ARP***和DAI
一、 ARP ***原理:
ARP(Address Resolution Protocol,地址解析協議)是一個位於TCP/IP協議棧中的網絡層,負責將某個IP地址解析成對應的MAC地址。
ARP***就是通過僞造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,***者只要持續不斷的發出僞造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人***。
ARP***主要是存在於局域網網絡中,局域網中若有一臺計算機感染ARP***,則感染該ARP***的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。
***者向電腦A發送一個僞造的ARP響應,告訴電腦A:電腦B的IP地址192.168.0.2對應的MAC地址是00-aa-00-62-c6-03,電腦A信以爲真,將這個對應關係寫入自己的ARP緩存表中,以後發送數據時,將本應該發往電腦B的數據發送給了***者。同樣的,***者向電腦B也發送一個僞造的ARP響應,告訴電腦B:電腦A的IP地址192.168.0.1對應的MAC地址是00-aa-00-62-c6-03,電腦B也會將數據發送給***者。
至此***者就控制了電腦A和電腦B之間的流量,他可以選擇被動地監測流量,獲取密碼和其他涉密信息,也可以僞造數據,改變電腦A和電腦B之間的通信內容。
爲了解決ARP***問題,可以在網絡中的交換機上配置802.1x協議。
IEEE 802.1x是基於端口的訪問控制協議,它對連接到交換機的用戶進行認證和授權。在交換機上配置802.1x協議後,***者在連接交換機時需要進行身份認證(結合MAC、端口、帳戶、VLAN和密碼等),只有通過認證後才能向網絡發送數據。***者未通過認證就不能向網絡發送僞造的ARP報文。
二、***演化
初期:ARP欺騙
這種有目的的發佈錯誤ARP廣播包的行爲,被稱爲ARP欺騙。ARP欺騙,最初爲***所用,成爲***竊取網絡數據的主要手段。***通過發佈錯誤的ARP廣播包,阻斷正常通信,並將自己所用的電腦僞裝成別人的電腦,這樣原本發往其他電腦的數據,就發到了***的電腦上,達到竊取數據的目的。
中期:ARP惡意***
後來,有人利用這一原理,製作了一些所謂的“管理軟件”,例如網絡剪刀手、執法官、終結者等,這樣就導致了ARP惡意***的泛濫。往往使用這種軟件的人,以惡意破壞爲目的,多是爲了讓別人斷線,逞一時之快。
特別是在網吧中,或者因爲商業競爭的目的、或者因爲個人無聊泄憤,造成惡意ARP***氾濫。
隨着網吧經營者摸索出禁用這些特定軟件的方法,這股風潮也就漸漸平息下去了。
現在:綜合的ARP***
最近這一波ARP***潮,其目的、方式多樣化,衝擊力度、影響力也比前兩個階段大很多。
首先是病毒加入了ARP***的行列。以前的病毒***網絡以廣域網爲主,最有效的***方式是DDOS***。但是隨着防範能力的提高,病毒製造者將目光投向局域網,開始嘗試ARP***,例如最近流行的威金病毒,ARP***是其使用的***手段之一。
相對病毒而言,盜號程序對網吧運營的困惑更大。盜號程序是爲了竊取用戶帳號密碼數據而進行ARP欺騙,同時又會影響到其他電腦上網。
三、遭受***:
ARP欺騙***的中毒現象表現爲:使用局域網時會突然掉線,過一段時間後又會恢復正常。比如客戶端狀態頻頻變紅,用戶頻繁斷網,IE瀏覽器頻繁出錯,以及一些常用軟件出現故障等。如果局域網中是通過身份認證上網的,會突然出現可認證,但不能上網的現象(無法ping通網關),重啓機器或在MS-DOS窗口下運行命令arp -d後,又可恢復上網。
ARP欺騙***只需成功感染一臺電腦,就可能導致整個局域網都無法上網,嚴重的甚至可能帶來整個網絡的癱瘓。該***發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外,還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡遊戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是***的慣用伎倆,給用戶造成了很大的不便和巨大的經濟損失。
基於ARP協議的這一工作特性,***向對方計算機不斷髮送有欺詐性質的ARP數據包,數據包內包含有與當前設備重複的Mac地址,使對方在迴應報文時,由於簡單的地址重複錯誤而導致不能進行正常的網絡通信。一般情況下,受到ARP***的計算機會出現兩種現象:
1.不斷彈出“本機的0-255段硬件地址與網絡中的0-255段地址衝突”的對話框。
2.計算機不能正常上網,出現網絡中斷的症狀。
因爲這種***是利用ARP請求報文進行“欺騙”的,所以防火牆會誤以爲是正常的請求數據包,不予攔截。因此普通的防火牆很難抵擋這種***。
四、DAI技術:
ARP防範在全部是Cisco交換網絡裏,可以通過綁定每臺設備的ip和mac地址可以解決.但是這樣做比較麻煩,可以用思科 Dynamic ARP Inspection 機制解決.
思科 Dynamic ARP Inspection (DAI)在交換機上提供IP地址和MAC地址的綁定, 並動態建立綁定關係.
DAI 以 DHCP Snooping綁定表爲基礎,對於沒有使用DHCP的服務器個別機器可以採用靜態添加ARP access-list實現.
DAI配置針對VLAN,對於同一VLAN內的接口可以開啓DAI也可以關閉.通過DAI可以控制某個端口的ARP請求報文數量.
通過這些技術可以防範"中間人"***.
五、DAI部署:
switch(config)#ip dhcp snooping vlan 7
switch(config)#ip dhcp snooping information option /默認
switch(config)#ip dhcp snooping
switch(config)#ip arp inspection vlan 7
/ 定義對哪些 VLAN 進行 ARP 報文檢測
switch(config)#ip arp inspection validate src-mac dst-mac ip
/對源,目mac和ip地址進行檢查
switch(config-if)#ip dhcp snooping limit rate 10
switch(config-if)#ip arp inspection limit rate 15 / 定義接口每秒 ARP 報文數量
switch(config-if)#ip arp inspection trust /*信任的接口不檢查arp報文,默認是檢測
六、實施DAI後的效果:
在配置 DAI技術的接口上,如果沒有進行靜態綁定,用戶端不能採用指定靜態地址的方式將接入網絡。
由於 DAI檢查 DHCP snooping綁定表中的IP和MAC對應關係,無法實施中間人***,***工具失效。
下表爲實施中間人***是交換機的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16,
vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
由於對 ARP請求報文做了速度限制,客戶端無法進行認爲或者病毒進行的IP掃描、探測等行爲,如果發生這些行爲,
交換機馬上報警或直接切斷掃描機器。如下表所示:
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. **報警
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state **切斷端口
I49-4500-1#.....sh int f.5/30
FastEthernet5/30 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
I49-4500-1#......
用戶獲取 IP地址後,用戶不能修改IP或MAC,如果用戶同時修改IP和MAC必須是網絡內部合法的IP和MAC纔可,對於這種修改可以使用下面講到的 IP Source Guard技術來防範。下表爲手動指定IP的報警:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30,
vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])。