1 ARP協(xié)議與ARP欺騙

ARP欺騙，一個讓我們耳熟能詳?shù)木W(wǎng)絡安全事件，普遍的存在于校園網(wǎng)、企業(yè)網(wǎng)等網(wǎng)絡環(huán)境中，給我們的工作、學習和生活帶來了很大的不變，輕則網(wǎng)絡變慢、時斷時續(xù)，重則直接無法上網(wǎng)、重要信息被竊取，可以說，ARP欺騙是網(wǎng)絡的一塊頑疾。分析ARP欺騙，就不得不研究一下ARP協(xié)議，因為這種攻擊行為正是利用了ARP協(xié)議本身的漏洞來實現(xiàn)的。
     1.1 ARP協(xié)議

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫，它的作用，就是將IP地址轉(zhuǎn)換為MAC地址。在局域網(wǎng)中，網(wǎng)絡中實際傳輸?shù)氖?ldquo;數(shù)據(jù)幀”，數(shù)據(jù)幀如果要到達目的地，就必須知道對方的MAC地址，它不認IP的。但這個目標MAC地址是如何獲得的呢？它就是通過ARP協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。 

每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的，例如下表所示。
                          表1 ARP緩存表舉例 

我們以主機A（192.168.16.1）向主機B（192.168.16.2）發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網(wǎng)絡上發(fā)送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：“192.168.16.2的MAC地址是什么？”網(wǎng)絡上其他主機并不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。 

ARP緩存表采用了老化機制，在一段時間內(nèi)如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。 

以上就是ARP協(xié)議的作用以及其工作過程，看來是很簡單的，也正因為其簡單的原理，沒有其他措施的保障，也就使得ARP欺騙產(chǎn)生了。下面我們來看看ARP欺騙到底是怎么回事。

1.2 ARP欺騙原理   

為什么會有ARP欺騙，這還要從ARP協(xié)議說起，前面我們介紹了，當源主機不知道目標主機的MAC地址的話，就會發(fā)起廣播詢問所有主機，然后目標主機回復它，告知其正確的MAC地址，漏洞就在這里，如果一個有不軌圖謀的主機想收到源主機發(fā)來的信息（可能是用戶名、密碼、銀行賬號之類的信息），那么它只需也向源主機回復一下，響應的IP地址沒錯，但MAC地址卻變成了發(fā)起欺騙的主機的，這樣，信息就發(fā)到它那里去了（前面說了，數(shù)據(jù)幀只認MAC地址）。這是一種欺騙的方式，還有一種方式，是利用了“免費ARP”的機制。所謂免費ARP就是不需要別人問，一上來就先告訴別人，我的IP地址是多少，我的MAC地址是多少，別的主機無需廣播，就已經(jīng)知道了該主機的IP和MAC，下次需要發(fā)到這個IP的時候，直接發(fā)就行了。既然是主動發(fā)起的，就可以被別有用心的人利用了，用一個假冒的IP地址（可能是網(wǎng)關的或者重要服務器的地址）加上自己的MAC出去騙別人，就把重要的信息都騙到這里來了。下面我們來看看ARP欺騙的具體操作過程。

1.2.1 局域網(wǎng)主機冒充網(wǎng)關進行ARP欺騙   

欺騙過程：如下圖所示， PC A 跟網(wǎng)關GW C 通訊時，要知道GW 的MAC地址，如果PC B 假冒GW 告訴PC A , GW的mac地址是 MAC B； 或者干脆告訴PC A，GW的mac地址是 MAC X, 那么，PC A就受騙了，PC A 的數(shù)據(jù)就到不了網(wǎng)關，造成斷線。 

1.2.2 局域網(wǎng)主機冒充其他主機欺騙網(wǎng)關
       欺騙過程：網(wǎng)絡通訊是一個雙向的過程，也就是說，只有保證PC A -> Gw C以及Gw C -> PC A 都沒問題，才能確保正常通訊。假如，PC B冒充主機PC A，告訴GW C：PC A的MAC是MAC B，網(wǎng)關就受騙了，那么，PC A到GW C沒有問題，可是，GW C到不了PC A，因而造成網(wǎng)絡斷線。
       以上兩種欺騙，尤其是第二種類型的欺騙，現(xiàn)在更為常見。從本質(zhì)上說，同一局域網(wǎng)內(nèi)（這里指在同一網(wǎng)段）的任何兩個點的通訊都可能被欺騙，無論是主機到網(wǎng)關，網(wǎng)關到主機，主機到服務器，服務器到主機，還有主機之間都是一樣，都可能產(chǎn)生進行ARP欺騙，欺騙本質(zhì)都是一樣。
1.2.3 其他欺騙類型
       1. 主機冒用其它主機，欺騙其它主機的方式：如主機A冒用主機B的Mac，欺騙主機C，以達到監(jiān)聽主機B和主機C的目的，并且導致主機B到主機C之間的網(wǎng)絡連接中斷。
       2. 外網(wǎng)欺騙：外網(wǎng)冒用路由器A的MAC，欺騙更上一級的路由器B，導致更上一級的路由器被騙，將內(nèi)網(wǎng)信息全部轉(zhuǎn)發(fā)給外網(wǎng)惡意主機。

2 防御ARP欺騙的解決方案概覽

面多ARP欺騙帶來的危害日益升級，越來越多的網(wǎng)絡深受其害，在網(wǎng)絡安全界也涌現(xiàn)出了多種ARP欺騙的防御方案，這里簡單加以總結(jié)。  

2.1 接入交換機/網(wǎng)關手動綁定

       目前主流的安全接入交換機/網(wǎng)關都具有IP、MAC綁定功能，像銳捷網(wǎng)絡的安全接入交換機甚至提供了6元素（IP、MAC、VLAN ID、交換機端口號、用戶名、密碼）的綁定，可以通過在接入交換機上將下聯(lián)每臺主機的IP和MAC地址綁定起來，將不符合IP、Mac綁定信息的報文全部丟棄，這樣有效的防住了內(nèi)網(wǎng)用戶冒充網(wǎng)關或其他主機來欺騙內(nèi)網(wǎng)其他用戶的目的。
   

這種方法的局限性：
        配置工作量大，每臺交換機下所連的所有用戶都要一一手動綁定，對于交換機下聯(lián)客戶機變換頻繁的場合，基本無可用性；
        無法防御來自外部的ARP欺騙，只對本交換機所接用戶負責；
        無法適用于采用動態(tài)IP的場合；
        接入交換機/網(wǎng)關手動綁定的方法，是現(xiàn)在采用的比較多的手段，但由于其以上的局限性，所以要配合其他手段才能完善的防御ARP欺騙。

2.2 主機端手動綁定

通過Windows自帶的ARP-S命令，可以將特定的IP地址和Mac地址進行綁定，實現(xiàn)一定的ARP欺騙防御。
        這種方法的局限性：
        配置麻煩，主機需要通信的目標很多，不可能一個一個都綁起來。
        容易失效，這種方法進行的綁定，一拔掉網(wǎng)線或者關機、注銷就全部失效了，如果想繼續(xù)使用，就需要重新綁定。
        只能進行主機端的防御，如果網(wǎng)關遭欺騙則無能為力。
        跟接入交換機綁定一樣，主機端手動綁定也是只能實現(xiàn)部分防御，需要與其他方法結(jié)合來完善。

 2.3 網(wǎng)關定期發(fā)送免費ARP
   

這是一種抑制的方法，因為ARP表項有老化期，經(jīng)過一段時間就需要重新更新，所以通過網(wǎng)關定期發(fā)送免費ARP，不時的“提醒”主機，真正的網(wǎng)關在這里，來防止偽裝成網(wǎng)關的ARP欺騙。
       這種方法的局限性：
       網(wǎng)關定期發(fā)送免費ARP，對于網(wǎng)關設備的性能提出了很高的要求，同時，大量的免費ARP報文無疑也大大占用了網(wǎng)絡的帶寬；
       由于很多ARP欺騙也是通過頻繁大量發(fā)送免費ARP報文來實現(xiàn)的，所以如果網(wǎng)關這么做，欺騙只需要將發(fā)送的頻率加大幾倍就依然可以欺騙成功。

2.4 主機安裝ARP防御軟件

目前這類軟件很多，其基本原理與上一個方法相同，就是每個主機都不停的發(fā)送免費ARP廣播，來告訴別人自己的IP和MAC的綁定關系，以達到抑制欺騙ARP報文的目的。
        這種方法的局限性：
        同上一個方法一樣，這種方法也是通過耗費大量網(wǎng)絡帶寬來實現(xiàn)的，所以在許多主機安裝了ARP防火墻的網(wǎng)絡中，網(wǎng)絡性能往往都會非常低下，因為大量的帶寬都被免費ARP報文占用了。
        以上就是目前常見的幾種防范ARP欺騙的解決方案，我們可以看到，每個方案各有利弊，都無法完善方便的防住ARP欺騙。只有通過多種手段的結(jié)合，配合完善的內(nèi)網(wǎng)管理機制，才能實現(xiàn)ARP欺騙的真正防御。
 

3 銳捷網(wǎng)絡三重立體ARP防御解決方案

       ARP欺騙攻擊存在的原因，究其根本在于ARP協(xié)議本身的不完善，通信雙方的交互流程缺乏一個授信機制，使得非法的攻擊者能夠介入到正常的ARP交互中進行欺騙。要從根本上解決ARP欺騙的問題，必須要在局域網(wǎng)內(nèi)的通信雙方之間建立起一個可信任的驗證體系。
       銳捷網(wǎng)絡GSN全局安全解決方案中特有的“ARP三重立體防御體系”，正是為了應對現(xiàn)在日益嚴重的ARP欺騙現(xiàn)象而制定的，整個解決方案遵循以下思路進行：

3.1 方案原理
        用戶身份合法性驗證
        通過部署GSN解決方案，實行基于IEEE 802.1X協(xié)議的身份認證系統(tǒng)，所有用戶都必須要經(jīng)過統(tǒng)一集中的身份鑒權認證方能允許接入網(wǎng)絡。統(tǒng)一的身份認證系統(tǒng)確保了所有網(wǎng)絡中的在線用戶都有合法的身份信息，并且利用802.1X協(xié)議基于MAC地址的邏輯端口認證特性，保障了認證系統(tǒng)的中央服務端能夠在用戶認證過程中獲取到用戶真實的IP-MAC對應信息。
        確保真實ARP信息來源
        防治ARP欺騙的最重要一個環(huán)節(jié)是確保ARP信息的真實可靠。對于局域網(wǎng)通信最主要的兩個對象：網(wǎng)關和用戶來說，網(wǎng)關的IP-MAC對應關系是不會輕易變更的；而通過在全網(wǎng)實施的入網(wǎng)身份認證系統(tǒng)，能夠確保在用戶每次上線時的認證過程中都能提交真實的IP-MAC信息。網(wǎng)絡中各元素的真實ARP信息有了可靠的來源保障。
        中立的第三方ARP授信體系
        前文已經(jīng)談到，要從根本上防治ARP欺騙，必須在通信雙方之間建立可靠的驗證體系。而由于ARP協(xié)議本身的缺陷性，不管是通信雙方的網(wǎng)關或是主機都無法勝任對ARP信息的可靠性進行驗證的角色，需要通過中立的第三方系統(tǒng)把控ARP協(xié)議的通信過程。GSN系統(tǒng)能夠?qū)υ诰€用戶的身份信息進行統(tǒng)一的管理，非常適合進行ARP信息的授權管理。
        建立可信任ARP（Trusted ARP）機制
        可信任ARP機制用于在局域網(wǎng)通信的雙方之間進行可靠的ARP信息同步，具體到各個不同的網(wǎng)絡元素之間的同步過程，可以分為以下兩種操作：
        主機ARP靜態(tài)綁定：在客戶端主機進行網(wǎng)關的ARP靜態(tài)綁定。當用戶認證上線時,認證服務端在本地保存的網(wǎng)關IP-MAC對應關系表中查找用戶所屬網(wǎng)關，并將該用戶所對應的網(wǎng)關IP和MAC地址進行下發(fā)，由802.1X認證客戶端程序在用戶的主機端進行網(wǎng)關MAC和IP的ARP靜態(tài)綁定。
        客戶端在認證成功后進行ARP靜態(tài)綁定,然后定時進行ARP靜態(tài)綁定是否被更改的檢測，如果被更改,則重新進行綁定，以防止一些木馬程序以合法的方式對ARP靜態(tài)綁定進行的更改,用戶下線時刪除主機的網(wǎng)關ARP靜態(tài)綁定。
        網(wǎng)關可信任ARP綁定：當用戶認證上線時，認證服務端通過接入交換機獲取用戶真實的IP-MAC關聯(lián)信息，并根據(jù)用戶的網(wǎng)關信息，將用戶相應的ARP表項在網(wǎng)關進行主機的IP和MAC的ARP靜態(tài)綁定.該方式同主機ARP靜態(tài)綁定相結(jié)合,能夠達到雙綁定的效果。

在網(wǎng)關設備上增加可信ARP表項 

銳捷網(wǎng)絡S37系列等智能三層接入/匯聚交換機能夠支持可信任ARP表項功能。可信任ARP作為一類特殊ARP，添加在交換機端的ARP表中。可信任ARP同時具有靜態(tài)ARP和動態(tài)ARP兩者的特征，其優(yōu)先級高于動態(tài)ARP表項、并且低于靜態(tài)ARP表項。可信任ARP具有類似于動態(tài)ARP的老化機制――通過記錄和刷新每個表項的老化時間來判斷該表項是否需要老化。可信任ARP具有靜態(tài)ARP的相關特征，即不被動態(tài)ARP所覆蓋。 

可信任ARP歸類為動態(tài)ARP，因此對于ARP的相關功能模塊，該可信任ARP將被視為動態(tài)ARP。使用這種方式可避免可信任ARP對原有ARP相關模塊的影響。同時，由于靜態(tài)ARP優(yōu)先級高于可信任ARP，因此用戶手動配置的靜態(tài)ARP可以覆蓋可信任ARP。 

因此，在實施了可信任ARP功能之后，對于網(wǎng)絡管理員來說，所有操作完全都是透明的，不會對網(wǎng)絡管理員的原有網(wǎng)絡管理產(chǎn)生任何影響，因為對于原有的網(wǎng)絡來說，可信任ARP就是動態(tài)ARP。只有在ARP更新這個地方有了輕微了變化，而且所有的一切動作都是后臺進行的。 

3.2 方式實現(xiàn)過程及效果 

3.2.1 第一重，網(wǎng)關防御 

網(wǎng)關防御的實現(xiàn)過程如下：
        SMP學習已通過認證的合法用戶的IP-MAC對應關系。
        SMP將用戶的ARP信息通知相應網(wǎng)關。
        網(wǎng)關生成對應用戶的可信任ARP表項。

GSN網(wǎng)關防御過程如下： 

攻擊者冒充用戶IP對網(wǎng)關進行欺騙。

真正的用戶已經(jīng)在網(wǎng)關的可信任ARP表項中，欺騙行為失敗。

3.2.2 第二重，客戶端防御

用戶端防御的實現(xiàn)方法如下：
        在SMP上設置網(wǎng)關的正確IP－MAC對應信息。
        用戶認證通過，SMP將網(wǎng)關的ARP信息下傳至SU。
        SU靜態(tài)綁定網(wǎng)關的ARP。

用戶端防御的實現(xiàn)過程如下：
        攻擊者冒充網(wǎng)關欺騙合法用戶。
        用戶已經(jīng)靜態(tài)綁定網(wǎng)關地址，欺騙攻擊無效。

3.2.3 第三重，交換機非法報文過濾 

交換機非法報文過濾，是通過銳捷網(wǎng)絡安全智能交換機的安全功能來實現(xiàn)的，具體實現(xiàn)方法如下：
        用戶認證通過后，交換機會在接入端口上綁定用戶的IP－MAC對應信息。
        交換機對報文的源地址進行檢查，對非法的攻擊報文一律丟棄處理。
        該操作不占用交換機CPU資源，直接由端口芯片處理。

交換機非法報文過濾實現(xiàn)過程如下：
         攻擊者偽造源IP和MAC地址發(fā)起攻擊。
         報文不符合綁定規(guī)則，被交換機丟棄。

4 方案總結(jié) 

通過銳捷網(wǎng)絡GSN解決方案中的“ARP三重立體防御體系”，解決了ARP欺騙中的網(wǎng)關型欺騙，中間人欺騙以及ARP泛洪攻擊，在可能發(fā)生ARP請求和響應的所有環(huán)節(jié)，都加以防范，有效彌補了由于ARP協(xié)議本身的缺陷所帶來的漏洞，解決了困擾廣大網(wǎng)絡管理員的ARP欺騙問題，給我們的局域網(wǎng)帶來更加健康和諧的網(wǎng)絡環(huán)境。