山东交通技师学院 山东临沂 276004
摘要:由于TCP/IP网络协议中存在很多缺陷,这些缺陷对于网络安全造成极大的危害,本文通过对ARP协议的运行机制、ARP存在的安全隐患的分析,为网络管理员提供了解决ARP攻击的安全措施。
关键词:ARP协议;ARP防御;局域网防护措施
引言
随着计算机的广泛应用和互联网技术的迅速发展,各类文件以非加密或加密的形式在不安全的网络信道中传输,这对文件管理的保密工作提出了新的挑战。习近平在全国网络安全和信息化工作会议上提到没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。可见网络安全在保密工作中起了重要的作用。
在局域网与互联网的交界处可以部署防火墙、应用层网关防火墙、入侵防御系统以确保局域网与互联网之间的网络安全。但在局域网中,由于交换机MAC帧转发机制、DHCP协议缺陷、ARP协议缺陷等容易导致MAC表溢出攻击、MAC地址欺骗攻击、DHCP欺骗攻击和ARP欺骗攻击等,局域网的网络安全对于保密工作也很重要。
在TCP/IP协议栈中,最不安全的协议莫过于ARP协议了,我们经常提到的网络扫描,内网渗透,流量欺骗等,他们基本上都与ARP有关系,甚至其底层功能都是基于ARP实现的。以下我们将详细的对ARP协议进行剖析,并通过该协议的工作原理来分析造成安全隐患的因素,并针对这些因素给出一套解决局域网ARP安全防护措施。
1 ARP协议介绍
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。在网络中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报必须封装成帧才能通过物理网络发送,因此发送者还必须有接收者的物理地址,所以需要一个从IP地址到物理地址的映射,ARP就是实现这个功能的协议。
2 ARP地址解析过程
假设主机A和B在同一个网段,主机A要向主机B发送信息。具体的地址解析过程如下:
(1)主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP缓存表中的MAC地址,对IP数据报进行帧封装,并将IP数据报发送给主机B。
(2)如果主机A在ARP缓存表中找不到对应的MAC地址,则将缓存该IP数据报,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3)主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP缓存表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4)主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP缓存表中以用于后续报文的转发,同时将IP数据报进行封装后发送出去。
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将数据报文封装并发给网关,然后再通过路由表将数据报文转发出去。
通过以上的ARP地址解析过程我们发现ARP缓存表存在于主机上或是网关所在的三层交换机或路由器上,网络攻击者通过一些手段去修改存在于主机或是三层交换机中的ARP缓存表或是消耗ARP缓存表,就会致使网络造成瘫痪或是被欺骗。
3 ARP存在的安全隐患
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。在局域网中,常见的ARP攻击方式主要包括:
(1)ARP泛洪攻击
网络设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得网络设备ARP缓存表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
(2)ARP欺骗攻击
攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。
期刊文章分类查询,尽在期刊图书馆
在局域网内因为ARP协议出现的最常见网络故障是网关欺骗,造成的最终后果是局域网内的所有主机均无法访问其他网段的主机或是无法访问互联网。造成该故障的原因可能是某台主机或路由器误将IP地址设置为网关地址或是局域网内某台主机遭受了ARP木马病毒。
局域网内若有一台主机A的IP的地址设为网关地址,该主机A如果主动在局域网内发送免费ARP报文,Gratuitous ARP(免费ARP)报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址。其他主机收到该报文后便会修改本机的ARP缓存表,该缓存表中的IP地址为网关IP地址,而MAC地址则为这台主机A的MAC地址。局域网内其他主机访问不同网段或互联网的数据全部被发送到主机A,从而造成断网的现象甚至是数据被劫持现象。
4 ARP的防御措施
为了能够应对局域网内因ARP造成了网络堵塞或是网络欺骗现象,我们可以分别从主机和网络设备上做好防御措施。
4.1 主机防御措施
对于主机最好防御方式就是安装ARP防火墙,ARP防火墙一般都有两种功能:一是绑定正确的的IP和MAC映射,收到攻击包时不被欺骗;二是能够根据网络数据包特征自动识别局域网存在的ARP扫描和欺骗行为,并做出攻击判断。
另外还可以采用ARP静态绑定的方式,在主机上将网关的IP地址和MAC地址进行静态绑定,由于静态绑定的ARP映射条目优先级高于动态学习到的,所以可以保证不被欺骗,但这种方法对于拥有较多终端的局域网而言其维护难度较大。
4.2 网络设备防御措施
(1)防止ARP缓存表溢出
为了防止ARP泛洪攻击使得网络设备ARP缓存表资源被无效的ARP条目耗尽。可以在交互路由设备上采用以下策略:
设备可以通过ARP协议自动生成动态ARP表项,为了防止用户占用过多的ARP资源,可以通过设置设备学习动态ARP表项的最大数目来进行限制。当设备学习动态ARP表项的数目达到所设置的值时,该设备上将不再学习动态ARP表项。
设备可以通过ARP协议自动生成动态ARP表项,为了防止部分接口下的用户占用过多的ARP资源,可以通过设置接口学习动态ARP表项的最大数目来进行限制。当接口学习动态ARP表项的数目达到所设置的值时,该接口将不再学习动态ARP表项。
为适应网络的变化,ARP表需要不断更新。ARP表中的动态ARP表项并非永远有效,每一条记录都有一个生存周期,到达生存周期仍得不到刷新的记录将从ARP表中删除,这个生存周期被称作老化时间。如果在到达老化时间前记录被刷新,则重新计算老化时间。
(2)防止ARP缓存表修改
为了防止ARP欺骗攻击,必须防止网络设备的ARP缓存表项被恶意的修改。可以在网关所在的交换机或是路由器上手工添加静态ARP表项,通过对局域网内拥有固定IP地址的服务器进行绑定可以确保局域网内服务器的稳定。但如果在局域网中启用了DHCP动态主机配置协议,由于主机的IP地址是自动分配的,这种静态绑定的方案就不适用了。
(3)网关接口开启免费ARP功能
为了使得局域网的主机获取到网关正确的MAC地址,可以在网关所在的三层交换机或是路由器上进行设置,在网关的接口上开启定时发送免费ARP功能。开启该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。这样,每台主机都可以学习到正确的网关,从而正常访问网络。
(4)划分VLAN缩小广播域
VLAN(Virtual Local Area Network),虚拟局域网技术的出现,主要是为了解决交换机在进行局域网互联时无法限制广播的问题,这种技术可以把一个物理局域网划分成多个虚拟局域网,每个VLAN就是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间的主机则不能直接互通,这样广播数据帧就被限制在一个VLAN中,通过划分VLAN缩小广播域,从而减少ARP攻击的影响范围。
5 结语
由于各单位计算机的使用者计算机操作水平参差不齐,在对终端的管理中最好采用部署终端安全管理系统的方案,只要终端计算机接入到该管理系统中,网络管理员可以通过该平台检测终端存在的病毒或是漏洞,并可以远程更新终端漏洞。对于网络设备的管理,首先要按照部门划分VLAN,对于重点部门业务应采用配置防火墙策略隔离VLAN间互访,对于局域网内服务器要采用手工添加静态ARP表项的方法。在日常网络运维中,网络管理员也应掌握Wireshark等软件的使用,及时发现局域网内存在的安全隐患。
参考文献:
[1]潘家富.ARP攻击的原理分析及防范对策研究[J].软件工程,2019.
[2]王晓妮.局域网中ARP攻击的防御措施研究[J].网络安全技术与应用,2018.
[3]刘鑫剡.网络安全[M].清华大学出版社,2017.
论文作者:张斌,任鹏
论文发表刊物:《建筑细部》2019年第9期
论文发表时间:2019/10/25
标签:地址论文; 主机论文; 报文论文; 网关论文; 缓存论文; 协议论文; 局域网论文; 《建筑细部》2019年第9期论文;