arp欺骗原理和防护办法.doc

一、ARP协议简介ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，同时对上层（网络层）提供服务。IP数据包在局域网中传输，网络设备并不识别32位IP地址，它们是以48位以太网地址传输数据包，这个以太网地址就是通俗说的网卡地址或者MAC地址。因此，必须把IP目的地址转换成MAC目的地址。在局域网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。它就是通过ARP协议（地址解析协议）获得的。1.1 ARP的数据包结构ARP的数据结构如图所示：硬件类型（Hardware type）协议类型（Protocol type）硬件地址长度（Hlen）协议长度（Plen）操作类型（operation）发送方硬件地址（Sender hardware address）发送方协议地址（Sender protocol address）目标硬件地址（Target hardware address）目标协议地址（Target protocol address）具体的描述如下：u 硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1；u 协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）；u 硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度；u 操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2；u 发送方的硬件地址：源主机硬件地址；u 发送方协议地址：源主机IP地址；u 目的硬件地址：目的主机硬件地址；u 目的协议地址：目的主机的IP地址。1.2 ARP的工作原理ARP协议的目的：在同一个网段当中，解释目标主机的MAC地址，并为下一步的与目标IP地址通信做好准备。阶段A:由于计算机A不知道计算机B的MAC地址，它会发送一个ARP请求(request)的广播包，要求解释计算机B的MAC地址。同时它含包含着计算机A的IP地址和MAC地址。对ARP请求包进行抓包操作，正常的ARP请求包格式如下：阶段B:计算机B接到该广播包后，取出A的IP地址和MAC地址,将其添加到本计算机的高速缓存的地址映射表（IP-MAC地址对照表）中。同时返回单播ARP响应（reply）响应包中包含B的IP地址和MAC地址。同时，由于计算机A发送到是广播，L3交换机也会收到计算机A广播，同时他也把A的IP地址和MAC地址添加到IP-MAC（IPARP）对照表当中。对ARP响应包进行抓包操作，正常的ARP响应包格式如下：阶段C:计算机A 收到计算机B的单播响应, 取出B的IP 地址和硬件地址, 将其添加到高速缓存的地址映射表中。到此为止，计算机A和计算机B就可以正常进行数据传送。计算机A同其他的计算机通信都是按照上述的原则进行。同理，当计算机要进行跨网段通信时候，首先也要解析网关（L3 switch）的MAC地址，然后由网关代为转发。二、ARP欺骗的方式和原理要保证网络通信的正常，每个主机高速缓存的地址映射表和交换机的IPARP地址对照表都是准确无误的。任何一台主机或交换机的对照表不正常都会或多或少地影响网络通信，严重的时候，特别是整个网关的MAC学习不正常的时候会导致这个网段的主机无法进行跨网段通信。ARP的欺骗是多种多样的，一般按发送包的形式来说可以分成两种：2.1 无理(Gratuitous)ARP欺骗无理的ARP请求包，在包的封装要包含下列特征，才算是无理ARP请求包，并会触发网络设备的相应操作。l ARP包里面的目标MAC地址为广播地址，即目标硬件地址=FF:FF:FF:FF:FF:FF；l ARP包里面的源MAC地址为主机地址，即发送方协议地址=主机MAC地址；l 发送方协议地址=目标协议地址=要解析的IP地址。在正常的网络当中，无理ARP请求包用于以下网络功能的：1检查有没有重复的IP地址：当网络设备在分配了IP地址的时候，首先会发送一个无理ARP请求，询问有没有其他主机在使用这个IP。如果网络中有网络设备使用了这个IP，则它就会发送一个ARP响应包给新分配IP的网络设备，告诉这个IP已经被使用，这个时候Windows操作系统会做出一个IP地址冲突的告警。如果在规定的时候内没有收到任何ARP答复，则本网络设备认为这个IP没有地址重复，是可以使用的。2通知网络中的其他网络设备更新IPARP地址表（IP-MAC地址对照表）：上文已经提到，当网络设备在分配了一个IP地址的时候，首先会发送一个无理ARP请求，这个请求包会包含这个网络设备的IP和MAC信息，任何收到此广播的网络设备将无条件地更新IPARP地址表。3受到无理ARP请求包的交换机都立刻更新MAC和端口的对照表以下面为例子，计算机A发送了错误的无理ARP请求包，对整个网络的影响。（1）在运行正常的网络中，计算机A，计算机B，计算机C都学到了正确的网关的MAC地址，跨网段通信一切正常。（2）计算机A发送了一个错误的无理ARP请求包，向整个网络宣告网关192.168.1.254的MAC地址为AA:AA:AA:AA:AA:AA。此时无理ARP请求包的格式为：目标硬件地址=FF:FF:FF:FF:FF:FF；发送方协议地址=主机MAC地址=AA:AA:AA:AA:AA:AA；发送方协议地址=目标协议地址=192.168.1.254。 （3）网络中所有的主机收到这个错误无理ARP请求后，都会刷新本机内的高速缓存的地址映射表（IP-MAC地址对照表），本网段所有主机都学习到了错误网关的MAC地址。主机访问其他网段均不正常。2.2 普通的ARP请求包和ARP响应包欺骗当主机向本网络发送ARP请求或响应包时，里面会包含源主机的IP和MAC地址。收到这个ARP请求包或响应包的任何网络设备都会更新本机的高速缓存的地址映射表。当主机向本网络发送ARP请求或响应，目的地址是广播地址时，网络中的所有主机和网络设备都会收到这个ARP请求或响应包，其高速缓存的地址映射表立刻更新，网络中的所有主机和网络设备都会学习到了错误的MAC地址，影响正常的网络运行。当然，当主机向本网络发送ARP请求或响应包时，目标地址恰恰是单播地址时，那么受到影响的只是这个单播地址的主机或网络设备。（1）在正常的网络情况中，交换机和计算机C，计算机D都学习到了正确的计算机B的MAC地址。（2）计算机A发送了错误的ARP请求或ARP响应，包包含发送方硬件地址为AA:AA:AA:AA:AA:AA，发送方协议地址为192.168.1.2。包的目标地址是广播地址，本网段所有网络设备或主机收到了这个广播。（3）网络设备都立刻更新其高速缓存的地址映射表，那么网络里面的主机会发现与计算机的通信不正常。同时，网关也学习到了交换机A错误的MAC地址，计算机A的跨网段和同网段的通信均不正常。上面描述的是ARP包头的目标地址是广播的情况。当然，ARP包头也可能为单播的形式，那么受到影响只是包头目标地址的这些主机或网络设备。三、EXTREME交换机防护ARP欺骗的方法EXTREME的交换机具有全方面的防护ARP欺骗的机制，保证主机或网络设备学习不到错误的MAC地址。3.1 防范无理(Gratuitous) ARP欺骗。无理(Gratuitous) ARP欺骗有着明显的特征，ARP包头的目标地址一定为广播地址，本网络中的任何网络设备都可以接受到。这种ARP欺骗危害很大，也较为常见。Extreme的任何交换机都可以做到防止本网络的网关不会被欺骗，最大限度的保证本网络的跨网段工作正常。当无理(Gratuitous) ARP请求包到达本网络网关时，网关要求为extreme的交换机，交换机会对无理(Gratuitous) ARP请求包进行检查，对ARP请求包的IP和MAC地址项进行核对。一旦发现ARP请求包里面包含不正确的关于本交换机的IP-MAC对照条目时，会对此包进行抛弃，并对整个网络发送一个正确的无理(Gratuitous)ARP请求包，纠正整个网络的设备中网关地址的IP-MAC对照表。（1）计算机A发送了一个恶意的无理(Gratuitous) ARP请求包，企图窜改本网络所有网络设备的IP-MAC对照表中网关192.168.1.254正确的MAC地址对照条目。（2）交换机收到这个错误的无理(Gratuitous)ARP请求包，对这个包进行丢弃，并对整个本网络发送一个正确的无理(Gratuitous) ARP请求包，纠正已经错误的网络设备。（3）纠正成功，所有主机或网络设备都重新学习到了正确的条目。在EXTREME中的配置命令为：enable ip-security arp gratuitous-protection vlan all | 3.2 防范ARP请求包和ARP响应包欺骗ARP请求和ARP响应的欺骗包种类繁多，封装的不合法的内容也多种多样。但是，任何的ARP请求和ARP响应欺骗包都有一个特点，就是封装在包里面硬件地址（Sender hardware address）和发送方协议地址（Sender protocol address）不是正确的对应关系。接受方一旦收到这个错误的ARP包，就会更新到错误的IP-MAC对照表。在当前复杂的局域网环境中，不合法的ARP请求包和ARP响应包已经很常见，通过传统简单的ARP的学习已经不能保证交换机能学习到正确IP-MAC的对应关系。Extreme的交换机可以通过DHCP 侦测（snooping）的方式来学习正确的IP-MAC的对应关系，EXTREME称之为DHCP绑定数据库（DHCP bindings database）。这个DHCP绑定数据库是判断ARP请求包和ARP响应包是否正确的标准。主机在从DHCP服务器当中获取IP地址的过程当中，里面的数据包包含有源主机的IP和MAC地址的信息。在交换机开启DHCP侦测功能就能从主机获取IP地址的环节中学习到正确的IP-MAC的对应关系，填入到DHCP绑定数据库中。同时DHCP侦测还可以防止未授权的DHCP服务器连接到网络。在交换机当中开启DHCP侦测功能：enable ip-security dhcp-snooping vlan ports all | violation-action drop-packet block-mac | block-port duration | permanently | none snmp-trap同时必须正确地配置DHCP服务器IP或端口： configure trusted-servers vlan add server trust for dhcp-server或者configure trusted-ports |all trust-for dhcp-server 在3层的交换机当中，extreme的交换机可以关闭传统的ARP地址学习，该为通过DHCP侦测的方式来学习IPARP表。disable ip-security arp learning learn-from-arp vlan portsall | Enable ip-security arp learning learn-from-dhcp vlan portsall | （1）正常的情况下，通过DHCP自动获取IP的计算机在extreme的2层或者3层的交换机中的DHCP绑定数据库会留下响应的正确的纪录。 （2）当网络中有主机发送错误的ARP请求包和ARP响应的欺骗包的时候，EXTREME的交换机可以开启ARP校验（validation）功能。数据包到达交换机，交换机会对ARP请求包和ARP响应包里面的IP和MAC地址的和交换机本机的DHCP绑定数据库纪录核对，一旦发现有不合法或者不匹配，就做抛弃处理。不合法的数据包也不会经过交换机，也不会转发到其他的网络设备或主机中。这样，网络中的其他主机或设备也只能收到正确的ARP请求包和ARP响应包，保证本网络中的所有主机或网络设备的高速缓存的地址映射表准确无误。开启ARP校验功能的命令为：enable ip-security arp validation destination-mac source-mac ipvlan all | violation-action drop-packet blockportduration | permanently snmp-trapEXTREME中的ARP校验功能可以检测多种类型不合法的ARP数据包，根据当前网络的实际情况灵活采用。 Arp的校验参数有 destination-mac，source-mac，ip，DHCP四个，其中DHCP参数是无法调整，ARP校验功能一旦开启，这个参数就一定要启用。符合下列条件的ARP数据包会被EXTREME交换机丢弃：ARP校验参数检查Arp 请求包检查Arp响应包DHCP发送方协议地址不在DHCP绑定数据库中或；发送方硬件地址和发送方协议地址对应关系与DHCP绑定数据库中的纪录的不匹配。 Ip发送方协议地址是组播地址或；目标协议地址是组播地址或；发送方硬件地址和发送方协议地址对应关系与DHCP绑定数据库中的纪录的不匹配。发送方协议地址是组播地址或；目标协议地址是组播地址Source-mac包头中的源MAC地址与发送方硬件地址不匹配Destination-mac包头中的目标MAC地址与目标硬件地址不匹配下面是一个配置实例：左边的交换机是2层交换机，是工厂缺省配置；右边的交换机是3层交换机，主要配置如下：Create vlan v1Create vlan v2Conf vlan v1 add port 1-2Conf vlan v2 add port 25Conf vlan v1 ipaddress 192.168.1.254/24Conf vlan v2 ipaddress 192.168.254.10/24Enable ipforwardingConf iproute add default 182.168.254.254Enable bootprelayConf bootprelay add 192.168.100.100ARP防护的配置如下：在L3的交换机上开启防止无理ARP欺骗；enable ip-security arp gratuitous-protection all 在L2和L3的交换机中同时开启ARP校验，防止非法的ARP包进入交换机；L2 交换机中配置：开启DHCP侦测：enable ip-security dhcp-snooping vlan default ports all violation-action drop-packet；配置信任DHCP服务器端口：configure trusted-ports 25 trust-