您的位置:360文档中心› ARP攻防技术白皮书

ARP攻防技术白皮书

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ARP防攻击技术白皮书

目录

目录 (3)

1技术概述 (5)

1.1ARP工作机制 (5)

1.2ARP攻击原理 (5)

1.2.1ARP攻击类型 (5)

1.2.2ARP欺骗 - 仿冒用户主机 (6)

1.2.3ARP欺骗 - 仿冒网关攻击 (7)

1.2.4ARP泛洪攻击 - 拒绝服务攻击 (8)

1.2.5ARP泛洪攻击 - 缓存溢出攻击 (9)

1.2.6ARP泛洪攻击 - 扫描攻击 (10)

1.3ARP攻击防范技术介绍 (11)

1.3.1防ARP地址欺骗 (11)

1.3.2防ARP网关冲突 (12)

1.3.3ARP严格学习 (12)

1.3.4动态ARP检测(DAI) (13)

1.3.5ARP报文速率限制 (14)

2ARP防攻击解决方案 (14)

2.1二层交换机防攻击方案 (14)

2.2三层网关防攻击方案 (15)

ARP防攻击技术白皮书

关键词:ARP,ARP欺骗,泛洪攻击

摘要:本文针对目前常见的ARP攻击,介绍了华为网络设备所能提供的防范ARP攻击的方法以及典型组网应用。

缩略语:

1技术概述

1.1ARP工作机制

ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,基本功能就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址,以保证通信的进行。

工作过程如下:

(1) 当网络节点需要解析一个IP 地址对应的MAC 地址时,会广播发送ARP 请求报文。

(2) 其他网络节点接收到ARP请求后,会进行ARP应答。同时,根据请求发送者的IP地址和 MAC地址的对应关系建立 ARP表项,以便后续查ARP表进行报文转发。

(3) 发起请求的网络节点接收到ARP应答后,同样会将ARP应答报文中发送者的IP 地址和MAC 地址的映射关系记录下来,生成ARP表项,以便后续查ARP表进行报文转发。

1.2ARP攻击原理

ARP工作机制可以看出,ARP协议简单易用,没有任何安全机制,攻击者可以发送伪造ARP 报文对网络进行攻击。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP表中的条目,造成网络中断或中间人攻击。同时,能够通过在网络中产生大量的ARP通信量,使网络阻塞。

1.2.1ARP攻击类型

常见的ARP攻击包括ARP欺骗、洪泛攻击。

ARP欺骗指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。

ARP洪泛攻击也叫拒绝服务攻击,攻击者向设备发送大量虚假的ARP请求报文或免费ARP报文,造成设备上的ARP表项超过规格,表项溢出,无法缓存正常用户的ARP表项,或者ARP处理协议通道阻塞等,从而阻碍正常的报文转发。

综上所述,ARP攻击方式有如下 2大类 5小类:

⏹ARP欺骗

根据仿冒的网络节点的不同,又可以细分为

●仿冒用户主机

●仿冒网关

⏹ARP泛洪攻击

根据攻击目标的不同,又可以细分为

●拒绝服务攻击

●缓存溢出攻击

●扫描攻击

1.2.2ARP欺骗 - 仿冒用户主机

原理

一个典型的用户主机仿冒流程如下:

1.信息节点比如网关广播ARP请求,询问用户A的地址

2.用户A回应自己的地址

3.建立合法用户A的ARP表项

4.用户B发出仿冒的ARP回应,可以是自己的MAC地址,也可以是网络中其他用户地址甚至是不存在的地址

5. 合法的ARP表项被修改为仿冒的ARP表项

6. 给用户A的流量被转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他用户,如果仿冒的是不存在的地址,则流量在网络中被阻断

危害

如果用户B仿冒时用的是自己的地址,当流量返回时,就可以从流量中获取信息,从而形成中间人攻击

如果用户B仿冒时用的是其他用户地址,当流量返回时,就可以对其他用户进行流量攻击如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断

用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中断。

1.2.3ARP欺骗 - 仿冒网关攻击

原理

一个典型的网关仿冒流程如下:

1.用户A广播ARP请求,询问网关的MAC地址

2.网关回应自己的MAC地址

3.用户A主机建立合法网关的ARP表项

4.用户B发出仿冒的网关ARP表项,可以是自己的MAC地址,也可以是网络中其他用户地址甚至是不存在的地址

5. 用户A主机合法网关的ARP表项被修改为仿冒的ARP表项

6. 用户A的流量转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他用户,如果仿冒的是不存在的地址,则流量在网络中被阻断

危害

如果用户B仿冒时用的是自己的地址,则用户A所有信息都会转发给用户B,从而形成中间人攻击

如果用户B仿冒时用的是其他用户地址,就可以对其他用户进行流量攻击

如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断

用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中断。

1.2.4ARP泛洪攻击 - 拒绝服务攻击

原理

一个典型的拒绝服务流程如下:

相关文档
最新文档