊，實現(xiàn)ARP抑制等等。當(dāng)然在實現(xiàn)的過程中，也會存在一些負(fù)面作用。其最大的負(fù)面影響就是會使得連接在同一個接口上的其他無辜用戶遭受到損失。在設(shè)計與部署動態(tài)ARP檢測功能的時候，需要考慮到這個問題。如當(dāng)連接到某個接口的終端出現(xiàn)網(wǎng)絡(luò)故障，而其他接口運作正常時，就需要考慮到是否是這個原因所造成的。
 

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]