IDC中心的ARP攻擊與防御解決方案

作者：時間：2012-05-30 來源：網絡

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

DoS 攻擊的目的就是讓被攻擊主機拒絕用戶的服務訪問,破環(huán)系統(tǒng)的正常運行。最終使用戶的部分 Internet 連接和網絡系統(tǒng)失效。它的基本原理是:攻擊者利用 ARP 欺騙工具,不斷向被攻擊主機發(fā)送大量的連接請求,由于遭到 ARP 欺騙的主機不能夠根據 ARP 緩存表找到對方主機,加之主機的處理能力有限,使得它不能為正常用戶提供服務,便出現拒絕服務。在這個過程中,攻擊者可以使用 ARP 欺騙方式來隱藏自己,這樣在被攻擊主機的日志上就不會出現攻擊者真實的 IP 地址。被攻擊主機不能根據日志上提供的 IP 地址找到正真的攻擊者。

4 防范措施

針對IDC機房內經常發(fā)生的ARP病毒攻擊,在此介紹防范ARP攻擊的幾種方法。

4.1 常用解決方法

(1)捆綁MAC和IP地址

杜絕IP 地址盜用現象。如果是通過代理服務器上網:到代理服務器端讓網絡管理員把上網的靜態(tài)IP 地址與所記錄計算機的網卡地址進行捆綁。如:ARP-s 192.16.10.400-EO-4C-6C-08-75.這樣,就將上網的靜態(tài)IP 地址192.16.10.4 與網卡地址為00-EO-4C-6C-08-75 的計算機綁定在一起了,即使別人盜用您的IP 地址,也無法通過代理服務器上網。如果是通過交換機連接,可以將計算機的IP地址、網卡的MAC 地址以及交換機端口綁定。

(2)修改MAC地址,欺騙ARP欺騙技術

就是假冒MAC 地址,所以最穩(wěn)妥的一個辦法就是修改機器的MAC 地址,只要把MAC 地址改為別的,就可以欺騙過ARP 欺騙,從而達到突破封鎖的目的。

(3)交換機端口設置

①端口保護(類似于端口隔離):ARP 欺騙技術需要交換機的兩個端口直接通訊,端口設為保護端口即可簡單方便地隔離用戶之間信息互通,不必占用VLAN 資源。同一個交換機的兩個端口之間不能進行直接通訊,需要通過轉發(fā)才能相互通訊。

②數據過濾:如果需要對報文做更進一步的控制用戶可以采用ACL(訪問控制列表)。ACL 利用IP 地址、TCP/UDP端口等對進出交換機的報文進行過濾,根據預設條件,對報文做出允許轉發(fā)或阻塞的決定。華為和Cisco 的交換機均支持IP ACL 和MAC ACL,每種ACL 分別支持標準格式和擴展格式。標準格式的ACL 根據源地址和上層協(xié)議類型進行過濾,擴展格式的ACL 根據源地址、目的地址以及上層協(xié)議類型進行過濾,異詞檢查偽裝MAC 地址的幀。

(4)禁止網絡接口做ARP解析

在相對系統(tǒng)中禁止某個網絡接口做ARP解析(對抗ARP欺騙攻擊),可以做靜態(tài)ARP 協(xié)議設置(因為對方不會響應ARP 請求報文)如ARP——s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統(tǒng)中如:Unix , NT 等,都可以結合“禁止相應網絡接口做ARP 解析”和“使用靜態(tài)ARP 表”的設置來對抗ARP 欺騙攻擊。

(5)定期檢查ARP緩存

管理員定期用響應的IP 包中獲得一個rarp 請求,然后檢查ARP 響應的真實性。定期輪詢, 檢查主機上的ARP 緩存。

4.2 推薦使用方法

根據ARP欺騙攻擊的常見方式及IDC機房自身特點,在IDC機房推薦采取網關及其網內主機的IP—MAC的靜態(tài)雙向綁定辦法,這是一個較全面并相對持久的解決方式。

此種雙向靜態(tài)綁定的作法,是分別對網關的ARP緩存中的IP地址—MAC地址及其網內各主機的IP地址—MAC地址進行靜態(tài)綁定,并把正確的IP地址及MAC地址記下來。

具體方法為,建立/etc/ethers文件,其中包含正確的IP/MAC對應關系,格式如下:

192.168.2.32 08:00:4E:B0:24:47,然后再在/etc/rc.d/rc.local最后添加:arp -f生效即可。

通過雙向靜態(tài)綁定可再也不受其它人的信息干擾,之后完全按照綁定的地址進行信息的傳輸,可排除其他錯誤指令的干擾,能有效地完成工作。在這種情況下,可大大降低用戶服務器或主機在受到攻擊時無法訪問而掉線的情況發(fā)生。此種解決方案雖然對IDC中心會帶來一定的工作量,但其效果要明顯好于其他方法,有效抵制ARP欺騙攻擊。

5 結束語

ARP 攻擊問題一直是困擾著IDC中心的一個難題. 但其并不是無法解決的,通過建立完善的預防機制,能夠最大程度上抵制ARP 欺騙攻擊。隨著網絡產品及技術的不斷更新,IDC中心網絡建設的不斷完善,我們已經可以更好的解決ARP欺騙攻擊問題,確保IDC中心安全可靠運行。

參考文獻

[1] 樊景博,劉愛軍.ARP病毒的原理及防御辦法[J].商洛學院學報,2007(2).

[2] 曹洪武.ARP欺騙入侵的檢測與防范策略[J].塔里木大學學報2007(2).

[3] 孟曉明.給予ARP的網絡欺騙的檢測與防范[J].信息技術,2005(5):41-44.

[4] 王堅,梁海軍.ARP欺騙原理及其防范策略探討[J].計算機與現代化,2008(2):90-101.

[5] 葉城緒.校園網中基于ARP的欺騙及其預防[J].青海大學學報(自然科學報),2007(3):59-61.