一、ARP工作機制
ARP協議是以太網等數據鏈路層的基礎協議,負責完成IP地址到硬件地址的映射。
工作過程如下:
(1) 當主機或者網絡設備需要解析一個IP地址對應的MAC地址時,會廣播發送ARP請求報文。
(2) 主機或者網絡設備接收到ARP請求後會進行應答。同時,根據請求發送者的IP地址和MAC地址的對應關係建立ARP表項。
(3) 發起請求的主機或者網絡設備接收到應答後,同樣會將應答報文中發送者的IP地址和MAC地址的映射關係記錄下來,生成ARP表項。
二、ARP***類型介紹
ARP***方式有如下幾種:仿冒網關***、仿冒用戶***、洪泛***。
2.1 仿冒網關***
***者仿冒網關向被***主機發送僞造的網關ARP報文(聲稱自己是網絡中的網關),導致被***主機的ARP表中記錄了錯誤的網關映射關係,從而被***的主機發出的數據都發向***者,而不是網關。這樣,***者可以截獲被***主機發出的所有數據報文。
2.2 仿冒用戶***
2.2.1 欺騙網關
***者僞造被***者向網關發送僞造的ARP報文,導致網關的ARP表中記錄了錯誤的主機(被***者)地址映射關係。從而,正常的數據報文不能正確地被被***者接收。
2.2.2 欺騙用戶
同一衝突域內的主機A、B、C,主機A(***者)仿冒主機B向主機C發送了僞造的ARP報文,導致主機C的ARP表中記錄了錯誤的主機B地址映射關係,從而正常的數據報文不能正確地被主機B接收。
2.3 ARP洪泛***
***者通過僞造大量源IP地址變化的ARP報文,使被***設備ARP表溢出,合法用戶的ARP報文不能生成有效的ARP表項,導致正常通信中斷。
三、ARP***防範
3.1 接入設備***防範
如上節ARP***類型所述,接入設備可能受到的ARP***類型可以分爲仿冒網關、仿冒用戶和洪泛***。其中針對仿冒網關可以採用ARP Detection、ARP過濾保護、ARP網關保護功能;針對仿冒用戶***可以採用ARP Detection、ARP過濾保護功能。而對於ARP洪泛***,可以採用ARP報文限速功能。下面,針對這些功能逐一進行簡單介紹。
3.1.1 ARP Detection功能和ARP過濾保護
這兩個功能的原理類似,都是對接收到的ARP報文進行合法性和有效性檢查。若報文合法/有效,則轉發報文。否則,直接丟棄報文。這兩者所不同的是ARP Detection功能針對VLAN內的所有端口檢查,而ARP過濾保護則只針對單個指定端口。
3.1.2 ARP網關保護功能
在設備不與網關相連的端口上配置此功能,可以防止仿冒網關***。其原理同3.1.1所述——對端口接收到的報文根據所設置的規則檢查合法性/有效性。
3.1.3 ARP報文限速功能
ARP報文限速功能是指對上送CPU的ARP報文進行限速,可以防止大量ARP報文對CPU進行衝擊。所以,可以防止ARP報文洪泛***。
3.2 網關設備***防範
針對網關設備的***一方面通過合法方式建立正確地ARP表項,並阻止***者修改(授權ARP功能、ARP自動掃描和固化功能、配置靜態ARP表項);另一方面,在動態學習ARP表項前進行確認,保證學習到的是真實、正確地映射關係(ARP主動確認功能、ARP報文源MAC一致性檢查功能)。針對,ARP洪泛***網關,可以使用源MAC地址固定的ARP***檢測功能、限制接口學習動態ARP表項最大數目。