局域网安全之ARP问题.ppt

《局域网安全之ARP问题.ppt》由会员分享，可在线阅读，更多相关《局域网安全之ARP问题.ppt（67页珍藏版）》请在三一办公上搜索。

1、,局域网安全之ARP问题,课程内容,ARP流程回顾,常见问题,解决方案,实验与练习,小结,ARP流程回顾,ARP流程,ARP流程回顾,ARP流程（续）关于ARP的处理流程，请参阅初级教材的以太网基础内容ARP协议在设计的时候欠缺安全因素，体现在：1、ARP的请求报文使用广播形式，导致无关的主机也能获取到ARP信息；同时也给局域网通信造成了不必要的压力2、在收到ARP报文后，进行“无条件”更新；没有必要的认证、或其他身份合法性确认机制3、真正合法的ARP信息缺乏必要的更新维持机制,ARP流程回顾,常见ARP问题我们经常会听到用户或者网管人员反应：网速好慢啊怎么又断线啦？我的机器没有中毒，但是QQ

2、号码被盗了，怎么一回事？很多这种看似无关的问题，根源都与ARP有联系,课程内容,ARP流程回顾,常见问题,解决方案,实验与练习,小结,常见问题,正常的ARP请求要解释清楚原因，还是要先理解ARP的工作原理。这里我们结合实际案例来解释：,常见问题,正常的ARP请求（续）假设PC1要通过GW访问internet，首先要请求/学习GW的MAC地址 PC1通过以太网广播发送ARP req，其中Sender IP/MAC就是PC1的的真实信息，而Target IP就是GW的地址即，Target MAC为全0 GW收到之后会单播返回一个ARP response，其中的Sender MAC就是00-e0-0

3、f-09-09-09，也就是PC要学习的内容 在这个过程中，PC1和GW会相互缓冲对方的ARP信息，以备后用；ARP的更新只是通过被动接收ARP信息，而不是主动请求，除非相应的缓冲条目超时失效,常见问题,ARP欺骗在这个例子中，假如PC4想冒充GW，怎么做呢？由于PC1的ARP req是广播，所以PC4也能收到 PC4单播一个ARP response报文给PC1，但，Sender MAC=00-e0-0f-04-04-04 PC1 先后收到两个ARP response，但无法/不会判断孰真孰假；同时，PC1会把最后收到的response报文看作是前者的更新 如果PC4故意设置一个时间延迟返回A

4、RP response，那么PC1学习到的关于GW的MAC地址，将必然是错误的,常见问题,ARP欺骗（续）这样，PC1访问internet的数据全部会被局域网交换机转发到PC4上（想想看为什么？）如果PC4没有任何后续操作那么PC1就无法上网了如果PC4通过“代理”功能，把接收到的数据再转发到真正的网关GW，那么PC1等被欺骗者还是能够上网，但不同的是，所有的数据都被PC4“监控”和“过滤”了,常见问题,ARP欺骗的影响由于ARP机制的不安全，导致PC主机的ARP缓冲信息很容易被其他设备串改。因而，用户访问公网internet的数据流会经过第三方，会被监控/窥视ARP欺骗时，通常会影响局域网中

5、所有的主机，导致整个局域网的数据流全部都经过PC4，如果PC4的处理能力不是很强的话，它就成为了网络的性能瓶颈，用户上网的速度必然很慢，“很卡”了通常ARP欺骗者所关注的是用户的账号、密码之类的有价值信息，而这些信息通常只在网络刚刚连通之后；为了可以制造这个环境，它通常会故意瞬间中断网络，这是完全可以做到的，因为ARP欺骗者是“串接”在网络中的。,常见问题,ARP欺骗的影响（续）发生网络瞬间中断时，一般用户通常只会怀疑路由器、交换机是否有问题，而不会怀疑PC的。所以很多宽带路由器为此没少背黑锅瞬断后，用户除了骂娘之外，通常是重新登录相关的服务，其中的账号等敏感信息正式ARP欺骗者所关心的我们关

6、心的并不是欺骗者如何获取各种敏感信息，而是如何让ARP欺骗不成功；为了实现这一点，我们首先要了解有哪些ARP欺骗方式,常见问题,ARP欺骗的种类根据前文的流程图，ARP Req和Response报文都可以轻易更新对方的ARP表项；而且欺骗者不必等待Req请求报文，可以直接发送req/response报文去更新对方这样的ARP报文成为免费ARP由于通讯是双向的，所以欺骗者只要改变任何一方的ARP信息，就可以改变以太网数据的流向，从而达到其欺骗和敏感信息盗取的目的在标准ARP学习过程中，Req是广播发送的，而Reponse报文是单播的，免费ARP是不是也必须遵循这样的规律呢？我们来详细介绍一下：,

7、常见问题,ARP欺骗可能性分析一、针对多个PC的欺骗，用ARP req报文使用ARP Req报文来更新对方的ARP表项缓冲信息，必要条件是Dst.IP地址与被欺骗者的IP相同，如果存在多个用户主机（IP地址显然不同），首先必须要得到这些主机的IP地址集合，有两种方法：1、穷举本网IP地址，对每个IP进行ARP req扫描（广播）。但这种情况下，每个主机都是前后收到大量的ARP广播，而且都是从同一个源发出的，这比较容易暴露欺骗者自己,常见问题,ARP欺骗可能性分析（续）2、先通过ping等程序探知存在的IP地址结合，然后有针对性的发送ARP req扫描（单播）。虽然开始探测的ping之前，也会有

8、大量ARP req正常广播，但之后的ARP欺骗报文就全是单播了，有助于在后期实时更新，维持欺骗状态比较而言，后者在欺骗过程中发送的报文数量较少，而且是单播报文，所以隐蔽性更强，实际环境中也更多的被采用。,常见问题,ARP欺骗可能性分析（续）二、针对多个PC的欺骗，用ARP response报文使用ARP response报文可以直接更新对方的ARP表项缓冲，不必满足Dst.IP地址与被欺骗者的IP相同，也就是说，欺骗所有PC的时候，只要用一种ARP response报文即可，理论上有两种方法：1、直接使用广播将ARP信息主动response给本网，虽然是广播报文，但一次即可搞定。2、使用单播报

9、文逐个发送。一般很少有人这么实现，先要穷举/探测所有主机的地址不说，ARP response报文的数量也会成倍增加，而且结果是完全一样的,常见问题,ARP欺骗可能性分析（续）使用ARP Req和Response报文的比较使用ARP req报文来欺骗，好处是在实现欺骗目的的同时，还可以清楚的知道本网中实时存在的主机的集合；但缺点是需要给每个主机单独发送ARP报文，数据量大，对系统处理能力要求高，还相对容易被发现如果使用ARP response报文来欺骗，好处是只要通过一个广播即可实现目的，非常高效；但对于本网中实时的主机信息则无法了解,常见问题,ARP欺骗可能性分析（续）三、针对GW的欺骗通常一

10、个局域网的网关设备只有一个，这里也只讨论这种情况。对于单个目标设备，使用单播和广播就基本等效了，而且使用单播报文会更好；同时，使用ARP req还是response报文也差不多了（想想看，为什么？）,常见问题,ARP欺骗可能性分析（续）不同的地方在于，欺骗者需要分别冒充每一个局域网PC去给GW设备发送ARP干扰报文。同样有两种方法：1、穷举本网段所有的IP地址，分别以它们的身份向GW发送ARP欺骗信息2、先通过ping等手段得知所有的有效主机列表，然后分别以它们的身份向GW发送ARP欺骗报文这两种方法都可以，实现起来两者的难度相当，但前者会在网关设备的ARP表中留下很多不存在主机的ARP多数情

11、况下，欺骗者会采用第二种方式,常见问题,ARP欺骗可能性分析（续）ARP欺骗的“可靠性”ARP欺骗者通过种种途径，实现了目的之后，如何防止使用者把ARP信息恢复呢？方法很简单，它们通过频繁的周期的发送ARP欺骗报文，使得用户PC或者网关的ARP信息维持在一个非正常的状态,常见问题,ARP攻击ARP Flood与ARP欺骗不同，ARP Flood通过大量有规律或者无规律的ARP报文冲击一个主机/网络，造成网络资源（CPU、带宽）的极大消耗，严重时会导致网络完全瘫痪早期的时候，这种Flood通常是由一个主机来发起攻击；但后来攻击者也改进了方法，他们通常会利用计算机系统的漏洞，同时控制一群主机同时发

12、送ARP报文，影响更加严重。这通常被成为DDoSDDoS除了使用ARP报文攻击以外，也会使用IP、ICMP等报文来攻击,课程内容,ARP流程回顾,常见问题,解决方案,实验与练习,小结,解决方案,ARP欺骗的现象要解决ARP欺骗的发生，首先应该先判断ARP欺骗的存在，它们发生时，通常会有哪些症状呢？对于网络工程师，我们看到的不应该只是“断线”“卡”“盗号”之类的表面现象，应该更深入一些无论通过何种方式实现的欺骗，我们只要知道，ARP表的正常情况是怎样的，那么通过比较，很容易就发现问题,解决方案,ARP欺骗的现象（续）对于PC，上网必须通过GW，如果PC中关于GW的ARP信息不正确，就必然出现问题

13、分别收集PC的ARP信息和GW设备的网口MAC,解决方案,ARP欺骗的现象（续）GW设备网口MAC地址，各个厂家都不太相同。BDCOM设备可以使用show interface Fn/m如果两者不同，则PC的ARP信息必然被篡改了，且arp/a中看到的MAC地址就是欺骗者的真实MAC地址有些时候只看PC的状态就可以初步判别ARP问题了，因为MAC地址的OUI段是标示厂家的,解决方案,ARP欺骗的现象（续）如果GW发生ARP欺骗，由于欺骗来源通常是少数几个，所以GW的ARP表项中会有多个IP地址对应的MAC地址相同，甚至所有的MAC全都一致。这种状况说明GW的ARP表项被篡改了而且，那个特殊的MA

14、C地址就是欺骗者（下图是正常情况）,解决方案,ARP欺骗的现象（续）思考：如果使用Wireshark/sniffer等软件在局域网中进行抓包分析，当看到哪些状况时，就可能产生ARP欺骗了？（针对PC用户）（针对GW网关）,解决方案,处理ARP欺骗处理当ARP欺骗发生后，只要比对PC和GW的ARP表项，很容易就能根据MAC地址确定欺骗者的来源。对于被欺骗者，只要清空ARP表项重新学习或者简单重启设备即可；而对于欺骗者，则需要立刻断网隔离，然后进行杀毒或者重装系统处理（ARP欺骗通常跟木马程序有关）预防处理比较简单，但预防就非常麻烦了。原因在欺骗发生之前，我们无从预知谁会以何种方式进行欺骗，而且欺

15、骗的对象也不知道,解决方案,ARP欺骗的预防措施针对ARP欺骗的若干问题，BDCOM推出了若干技术，用以缓解/预防ARP欺骗的发生 静态ARP绑定 Port-security DHCP-Snooping,解决方案,静态ARP绑定静态ARP绑定静态ARP绑定的原理非常简单：ARP不安全的的根本原因是采用了没有校验机制的动态学习，那么干脆抛弃它，使用静态设置的方式即可。路由器（通常需要绑定所有的PC）：arp,解决方案,静态ARP绑定（续）PC设置静态ARP的方法ARP s 注：普通的Windows PC设置静态ARP之后，一旦主机重启，绑定就会失效，为此应该将上述的cmd指令加入到autoexe

16、c.bat文件中。PC通常需要绑定一个网关的ARP即可，想想为什么？,解决方案,静态ARP绑定（续）使用静态ARP绑定可以从根本上预防ARP的问题，实现的原理简单，且可以避免局域网中大量因为ARP动态学习引起的广播报文这种方式的缺点也很明显：需要了解每个主机的IP、MAC对应关系每台设备都要配置N-1个ARP表项，共N(N-1)，信息量大任何主机/网卡更换时，剩余主机的ARP都需要同步更新、更改需要PC主机、GW网关之间双向绑定，缺一不可,解决方案,Port-SecurityPort-SecurityPort-Security是交换机在端口上查询所有接收报文，根据IP、MAC的组合信息来判断是

17、否复合规则，若不符合，则直接丢弃规则是可以根据实际需要来指定的该功能分为bind和block两个部分,解决方案,Port-Security（续）Port-Security BindPort-Security bind的原则是，只有符合规则的报文才可通过，其余全部丢弃，命令如下：（注：每个端口可设置多条，但有上限）switchport port-security bind mac mac.addrswitchport port-security bind ip ip.addr mac mac.addrswitchport port-security bind arp ip.addr mac ma

18、c.addrswitchport port-security bind both ip.addr mac mac.addr,解决方案,Port-Security（续）Port-Security Bind判断规则“MAC”，查看接收报文的帧头，判断其源MAC地址是否与预设的相同，只有匹配的才能通过“IP”，查看接收IP报文的帧头和IP头，判断两种源地址是否（同时）符合预设规则，。可以只判断源IP地址“ARP”，与“IP”类似，对ARP报文有效，只是源地址信息是ARP报文payload中的Sender IP和Sender MAC“Both”，“IP”“ARP”,解决方案,Port-Security

19、（续）Port-Security Bind功能应用“MAC”只允许特定的MAC地址/主机接入，通常用于控制用户的合法身份“IP”交换机端口连接主机的IP和MAC都要符合规则，就是说用户必须使用特定的PC主机、并设置特定的IP地址才能访问网络，通常用于强化用户管理。当然也可以只限制IP地址“ARP”欺骗者更新给别人的错误ARP信息，都是承载在ARP payload的（两个Sender地址），只要在每个交换机接口上绑定对应PC的正确IP和MAC对应关系，ARP欺骗报文自然就不会再发送到网络中影响其他主机了,解决方案,Port-Security（续）思考：1、连接GW网关的交换机接口，需要进行Bin

20、d吗？2、同时设定IP和ARP的bind属性，与设定Both的属性，两者的作用相同吗？,解决方案,Port-Security（续）Port-Security BlockPort-Security block的原则是，符合规则的报文被丢弃，其余全部通过，命令如下：（注：每个端口可设置多条，但有上限）switchport port-security block mac mac.addrswitchport port-security block ip ip.addr mac mac.addrswitchport port-security block arp ip.addr mac mac.add

21、rswitchport port-security block both ip.addr mac mac.addr,解决方案,Port-Security（续）Port-Security Block判断规则“MAC”，查看接收报文的帧头，判断其源MAC地址是否与预设的相同，匹配的报文将被丢弃“IP”，查看接收IP报文的帧头和IP头，判断两种源地址是否（同时）符合预设规则，。可以只判断源IP地址“ARP”，与“IP”类似，对ARP报文有效，只是源地址信息是ARP报文payload中的Sender IP和Sender MAC“Both”，“IP”“ARP”,解决方案,Port-Security（续）

22、Port-Security Block功能应用“MAC”，可以用来设置“黑名单”，指定的PC主机将不能访问网络，其余主机不受影响“IP”，与“MAC”类似，但可以通过IP和MAC两个组合信息来强化判断的条件描述。当然也可以只根据IP信息来判断，但作用不明显（为什么？）“ARP”，这个比较难定义，因为无从知道谁会发送欺骗报文，欺骗的又是谁。但一般情况下，只有PC才会发起ARP欺骗，他们通常会冒充GW来发送ARP信息，就是说无论谁发起，ARP payload中的Sender IP都是等于网关IP的，这就给Block创造了有利条件,解决方案,Port-Security（续）在使用Switchport

23、 Port-Security功能进行预防ARP时，通常需要bind和block两者配合使用。对于GW，需要防止自己关于局域网IP地址的ARP信息被篡改，这个从正面防止是比较难的。除了静态ARP绑定以外，就是在交换机每个端口上绑定ARP报文的IP和MAC关系；对于PC，需要防止自己关于GW的ARP信息被篡改，此时可以使用Block功能，在除了连接GW设备的交换机端口上，block所有Sender IP为GW的ARP报文即可，判断比较简单；有条件时，PC上一般不推荐使用静态绑定，麻烦,解决方案,DHCP-SnoopingDHCP-Snooping相比于静态ARP，Port-Security的Bin

24、d/Block功能已经进了一步，可以完全在交换机上进行操作，并达到预防ARP欺骗的目的，但操作起来还是非常麻烦，尤其是需要维护大量的IP和MAC对应关系DHCP-Snooping的就是在实现Port-Security功能的前提下，不需要人工去收集和维护IP、MAC对应关系。该功能可分为DHCPd和DHCP-Relay两部分很明显DHCP-snooping依存于DHCP而存在。,解决方案,DHCP-Snooping（续）DHCPd SnoopingDHCPd-snooping的原理比较简单：根据DHCP协议的原理，服务器在给客户端的最后一个报文DHCP Reply中，是包含有对方的IP信息和MA

25、C的，且两者都是正确的信息。DHCP过程中的这组对应关系恰恰就是“绑定”所需要而人工收集很麻烦的，能不能通过软件来自动处理并利用起来呢？答案是肯定的。,解决方案,DHCP-Snooping（续）命令语法ip dhcpd snooping arp该功能需要配置在开启了DHCPd功能的BDCOM路由器或者三层交换机上。DHCPd每次给客户端分配完地址之后，自动将对方的ARP信息写成静态的条目。,解决方案,DHCP-Snooping（续）注意：1、DHCPd-snooping不需要再额外配置Port-Security功能2、只能预防网关设备/DHCPd的ARP被欺骗，而客户端的需要另外的手段来防护（

26、想想为什么？）,解决方案,DHCP-Snooping（续）DHCP-Relay SnoopingDHCP-Relay snooping实现的原理与DHCPd snooping完全一致，只是在局域网交换机上收集这些IP、MAC对应关系，并选择进行“绑定”通过在交换机端口上的绑定，可以实现客户端PC的ARP免受欺骗，同时也防止客户端PC去欺骗其他主机/网关的ARP信息。在这一点上，其功能和Port-Security bind非常相似。,解决方案,DHCP-Snooping（续）DHCP-Relay与DHCP-Relay snooping注意，DHCP-Relay与DHCP-Relay snoopi

27、ng，两者完全没有任何直接的关联。前者是用于解决DHCP的服务器和客户端不在同一广播域中而产生的技术（请参阅DHCP章节的内容）后者只是用于区分DHCPd-Snooping而给了一个别的称谓。多数情况下，我们直接把DHCP-Relay Snooping简称为DHCP snooping，这是本节的核心内容,解决方案,DHCP-Snooping（续）DHCP snooping命令ip dhcp-relay snooping软件开关，使能DHCP snooping功能ip dhcp-relay snooping vlan 指定在某个/某些VLAN中生效ip dhcp-relay snooping d

28、b-file 将绑定关系写入到Flash种的指定文件ip dhcp-relay snooping database-agent 将绑定关系备份到外部服务器中（TFTP协议）ip dhcp-relay snooping write-time 设定绑定关系更新/写入文件的时间间隔,解决方案,DHCP-Snooping（续）以上命令仅作用于DHCP流程中的各个报文，对于ARP、其他IP报文则没有影响同时，从DHCP协议交互过程中，提取必要的正确的IP、MAC对应关系；通常这些信息都是关于Client的思考：DHCP snooping中的MAC和IP地址信息分别来自于DHCP交互过程中的哪个报文？,解

29、决方案,DHCP-Snooping（续）信任端口dhcp snooping trust该命令可以将交换机端口设置为信任/非信任端口交换机收到Serv端的DHCP报文，如果是从信任端口接收，则正常处理；如果是从非信任端口接收，则直接丢弃交换机收到Client端的DHCP报文，如果是从信任端口接收，则正常处理；如果是从非信任端口接收，则需要比对其MAC地址是否符合对应关系（如果有），符合则正常处理，不符合则丢置。,解决方案,DHCP-Snooping（续）显然，只有连接在信任端口上的DHCP Serv才能正常工作，如果接在非信任端口上，Serv是无法工作的PC（DHCP client）无论连接到信

30、任/非信任端口，都可以正常工作，交换机都会进行收集其IP、MAC地址对应关系；Client连接在信任端口时，DHCP报文正常处理；但如果连接在非信任端口，交换机需要检查其源MAC地址，即其以太网帧的源MAC与DHCP payload中的Client MAC地址是否相等，若相等，正常处理；若不等，判为DHCP欺骗，丢弃,解决方案,DHCP-Snooping（续）DHCP snooping调用DHCP snooping从DHCP协议交互过程中获取的IP、MAC对应关系，在不做更多操作的情况下，只会对DHCP报文产生影响，但对ARP、IP等比较敏感的报文则不起任何作用只有经过相应的调用之后才会起到过

31、滤作用，并以此可以实现ARP欺骗的预防、安全绑定等效果,解决方案,DHCP-Snooping（续）针对ARP报文开启ARP inspection后，交换机会判断接收的ARP报文，如果是从trust端口，则默认允许；如果是非信任端口接收的，那么必须先匹配DHCP snooping手机的IP、MAC对应关系，只有匹配的ARP报文才会放行ip arp inspection vlan 全局开启ARP inspection功能arp inspection trust指定ARP报文的信任端口,解决方案,DHCP-Snooping（续）针对IP报文开启IP Verify Source后，交换机会判断接收的I

32、P报文，如果是从trust端口，则默认允许；如果是非信任端口接收的，那么必须先匹配DHCP snooping手机的IP、MAC对应关系，只有匹配的ARP报文才会放行ip verify souce vlan 全局开启IP Verify Source功能ip-source trust指定IP报文的信任端口,解决方案,DHCP-Snooping（续）Binding的有效时间在Port-Security的ARP信息绑定中，绑定关系是永久的，而在DHCP-Snooping的“绑定”中，这个关系则不是。其有效时间取决于DHCP本身地址分配的租约时间另，如果某端口状态突然变为down，对应的绑定信息会墙纸6

33、0秒倒计时，计时结束前，如果端口恢复，则绑定信息保留，否则删除,解决方案,其他ARP欺骗预防机制Filter功能这里要介绍的Filter功能与IP/MAC ACL没有任何关系，其在生效时与IP本身的地址、端口等参数域没有关联；Filter是在宏观上统计每个主机在单位时间内发送的数据帧/包的数量来确定其工作是否正常；如果流量超出预期，就进制该用户访问网络。通常认为，一个MAC或者一个IP地址就是一个用户。,解决方案,其他ARP欺骗预防机制（续）Filter功能有些ARP欺骗发生时，会伴随着大量报文（广播）的发送，此时，通过Filter功能可以起到一定的抑制效果；但更多的，Filter功能更多的是

34、被设计用于本广播域的ARP Flood攻击的防护，或者一定程度上可以实现流量控制,解决方案,其他ARP欺骗预防机制Filter指令Filter enable开启Filter功能Filter arp/ip source-ip/dhcp 设定对哪种报文进行统计（可设定多种）,可以在端口下指定，也可以在全局指定，只是生效的范围不同。注：ARP只能在端口中指定Filter period 设定一个采样时间间隔Filter threshold 设定一个门限阀值，指帧/包的数量,解决方案,其他ARP欺骗预防机制当在采样时间内，每“用户”发送的帧/包数量超过阀值时，该“用户”将被BLOCK，无法访问任何网络资

35、源Filter block-time 用户被block的时间，默认为5分钟，最常为一天；block-time时间结束之后，用户又可以照常上网,课程内容,ARP流程回顾,常见问题,解决方案,实验与练习,小结,实验与联系,观察ARP交互过程1、PC1与Router的以太网口设置同一网段的IP地址，打开debug arp，观察两者之间ARP的交互信息，并使用show arp和arp a命令查看两者的正确ARP缓冲信息2、PC4安装“P2P终结者”，接入局域网中进行ARP欺骗。建议使用wireshark观察PC4的欺骗过程,实验与联系,防止ARP欺骗1、使用静态ARP绑定来避免PC4的欺骗，如何操作？

36、2、分别使用交换机的Port-Security Bind/Block功能进行防止ARP欺骗，如何操作？,实验与联系,防止ARP欺骗1、在交换机上运行DHCP-Relay Snooping功能，看是否可以防止ARP欺骗？！,课程内容,ARP流程回顾,常见问题,解决方案,实验与练习,小结,本章小结,小结理解ARP欺骗的原理和途径掌握几种常见的ARP欺骗预防方法,本章小结,其他不同的操作系统对于ARP的处理机制不尽相同，使用时可能会有出入，如UNIX、服务器等操作系统目前预防ARP欺骗的方法，无论在用户主机还是网络设备上，实现是比较复杂的；但在IPv6中，相关的ARP功能改由ICMPv6来实现，强化了“认证”功能，从根本上杜绝了ARP的不安全性ARP欺骗是通过免费ARP报文来实现的，但免费ARP报文能做的不仅仅是“欺骗”也能被用来实现一些使用功能，比如P2P终结者,Thank You!,