基于智能交换机防御ARP攻击

摘　要：由于ARP协议本身的漏洞，ARP攻击特别频繁。目前解决ARP攻击的思路多集中在客户端安装ARP防火墙或在网络中部署安全设备。通过分析ARP攻击的基本原理和交换机功能特性，本文列举了七种基于智能交换机防御ARP攻击的方案。网络管理员结合网络环境合理选用方案，能提高网络管理的便捷性和网络的安全性。

关键词：ARP；智能交换机；防御
 1．ARP攻击基本原理
　　?IP数据包常通过以太网发送是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。ARP表中存在IP地址到MAC地址的映射。地址解析协议ARP就是用来确定这些映射的协议。在这个过程中ARP协议缺少相应的认证和鉴别机制，所以通过伪造或篡改IP地址和MAC地址映射实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击原理虽然简单，易于分析，但是网络攻击往往是越简单越易于散布，造成的危害越大。
2．智能交换机防御ARP的多种方案
　　在客户端、交换机、网关均可以防御ARP攻击，考虑交换机更为常见和易于管理，本文重点介绍基于交换机的各种ARP防御方案。
　　2.1保护网关IP　
　　利用交换机的过滤机制检测进入端口的所有ARP 报文，如果ARP 报文的源IP 地址是受到保护的IP 地址，就直接丢弃报文。如交换机所连接的网段的网关为192.168.1.1，在端口Ethernet0/10启动配置ARP Guard。该方案配置非常简单，仅适用于ARP仿冒网关攻击。
　　Switch(Config)#interface ethernet0/10
　　Switch(Config-Ethernet 0/10)# arp-guard ip 192.168.1.1
　　2.2地址绑定
　　在交换机端口创建一个MAC+IP 地址绑定，将收到数据报文的地址信息与硬件地址池中的绑定信息相比较，如果匹配则转发，否则丢弃。当端口下联主机发送的ARP报文，所含的源IP＋源MAC不符合地址池中的绑定关系，此报文就将被丢弃。如启用AM 并允许e0/10 上源IP为192.168.1.2，源MAC是00-01-10-2E-33-18 的用户通过。该方案配置简单，可以防御ARP仿冒攻击，也可以防御IP扫描攻击。适用于小型的静态地址网络环境。
　　Switch(Config)#am enable
　　Switch(Config)#interface Ethernet 0/10
　　Switch(Config-Ethernet0/10)#am port
　　Switch(Config-Ethernet0/10)#am mac-ip-pool 00-01-10-2E-33-18 192.168.1.2
　　2.3 DHCP Snooping
　　在动态地址网络环境中，交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。该方案是被动侦听，自动绑定，信息点数量不限，适用于动态IP地址分配环境。
　　
　　 当主机A向DHCP Server发请求，交换机记录下主机A对应的端口和MAC地址。
　　 当DHCP Server返回分配给用户的IP地址，交换机上记录下DHCP返回的IP地址。
　　 交换机依据记录下来的信息，在相应的交换机端口上绑定合法的IP、MAC信息。
　　Switch(Config)#ip dhcp snooping enable   //启动DHCP Snooping功能
　　Switch(Config)#ip dhcp snooping binding enable
　　Switch(Config)#interface ethernet 0/1
　　Switch(Config-Ethernet0/1)#ip dhcp snooping trust 　//DHCP服务器端口设置为Trust
　　Switch(Config-Ethernet0/1)#interface ethernet 0/10
　　Switch(Config-Ethernet0/10)#ip dhcp snooping binding arp  //在端口上进行ARP绑定
　　2.4 802.1X认证
　　交换机启用802.1x认证后，用户接入网络时必须先进行身份认证，且支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能，保证接入用户的合法性。?该方案可以完美解决内网ARP攻击问题，并且人工配置量小，适用于信息点众多的网络，需要802.1X客户端和认证服务器的配合方能使用。
　　?主机IP地址静态配置时，终端发给802.1x认证，认证服务器验证通过后，将该用户的IP、MAC等绑定信息自动下发给接入交换机。?
　　?动态分配IP地址时，接入交换机启用DHCP Snooping侦听主机分配到的IP地址，并将此IP地址，以及对应的MAC地址、交换机端口发送给认证服务器。
　　2.5端口ARP限速
　　该方案的基本原理是统计网段内存在ARP 扫描特征的数据流，将切断攻击源头端口或主机，保障网络的安全。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量，基于IP 的ARP 扫描则计算一段时间内收到某IP的ARP 报文的数量，若超过了预先设置的阈值，关闭端口或者禁止来自此IP 的任何流量。端口或IP 被禁掉后，可以通过自动恢复功能自动恢复其状态。在交换机的端口启动ARP报文限速功能配置如下。
　　Switch(Config)#anti-arpscan enable　//使能Anti-arpscan
　　Switch(Config)#anti-arpscan port-based threshold 10　 //设置每个端口ARP报文上限
　　Switch(Config)#anti-arpscan ip-based threshold 10　//设置每个IP每秒的ARP报文上限
　　Switch(Config)#anti-arpscan recovery enable 　//开启防网段扫描自动恢复功能
　　Switch(Config)#anti-arpscan recovery time 90 　 //设置自动恢复的时间90秒
　　该方案特点是全局使能，无须在端口模式下配置，配置简单。
　　2.6端口隔离
　　端口隔离是一个基于端口的功能，作用于端口和端口之间，隔离相互之间的流量，利用端口隔离的特性，可以实现vlan内部的端口隔离。如ARP proxy图所示，在交换机上配置端口隔离后，交换机的e0/2 和e0/3 不通，但e0/2和e0/3都可以和上联口e0/1 通,其中vlan 100为主vlan，vlan200为隔离vlan，配置如下。该方案需与代理功能配合使用，因为该方案会导致正常的ARP请求报文无法应答，网络不能正常通信。
　　Switch(Config)#vlan 200 
　　Switch(Config-Vlan100)#vlan 100
　　Switch(Config-Vlan100)#private-vlan association 200
　　Switch(Config-Vlan100)#switchport interface ethernet 0/1
　　Switch(Config-Vlan200)# switchport interface ethernet 0/2-3
　　2.7 ARP代理
　　通过使用一台支持ARP代理功能的汇聚层交换机，来负责网络中ARP请求的应答，在接入层交换机端口隔离功能的配合下，引导数据流量通过汇聚层交换机进行转发。如ARP proxy图所示，汇聚交换机上配 置local arp proxy，接入交换机开启端口隔离功能，主机A主机B二层流量不可达，必须通过汇聚交换机上进行三层转发。
　　Switch (config-if-vlan100)#ip local proxy-arp。
　　
　　①主机A主机B若要通信，因主机A没有主机B的MAC地址，因此主机A发送ARP Request并广播出去；
　　②启用ARP代理功能的交换机向主机A发送ARP Reply报文，使用自己的MAC地址进行响应。
　　③主机A收到该ARP Reply之后，创建ARP表项,并发送IP数据包给主机B，因封装的以太网帧头的目的MAC为交换机的MAC，所以IP数据包并未到主机B，而是到了交换机；④当交换机收到该IP报文之后，交换机查询ARP表项，然后发送IP报文至主机B。
　　该方案的特点是对接入交换机要求低，只需要支持端口隔离功能即可；而且动态IP地址环境下配置简单，易于管理和实现。
3．各种方案的基本原理
　　ARP攻击可以分为ARP欺骗攻击和ARP泛洪（Flood）攻击。攻击程序都是通过构造非法的ARP报文，修改报文中的源IP地址与或源MAC地址，不同之处在于欺骗攻击用自己的MAC地址进行欺骗，洪泛攻击则大量发送虚假的ARP报文，拥塞网络。方案一针对ARP仿冒网关攻击，方案二和三针对不同地址环境下的ARP仿冒主机攻击。前四个方案针对IP到MAC这一解析过程的漏洞，对IP和MAC进行绑定。第五个方案针对ARP泛洪（Flood）攻击，也称为ARP扫描攻击，限制ARP报文的发送频率。方案六七针对ARP广播解析地址这一漏洞，通过指定一台三层交换机负责整个网络的ARP应答，避免非法应答。
结论：
　　本文介绍了多种基于交换机防控ARP病毒的方案，适用于中小型企业网和校园网，适应动态和静态两种地址分配方式，不涉及客户机和网络安全设备，所以实施成本低，效率高。当同时需要注意，以上功能必须要求是智能可网管交换机，必要进行适当的组合，方可全面立体防御网络ARP攻击，切实保障网络稳定和安全。
参考文献：
[1] 杨威，王杏元.网络工程设计与安装（第2版）［M］.北京：电子工业出版社，2007.52-84
[2] Todd Lammle. CCNA学习指南［M］. 北京：电子工业出版社，2008.50-65
[3] 张海燕.局域网中的ARP欺骗及安全防范［J］.网络安全技术与应用，2011(10)：30-32
[4] 王帆.浅谈校园网ARP攻击原理与防范［J］.信息与电脑，2011.(6)：10-12