一、 ARP ***原理:
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。
ARP***就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,***者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人***。
ARP***主要是存在于局域网网络中,局域网中若有一台计算机感染ARP***,则感染该ARP***的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
***者向电脑A发送一个伪造的ARP响应,告诉电脑A:电脑B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03,电脑A信以为真,将这个对应关系写入自己的ARP缓存表中,以后发送数据时,将本应该发往电脑B的数据发送给了***者。同样的,***者向电脑B也发送一个伪造的ARP响应,告诉电脑B:电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,电脑B也会将数据发送给***者。
至此***者就控制了电脑A和电脑B之间的流量,他可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。
为了解决ARP***问题,可以在网络中的交换机上配置802.1x协议。
IEEE 802.1x是基于端口的访问控制协议,它对连接到交换机的用户进行认证和授权。在交换机上配置802.1x协议后,***者在连接交换机时需要进行身份认证(结合MAC、端口、帐户、VLAN和密码等),只有通过认证后才能向网络发送数据。***者未通过认证就不能向网络发送伪造的ARP报文。
二、***演化
初期:ARP欺骗
这种有目的的发布错误ARP广播包的行为,被称为ARP欺骗。ARP欺骗,最初为***所用,成为***窃取网络数据的主要手段。***通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成别人的电脑,这样原本发往其他电脑的数据,就发到了***的电脑上,达到窃取数据的目的。
中期:ARP恶意***
后来,有人利用这一原理,制作了一些所谓的“管理软件”,例如网络剪刀手、执法官、终结者等,这样就导致了ARP恶意***的泛滥。往往使用这种软件的人,以恶意破坏为目的,多是为了让别人断线,逞一时之快。
特别是在网吧中,或者因为商业竞争的目的、或者因为个人无聊泄愤,造成恶意ARP***泛滥。
随着网吧经营者摸索出禁用这些特定软件的方法,这股风潮也就渐渐平息下去了。
现在:综合的ARP***
最近这一波ARP***潮,其目的、方式多样化,冲击力度、影响力也比前两个阶段大很多。
首先是病毒加入了ARP***的行列。以前的病毒***网络以广域网为主,最有效的***方式是DDOS***。但是随着防范能力的提高,病毒制造者将目光投向局域网,开始尝试ARP***,例如最近流行的威金病毒,ARP***是其使用的***手段之一。
相对病毒而言,盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗,同时又会影响到其他电脑上网。
三、遭受***:
ARP欺骗***的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗***只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该***发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是***的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
基于ARP协议的这一工作特性,***向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP***的计算机会出现两种现象:
1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。
2.计算机不能正常上网,出现网络中断的症状。
因为这种***是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种***。
四、DAI技术:
ARP防范在全部是Cisco交换网络里,可以通过绑定每台设备的ip和mac地址可以解决.但是这样做比较麻烦,可以用思科 Dynamic ARP Inspection 机制解决.
思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定, 并动态建立绑定关系.
DAI 以 DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现.
DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭.通过DAI可以控制某个端口的ARP请求报文数量.
通过这些技术可以防范"中间人"***.
五、DAI部署:
switch(config)#ip dhcp snooping vlan 7
switch(config)#ip dhcp snooping information option /默认
switch(config)#ip dhcp snooping
switch(config)#ip arp inspection vlan 7
/ 定义对哪些 VLAN 进行 ARP 报文检测
switch(config)#ip arp inspection validate src-mac dst-mac ip
/对源,目mac和ip地址进行检查
switch(config-if)#ip dhcp snooping limit rate 10
switch(config-if)#ip arp inspection limit rate 15 / 定义接口每秒 ARP 报文数量
switch(config-if)#ip arp inspection trust /*信任的接口不检查arp报文,默认是检测
六、实施DAI后的效果:
在配置 DAI技术的接口上,如果没有进行静态绑定,用户端不能采用指定静态地址的方式将接入网络。
由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人***,***工具失效。
下表为实施中间人***是交换机的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16,
vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
由于对 ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,
交换机马上报警或直接切断扫描机器。如下表所示:
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. **报警
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state **切断端口
I49-4500-1#.....sh int f.5/30
FastEthernet5/30 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
I49-4500-1#......
用户获取 IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的报警:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30,
vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])。
原文地址:http://blog.51cto.com/ligtt/2311911