IDC中心的ARP攻擊與防御解決方案

3.3基于ARP的DOS攻擊

DoS 攻擊的目的就是讓被攻擊主機(jī)拒絕 用戶的服務(wù)訪問,破環(huán)系統(tǒng)的正常運(yùn)行。最終使用戶的部分 Internet 連接和網(wǎng)絡(luò)系統(tǒng)失效。 它的基本原理是:攻擊者利用 ARP 欺騙 工具,不斷向被攻擊主機(jī)發(fā)送大量的連接請求,由于遭到 ARP 欺騙的主機(jī)不能夠根據(jù) ARP 緩存表找到對方主機(jī),加之主機(jī)的處理能力有限,使得它不能為正常用戶提供服務(wù),便出現(xiàn) 拒絕服務(wù)。在這個(gè)過程中,攻擊者可以使用 ARP 欺騙方式來隱藏自己,這樣在被攻擊主機(jī) 的日志上就不會出現(xiàn)攻擊者真實(shí)的 IP 地址。被攻擊主機(jī)不能根據(jù)日志上提供的 IP 地址找到正真的攻擊者。

4 防范措施

針對IDC機(jī)房內(nèi)經(jīng)常發(fā)生的ARP病毒攻擊,在此介紹防范ARP攻擊的幾種方法。

4.1 常用解決方法

(1)捆綁MAC和IP地址

杜絕IP 地址盜用現(xiàn)象。如果是通過代理服務(wù)器上網(wǎng):到代理服務(wù)器端讓網(wǎng)絡(luò)管理員把上網(wǎng)的靜態(tài)IP 地址與所記錄計(jì)算機(jī)的網(wǎng)卡地址進(jìn)行捆綁。如:ARP-s 192.16.10.400-EO-4C-6C-08-75.這樣,就將上網(wǎng)的靜態(tài)IP 地址192.16.10.4 與網(wǎng)卡地址為00-EO-4C-6C-08-75 的計(jì)算機(jī)綁定在一起了,即使別人盜用您的IP 地址,也無法通過代理服務(wù)器上網(wǎng)。如果是通過交換機(jī)連接,可以將計(jì)算機(jī)的IP地址、網(wǎng)卡的MAC 地址以及交換機(jī)端口綁定。

(2)修改MAC地址,欺騙ARP欺騙技術(shù)

就是假冒MAC 地址,所以最穩(wěn)妥的一個(gè)辦法就是修改機(jī)器的MAC 地址,只要把MAC 地址改為別的,就可以欺騙過ARP 欺騙,從而達(dá)到突破封鎖的目的。

(3)交換機(jī)端口設(shè)置

①端口保護(hù)(類似于端口隔離):ARP 欺騙技術(shù)需要交換機(jī)的兩個(gè)端口直接通訊,端口設(shè)為保護(hù)端口即可簡單方便地隔離用戶之間信息互通,不必占用VLAN 資源。同一個(gè)交換機(jī)的兩個(gè)端口之間不能進(jìn)行直接通訊,需要通過轉(zhuǎn)發(fā)才能相互通訊。

②數(shù)據(jù)過濾:如果需要對報(bào)文做更進(jìn)一步的控制用戶可以采用ACL(訪問控制列表)。ACL 利用IP 地址、TCP/UDP端口等對進(jìn)出交換機(jī)的報(bào)文進(jìn)行過濾,根據(jù)預(yù)設(shè)條件,對報(bào)文做出允許轉(zhuǎn)發(fā)或阻塞的決定。華為和Cisco 的交換機(jī)均支持IP ACL 和MAC ACL,每種ACL 分別支持標(biāo)準(zhǔn)格式和擴(kuò)展格式。標(biāo)準(zhǔn)格式的ACL 根據(jù)源地址和上層協(xié)議類型進(jìn)行過濾,擴(kuò)展格式的ACL 根據(jù)源地址、目的地址以及上層協(xié)議類型進(jìn)行過濾,異詞檢查偽裝MAC 地址的幀。

(4)禁止網(wǎng)絡(luò)接口做ARP解析

在相對系統(tǒng)中禁止某個(gè)網(wǎng)絡(luò)接口做ARP解析(對抗ARP欺騙攻擊),可以做靜態(tài)ARP 協(xié)議設(shè)置(因?yàn)閷Ψ讲粫憫?yīng)ARP 請求報(bào)文)如ARP——s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統(tǒng)中如:Unix , NT 等,都可以結(jié)合“禁止相應(yīng)網(wǎng)絡(luò)接口做ARP 解析”和“使用靜態(tài)ARP 表”的設(shè)置來對抗ARP 欺騙攻擊。

(5)定期檢查ARP緩存

管理員定期用響應(yīng)的IP 包中獲得一個(gè)rarp 請求,然后檢查ARP 響應(yīng)的真實(shí)性。定期輪詢, 檢查主機(jī)上的ARP 緩存。

4.2 推薦使用方法

根據(jù)ARP欺騙攻擊的常見方式及IDC機(jī)房自身特點(diǎn),在IDC機(jī)房推薦采取網(wǎng)關(guān)及其網(wǎng)內(nèi)主機(jī)的IP—MAC的靜態(tài)雙向綁定辦法,這是一個(gè)較全面并相對持久的解決方式。

此種雙向靜態(tài)綁定的作法,是分別對網(wǎng)關(guān)的ARP緩存中的IP地址—MAC地址及其網(wǎng)內(nèi)各主機(jī)的IP地址—MAC地址進(jìn)行靜態(tài)綁定,并把正確的IP地址及MAC地址記下來。

具體方法為,建立/etc/ethers文件,其中包含正確的IP/MAC對應(yīng)關(guān)系,格式如下:

192.168.2.32 08:00:4E:B0:24:47,然后再在/etc/rc.d/rc.local最后添加:arp -f生效即可。

通過雙向靜態(tài)綁定可再也不受其它人的信息干擾,之后完全按照綁定的地址進(jìn)行信息的傳輸,可排除其他錯(cuò)誤指令的干擾,能有效地完成工作。在這種情況下,可大大降低用戶服務(wù)器或主機(jī)在受到攻擊時(shí)無法訪問而掉線的情況發(fā)生。此種解決方案雖然對IDC中心會帶來一定的工作量,但其效果要明顯好于其他方法,有效抵制ARP欺騙攻擊。

5 結(jié)束語

ARP 攻擊問題一直是困擾著IDC中心的一個(gè)難題. 但其并不是無法解決的,通過建立完善的預(yù)防機(jī)制,能夠最大程度上抵制ARP 欺騙攻擊。隨著網(wǎng)絡(luò)產(chǎn)品及技術(shù)的不斷更新,IDC中心網(wǎng)絡(luò)建設(shè)的不斷完善,我們已經(jīng)可以更好的解決ARP欺騙攻擊問題,確保IDC中心安全可靠運(yùn)行。

參考文獻(xiàn)

[1] 樊景博,劉愛軍.ARP病毒的原理及防御辦法[J].商洛學(xué)院學(xué)報(bào),2007(2).

[2] 曹洪武.ARP欺騙入侵的檢測與防范策略[J].塔里木大學(xué)學(xué)報(bào)2007(2).

[3] 孟曉明.給予ARP的網(wǎng)絡(luò)欺騙的檢測與防范[J].信息技術(shù),2005(5):41-44.

[4] 王堅(jiān),梁海軍.ARP欺騙原理及其防范策略探討[J].計(jì)算機(jī)與現(xiàn)代化,2008(2):90-101.

[5] 葉城緒.校園網(wǎng)中基于ARP的欺騙及其預(yù)防[J].青海大學(xué)學(xué)報(bào)(自然科學(xué)報(bào)),2007(3):59-61.