开发者社区> 技术小胖子> 正文

交换网络安全防范系列三之ARP欺骗攻击防范

简介:
+关注继续查看
3.1 MITM(Man-In-The-Middle) 攻击原理
  按照ARP协议的设计,为了减少网络上过多的ARP数据通信,一个主机,即使收到的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了“ ARP 欺骗的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都认为第三方黑客的主机MAC地址是对方的MAC地址,这样,双方看似直接的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
这里举个例子,假定同一个局域网内,有 3 台主机通过交换机相连:
主机: IP 地址为 192.168.0.1  MAC 地址为 01:01:01:01:01:01 
主机: IP 地址为 192.168.0.2  MAC 地址为 02:02:02:02:02:02 
主机: IP 地址为 192.168.0.3  MAC 地址为 03:03:03:03:03:03 
主机对 A  C 进行欺骗的前奏就是发送假的 ARP 应答包,如图所示:
在收到 B主机发来的ARP应答后,A主机应知道: 到 192.168.0.3 的数据包应该发到 MAC 地址为 020202020202 的主机; C 主机也知道:到 192.168.0.1 的数据包应该发到 MAC 地址为 020202020202 的主机。这样, A  C 都认为对方的 MAC 地址是 020202020202 ,实际上这就是 B 主机所需得到的结果。当然,因为 ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新, ARP 映射项会自动去除。所以, B 还有一个任务,那就是一直连续不断地向 A  C 发送这种虚假的 ARP 响应包,让其 ARP缓存中一直保持被毒害了的映射表项。
  现在,如果 A  C 要进行通信,实际上彼此发送的数据包都会先到达 B 主机,这时,如果 B 不做进一步处理, A  C 之间的通信就无法正常建立, B 也就达不到嗅探通信内容的目的,因此, B 要对错误收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的 MAC和源 MAC 地址进行替换。如此一来,在 A  C 看来,彼此发送的数据包都是直接到达对方的,但在 B 来看,自己担当的就是第三者的角色。这种嗅探方法,也被称作“ Man-In-The-Middle ”的方法。如图 所示。
3.2防范方法
  思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI  DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范中间人攻击。
3.3配置示例
IOS 全局命令:
ip dhcp snooping vlan 100,200
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 100,200 /* 定义对哪些 VLAN 进行 ARP 报文检测
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10
IOS 接口命令:
ip arp inspection trust /* 定义哪些接口是信任接口,通常是网络设备接口
ip arp inspection limit rate 15 (pps) /* 定义接口每秒 ARP 报文数量
对于没有使用 DHCP 设备可以采用下面办法:
arp access-list static-arp
permit ip host 10.66.227.5 mac host 0009.6b88.d387
ip arp inspection filter static-arp vlan 201
3.4配置DAI后的效果:
• 在配置 DAI技术的接口上,用户端只能采用指定地址接入网络。
• 由于 DAI检查 DHCP snooping绑定表中的IPMAC对应关系,无法实施中间人攻击,攻击工具失效。下表为实施中间人攻击是交换机的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
• 由于对 ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。如下表所示:
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******报警
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state ******切断端口
I49-4500-1#.....sh int f.5/30
FastEthernet5/30 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
I49-4500-1#......
• 用户获取 IP地址后,用户不能修改IPMAC,如果用户同时修改IPMAC必须是网络内部合法的IPMAC才可,对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的报警:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30, vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])


    本文转自hexianguo 51CTO博客,原文链接:http://blog.51cto.com/xghe110/90869,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
墨者安全报告分析:2019年1月国内网络攻击数据报告
通过墨者安全网络攻击监测数据显示:2019年1月,国内感染网络病毒的终端数为近75万个。其中,近51万个IP地址对应的主机被木马或僵尸程序控制,与上月的近54万个相比下降5.0%。下面是详细的网络攻击监测数据报告:
1543 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
30120 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
21205 0
2009年六大网络安全威胁:SQL注入攻击位列榜首
据国外媒体报道,IT安全与控制公司Sophos日前发布2009年网络安全威胁报告称,自20年前世界上第一个蠕虫病毒出现以来,网页成为网络罪犯进行攻击的主要途径,每4.5秒便会发现一个新的被病毒感染网页。
956 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
23629 0
21114
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载