IDC中心的ARP攻擊與防御解決方案

3.3基于ARP的DOS攻擊

DoS 攻擊的目的就是讓被攻擊主機拒絕 用戶(hù)的服務(wù)訪(fǎng)問(wèn),破環(huán)系統的正常運行。最終使用戶(hù)的部分 Internet 連接和網(wǎng)絡(luò )系統失效。 它的基本原理是:攻擊者利用 ARP 欺騙 工具,不斷向被攻擊主機發(fā)送大量的連接請求,由于遭到 ARP 欺騙的主機不能夠根據 ARP 緩存表找到對方主機,加之主機的處理能力有限,使得它不能為正常用戶(hù)提供服務(wù),便出現 拒絕服務(wù)。在這個(gè)過(guò)程中,攻擊者可以使用 ARP 欺騙方式來(lái)隱藏自己,這樣在被攻擊主機 的日志上就不會(huì )出現攻擊者真實(shí)的 IP 地址。被攻擊主機不能根據日志上提供的 IP 地址找到正真的攻擊者。

4 防范措施

針對IDC機房?jì)冉?jīng)常發(fā)生的ARP病毒攻擊,在此介紹防范ARP攻擊的幾種方法。

4.1 常用解決方法

(1)捆綁MAC和IP地址

杜絕IP 地址盜用現象。如果是通過(guò)代理服務(wù)器上網(wǎng):到代理服務(wù)器端讓網(wǎng)絡(luò )管理員把上網(wǎng)的靜態(tài)IP 地址與所記錄計算機的網(wǎng)卡地址進(jìn)行捆綁。如:ARP-s 192.16.10.400-EO-4C-6C-08-75.這樣,就將上網(wǎng)的靜態(tài)IP 地址192.16.10.4 與網(wǎng)卡地址為00-EO-4C-6C-08-75 的計算機綁定在一起了,即使別人盜用您的IP 地址,也無(wú)法通過(guò)代理服務(wù)器上網(wǎng)。如果是通過(guò)交換機連接,可以將計算機的IP地址、網(wǎng)卡的MAC 地址以及交換機端口綁定。

(2)修改MAC地址,欺騙ARP欺騙技術(shù)

就是假冒MAC 地址,所以最穩妥的一個(gè)辦法就是修改機器的MAC 地址,只要把MAC 地址改為別的,就可以欺騙過(guò)ARP 欺騙,從而達到突破封鎖的目的。

(3)交換機端口設置

①端口保護(類(lèi)似于端口隔離):ARP 欺騙技術(shù)需要交換機的兩個(gè)端口直接通訊,端口設為保護端口即可簡(jiǎn)單方便地隔離用戶(hù)之間信息互通,不必占用VLAN 資源。同一個(gè)交換機的兩個(gè)端口之間不能進(jìn)行直接通訊,需要通過(guò)轉發(fā)才能相互通訊。

②數據過(guò)濾:如果需要對報文做更進(jìn)一步的控制用戶(hù)可以采用ACL(訪(fǎng)問(wèn)控制列表)。ACL 利用IP 地址、TCP/UDP端口等對進(jìn)出交換機的報文進(jìn)行過(guò)濾,根據預設條件,對報文做出允許轉發(fā)或阻塞的決定。華為和Cisco 的交換機均支持IP ACL 和MAC ACL,每種ACL 分別支持標準格式和擴展格式。標準格式的ACL 根據源地址和上層協(xié)議類(lèi)型進(jìn)行過(guò)濾,擴展格式的ACL 根據源地址、目的地址以及上層協(xié)議類(lèi)型進(jìn)行過(guò)濾,異詞檢查偽裝MAC 地址的幀。

(4)禁止網(wǎng)絡(luò )接口做ARP解析

在相對系統中禁止某個(gè)網(wǎng)絡(luò )接口做ARP解析(對抗ARP欺騙攻擊),可以做靜態(tài)ARP 協(xié)議設置(因為對方不會(huì )響應ARP 請求報文)如ARP——s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統中如:Unix , NT 等,都可以結合“禁止相應網(wǎng)絡(luò )接口做ARP 解析”和“使用靜態(tài)ARP 表”的設置來(lái)對抗ARP 欺騙攻擊。

(5)定期檢查ARP緩存

管理員定期用響應的IP 包中獲得一個(gè)rarp 請求,然后檢查ARP 響應的真實(shí)性。定期輪詢(xún), 檢查主機上的ARP 緩存。

4.2 推薦使用方法

根據ARP欺騙攻擊的常見(jiàn)方式及IDC機房自身特點(diǎn),在IDC機房推薦采取網(wǎng)關(guān)及其網(wǎng)內主機的IP—MAC的靜態(tài)雙向綁定辦法,這是一個(gè)較全面并相對持久的解決方式。

此種雙向靜態(tài)綁定的作法,是分別對網(wǎng)關(guān)的ARP緩存中的IP地址—MAC地址及其網(wǎng)內各主機的IP地址—MAC地址進(jìn)行靜態(tài)綁定,并把正確的IP地址及MAC地址記下來(lái)。

具體方法為,建立/etc/ethers文件,其中包含正確的IP/MAC對應關(guān)系,格式如下:

192.168.2.32 08:00:4E:B0:24:47,然后再在/etc/rc.d/rc.local最后添加:arp -f生效即可。

通過(guò)雙向靜態(tài)綁定可再也不受其它人的信息干擾,之后完全按照綁定的地址進(jìn)行信息的傳輸,可排除其他錯誤指令的干擾,能有效地完成工作。在這種情況下,可大大降低用戶(hù)服務(wù)器或主機在受到攻擊時(shí)無(wú)法訪(fǎng)問(wèn)而掉線(xiàn)的情況發(fā)生。此種解決方案雖然對IDC中心會(huì )帶來(lái)一定的工作量,但其效果要明顯好于其他方法,有效抵制ARP欺騙攻擊。

5 結束語(yǔ)

ARP 攻擊問(wèn)題一直是困擾著(zhù)IDC中心的一個(gè)難題. 但其并不是無(wú)法解決的,通過(guò)建立完善的預防機制,能夠最大程度上抵制ARP 欺騙攻擊。隨著(zhù)網(wǎng)絡(luò )產(chǎn)品及技術(shù)的不斷更新,IDC中心網(wǎng)絡(luò )建設的不斷完善,我們已經(jīng)可以更好的解決ARP欺騙攻擊問(wèn)題,確保IDC中心安全可靠運行。

參考文獻

[1] 樊景博,劉愛(ài)軍.ARP病毒的原理及防御辦法[J].商洛學(xué)院學(xué)報,2007(2).

[2] 曹洪武.ARP欺騙入侵的檢測與防范策略[J].塔里木大學(xué)學(xué)報2007(2).

[3] 孟曉明.給予ARP的網(wǎng)絡(luò )欺騙的檢測與防范[J].信息技術(shù),2005(5):41-44.

[4] 王堅,梁海軍.ARP欺騙原理及其防范策略探討[J].計算機與現代化,2008(2):90-101.

[5] 葉城緒.校園網(wǎng)中基于A(yíng)RP的欺騙及其預防[J].青海大學(xué)學(xué)報(自然科學(xué)報),2007(3):59-61.