欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

ARP网络攻击防御篇-怎样揪出内鬼且优雅的还手ARP协议(3)

来源:本站整理 作者:佚名 时间:2017-08-30 TAG: 我要投稿

一、ARP网络攻击防御的概述
针对之前我发的文章,我们应该已经了解了ARP网络攻击的危害性,黑客采用ARP攻击软件进行扫描并发送欺骗应答,同处一个局域网的普通用户很有可能遭受断网攻击、流量被限、账号被窃的危险。由于攻击门槛非常低,普通人只要拿到攻击软件就可以扰乱网络秩序,导致现在的公共网络、家庭网络、校园网、企业内网等变得脆弱无比。
 
因此如何进行有效的ARP防御呢?作为普通用户怎么防御?作为网络/安全管理员又怎么防御?有哪些ARP防御软件?如果被ARP攻击了,如何揪出"内鬼",并"优雅的还手"?
 
接下来,我们通过图解的方式来深入了解ARP防御原理与解决方案。
二、ARP防御原理与解决方案
在讲解ARP防御之前,我们先回顾下ARP攻击最经典的一幕=>

当PC1询问PC2的MAC地址时,攻击者PC3返回ARP欺骗回应包:我的IP地址是IP2,MAC地址是MAC3。一旦PC1记录了错误的ARP映射,则发给与PC2的数据,都会落到PC3手里。
 
也就是说,ARP攻击的罪魁祸首便是这种"欺骗包",若针对欺骗包的处理是不相信或不接收的话,则不会出现问题。处理这种欺骗行为我们没法提前在黑客端做手脚,因为"敌在暗处我在明处"。这样的话,我们就剩下两个解决方法:
 
①保证电脑不接收欺骗包
②保证电脑收到欺骗包之后不相信
 
目前网络安全行业现有的ARP防御方案,基本都是上面两个方法的具体实现。我们来看看这张防御图:

①当黑客发起ARP欺骗包时,会途径局域网里面的交换机或无线路由器等网络设备;
②如果网络设备能够识别这种欺骗包,并且提前丢弃掉,则电脑/手机端就不会被欺骗;
③如果网络设备没有拦截这种欺骗包,则电脑/手机端需要做安全防御,然后再丢弃。
 
简单来说,ARP防御可以在网络设备上实现,也可以在用户端实现,更可以在网络设备和用户端同时实现。接下来,我们先来了解下网络设备(例如这里的交换机)的防御技术。

上面这张图,展现的是交换机的ARP防御能力,当PC2发送ARP回应包时,交换机将其转发给PC1,而当PC3发送ARP回应包(欺骗)时,交换机直接丢弃。
 
但是,人家PC3上脸上又没有写着"hacker",凭什么交换机要丢弃它的ARP回应包?凭什么判断它的包就是"欺骗"的呢?
 
接下来,我就要给大家介绍下局域网安全里比较常用的防御技术,这种防御技术被称为DAI(Dynamic ARP Inspection)- 动态ARP检测,原理可以用两句话简单概括:
 
①交换机记录每个接口对应的IP地址和MAC,即portmacip,生成DAI检测表;
②交换机检测每个接口发送过来的ARP回应包,根据DAI表判断是否违规,若违规则丢弃此数据包并对接口进行惩罚。

我们知道,PC3是在交换机的Port3、MAC地址是MAC3,IP地址是IP3,所以本地DAI表项内容是
。当交换机从接口Port3收到ARP回应包,内容却是IP2和MAC3映射,即

经判断,这个包就是虚假的欺骗包,交换机马上丢弃这个包,并且可以对接口做惩罚(不同设备的惩罚方式有所不同,可以直接将接口"软关闭",直接将攻击者断网;也可以"静默处理",仅丢弃欺骗包,其他通信正常)
上面这个动态ARP监测技术,可以说是目前防御ARP攻击最有效的方法之一。但是,作为初学者,大家可能还会有疑问:
①一般的交换机或网络设备能部署动态ARP监测技术吗?
②连接用户的交换机,怎么能识别IP地址信息呢?
③上面这张DAI表是如何生成的?是不是像CAM表一样能自动识别?
 
这里要给大家说个稍微悲伤一点的事实,大部分能支持这种动态ARP监测技术的交换机或者无线路由器,都基本是企业级的产品。即便是企业级交换机,具备局域网安全防御功能的设备,价格都要高出不少,所以很多中小型企业网或校园网,基本都愿意买"阉割版"网络接入产品,因为"能通就行",至于安全性怎样,这是另外要考虑的问题。
 
所以,简单的交换机不具备动态ARP监测技术,即便市面上有带安全防御的网络产品,企业、学校、医院等大量网络,仍然在早期采购的时候,用的是比较基础版本的交换机。当然,随着网络与安全市场的激烈竞争和网络安全意识的增强,以后会越来越好。
 
另外,交换机能识别IP地址信息吗?
从现在的网络技术来看,分层界限越来越模糊,融合式的网络设备才是主流,现在的接入交换机基本能被Telnet/SSH/Web管理,更专业的交换机同时支持动态ARP监测(dai)、IP源防护(ipsg)、DHCP侦听(dhcp snooping)、端口安全、AAA、802.1x等局域网安全技术,已经超越了原有二层交换机的定义。
所以,交换机能读三层甚至七层的数据包已经不是什么新鲜事了,不要被"交换机就是二层设备"给束缚了,这只是纸面上的定义。
 
最后一个问题,DAI检测表是如何生成的?
在上面图解中,我们看到交换机查看的表已经不是原来的CAM表了,内容也不太一样,CAM表的内容主要是MAC和Port的映射,而DAI检测表则是Port、MAC、IP三个信息映射。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载