基于可网管型交换机实现ARP攻击的防范

基于可网管型交换机实现ARP攻击的防范 北京网站建设公司 【摘要】本文介绍了使用交换机实现对ARP攻击进行防范的方法。利用网络设备硬件来实现ARP攻击的防范，能有效减少网络中的不必要的流量，提高了网络的稳定性和安全性，避免黑客入侵网络中安全防范措施不到位的主机，保障了网络中主机的信息安全性。 【关键词】ARP缓存，ARP攻击，地址绑定 0引言 以太网中，交换机根据以太网数据包中的物理地址(MAC地址)进行寻址。当仅知道目标计算机的IP地址时，还必须知道其对应的物理地址才能发送数据给该计算机，因此，可根据ARP协议来将已知目标计算机的IP地址转换为对应的MAC地址。 网络中的计算机都具有一个ARP缓存空间，用以记录最近解析出的IP地址以及对应的MAC地址。当本机与网络中某主机通信时，首先会查询高速缓存中信息，如果存在就直接使用查询出的IP、MAC地址构建数据包;如果不存在，则会使用目标主机的IP地址使用ARP协议发送请求包，以获得目标主机的MAC地址。目标主机接收到请求包后会进行响应。发送请求的主机将收到的ARP响应包的信息保存在高速缓存中以供下次使用，并构建发送给目标主机的数据包。 ARP协议的出现解决了本地主机与网络中其他未知主机通信的问题，但ARP协议的缺陷在于网络中的主机发送响应数据包时，并不一定需要先收到ARP的请求数据包。因此，局域网中的任何主机都可以向其他主机发送某IP地址对应的MAC地 址信息;下图中，主机C向主机B发送ARP响应信息，而内容是“主机A的IP地址对应的MAC地址为C的地址”(主机A的ARP响应包正常状态应由主机A发送，而且对应MAC地址应为A的地址)。 1ARP攻击的影响 ARP攻击常见分为两类，一是无意识的，二是带有目的性的主动攻击。 无意识的攻击通常是由于网络中的主机中了ARP病毒，该主机不断向网络中发送ARP非法响应包，导致其它主机获取错误信息而无法正常通信或无法连接Internet，严重时甚至会导致整个网络的瘫痪，而此时攻击源主机的使用人并不知道。 具有目的性的ARP攻击主要指攻击者通过黑客工具，向网络中其他主机发送非法ARP响应包，将某IP地址对应的MAC地址指向特定的主机，以便获取所需要的敏感信息。 从以上两种情况可知，无论是无意识ARP攻击还是主动ARP攻击都具有很大的危害性。 2ARP攻击常用防范措施 为了防范ARP攻击，我们可以选择软件形式或者通过网络设备等硬件的形式。目前，大多数网络管理员通常会让员工使用ARP防火墙来阻隔来自网络的ARP攻击。用户常用的ARP防火墙，在使用过程中会向网络发送ARP请求包，然后根据正确回应的ARP包中的IP-MAC映射关系与自己的ARP缓存对比，以此发现ARP攻击并纠正因受到ARP攻击而错误存储的数据。 当网络中大量主机都使用软件形式的ARP防火墙时，会存在以下几个问题。 (1)在网络中产生大量的ARP信息从而导致网络带宽被占用，可能出现网络拥塞影响网络正常使用; (2)用户对软件形式的ARP防火墙配置不熟悉，使用时起不到应有的效果; (3)用户不使用ARP防火墙，导致网络中仍旧存在ARP攻击源。 如果网络管理员采用交换机等网络硬件设备来防范ARP攻击，则能比较好的解决ARP防火墙带来的问题。 可网管型的交换机通常支持端口安全的功能。在交换机指定端口上打开ARP报文的检查功能，让交换机检测它所接收到的ARP报文中的源IP地址、源MAC地址是否与管理员事先设置“绑定”在端口上的地址一致。如果不一致，则交换机丢弃该数据;如果一致，则放行 数据包。 使用交换机实现ARP攻击的防范有以下几个优点。 (1)减少了不必要的ARP信息的产生，避免了带宽被占用，保障了网络的稳定性; (2)管理员在网络设备上完成配置，用户不需要做任何的操作，这种ARP攻击的防范措施对用户来说是透明化的，降低了管理的复杂性; (3)从与用户直接连接的设备上进行攻击的防范，从源头上解决了ARP攻击数据包发送的问题，避免了用户因喜好等原因而拒绝使用ARP防火墙带来的隐患。 3利用交换机实现ARP攻击的防范 在此，我以锐捷交换机为例，说明交换机防范ARP攻击的实现。 Switch(config)# port-security arp-check 打开交换机端口ARP检测功能 Switch(config)#interface fastEthernet 0/1 进入接口fastEthernet 0/1 Switch(config-if)#switchport mode access 设置接口为access模式 Switch(config-if)# switchport port-security 打开端口安全功能 Switch(config-if)#switchport port-security maximum 1 设置端口最大安全地址数为1 Switch(config-if)#switchport port-security mac- address 00d0.f800.0002 ip-address 192.168.1.1 在端口上绑定MAC地址和IP地址 4结束语 目前国内许多网络管理员对于网络管理的理解不够全面，掌握的技能比较单一。针对企业网络产生的问题，我们应从原理上进行分析，从根本上解决问题，保障网络的稳定性，实现透明化的管理。