地址解析協(xié)議 (ARP) 是在網(wǎng)絡安全性還不是很發(fā)達的時候設計的。因此該協(xié)議是沒有嵌入安全性的明文。它不驗證 ARP 數(shù)據(jù)包，甚至接受 ARP 響應，即使 ARP 請求從未發(fā)出過。默認情況下，沒有機制驗證惡意主機是否發(fā)送惡意 ARP 消息或攔截和更改 ARP 請求/回復。幾種著名的攻擊使用稱為ARP 欺騙的相同過程。攻擊者的最終目標是進入數(shù)據(jù)路徑，如圖 1 所示，竊取私有數(shù)據(jù)。

編輯切換為居中

圖 1. 中間人攻擊示例

ARP欺騙

當局域網(wǎng)中的惡意主機發(fā)送虛假的 ARP 消息時，它可以將其 MAC 地址與默認網(wǎng)關的 IP 地址或局域網(wǎng)中的任何其他 IP 地址關聯(lián)起來。然后它可以開始接收打算發(fā)送給網(wǎng)絡中另一臺主機的數(shù)據(jù)。有利用這種欺騙技術的主要攻擊：

• Main-in-the-Middle： 入侵者攔截ARP報文來自合法用戶并修改他們以重定向數(shù)據(jù)。

• 會話劫持：黑客試圖使用 ARP 欺騙竊取 cookie、令牌或會話 ID這樣他就可以未經(jīng)授權訪問私人數(shù)據(jù)。在繁忙的公交車站和機場的公共 WiFi 網(wǎng)絡中很常見。

• 拒絕服務 (DoS)：攻擊者嘗試使主機或網(wǎng)絡資源不可用給它的目標用戶。通常在 ARP 欺騙的情況下，它是通過竊取打算發(fā)送給特定主機的合法數(shù)據(jù)或用大量虛假或格式錯誤的 ARP 消息淹沒主機來完成的。

編輯切換為居中

圖 2. ARP 欺騙示例

讓我們看一下圖 2 中的示例。PC1 向路由器 1 的 IP 發(fā)送 ARP 請求。如您所知，LAN 中的所有節(jié)點都會收到此數(shù)據(jù)包的副本。因此，具有 IP 192.168.1.6 的攻擊者可以欺騙或更改路由器 1 的回復，因此與 IP 192.168.1.1 關聯(lián)的物理地址為 5445-CCCD-DDDD。這將強制 PC1 和路由器 1 之間的所有流量通過攻擊者，如圖 1 所示。這種類型的 ARP 攻擊通常被稱為ARP 中毒。

ARP 安全功能

思科引入了一些 ARP 安全功能來解決上述漏洞。

動態(tài) ARP 檢查 (DAI)

動態(tài) ARP 檢查 (DAI)是一種攔截 ARP 請求/回復消息和根據(jù)受信任的數(shù)據(jù)庫驗證 MAC 到 IP 的綁定由另一個稱為DHCP snooping的功能構建。主要思想是，如果您使用 DHCP 為主機動態(tài)分配 IP 地址，則交換機可以窺探 DHCP 消息并跟蹤 LAN 中的哪個主機分配了哪個 IP?；谠撔畔ⅲ梢陨院篁炞C主機是否響應 ARP 請求以獲取未分配給它的 IP 地址。丟棄無效或錯誤的 ARP 回復。

該功能通過將信任狀態(tài)與交換機上的每個接口相關聯(lián)來工作。到達受信任接口的 ARP 幀會繞過檢查，而在不受信任端口上接收的 ARP 幀會經(jīng)過驗證檢查。在典型的 DAI 配置中，連接到終端客戶端的所有交換機端口都是不可信的，而連接到其他交換機/路由器或 DHCP 服務器的端口是可信的。

編輯切換為居中

圖 3. 動態(tài) ARP 檢查示例

讓我們看一下圖 3 中的示例。綠色端口配置為可信，紅色端口不可信。

ARP限速

ARP 數(shù)據(jù)包在 CPU 中處理，因此當交換機接收到大量 ARP 幀時，很容易使 CPU 過載并導致設備崩潰。這可以被用作拒絕服務攻擊。DAI 有一個內(nèi)置機制，通過限制每秒可以發(fā)送到 CPU 的 ARP 數(shù)據(jù)包的數(shù)量來防止這種情況發(fā)生。在交換機上啟用動態(tài) ARP 檢查時，自動所有不受信任的端口都被限制為每秒 15 個 ARP 數(shù)據(jù)包, 而trusted 沒有速率限制。當傳入 ARP 幀的速率超過限制時，接口被禁用。

DAI 日志記錄

每個被拒絕的 ARP 數(shù)據(jù)包都會生成一條日志消息，并且可以將其發(fā)送到安全運營中心 (SOC) 進行分析，或者可以將其輸入可以對其采取行動的自動威脅檢測算法。此類日志消息的示例如下所示。

編輯

配置動態(tài) ARP 檢查 (DAI)

假設我們使用圖 3 中所示的拓撲作為示例。要在兩臺交換機上啟用動態(tài) ARP 檢測 (DAI) 并將其間的中繼鏈路配置為受信任，需要執(zhí)行以下步驟：

第 1 步：在兩臺交換機上啟用并驗證 DAI。

編輯切換為居中

在交換機 2 上應用了相同的配置?，F(xiàn)在讓我們驗證該功能的狀態(tài)。

編輯

第 2 步：將交換機之間的鏈路配置為可信端口。

編輯

第 3 步：驗證 DHCP Snooping 是否正在運行并且存在 MAC 到 IP 綁定。

編輯

現(xiàn)在讓我們看看如果一個 rouge 主機發(fā)送一個錯誤的 ARP 回復試圖毒化 192.168.1.7 的 ARP 緩存會發(fā)生什么。

編輯切換為居中

概括

• ARP 不是安全協(xié)議，也沒有內(nèi)置的安全機制。

• 一些基于ARP 欺騙（ARP 中毒）的漏洞利用是眾所周知的。

• 思科引入了一種稱為 動態(tài) ARP 檢測 (DAI)的功能，可以緩解大多數(shù)眾所周知的漏洞。

• DAI 依賴于另一個稱為DHCP Snooping的功能，該功能跟蹤 DHCP 已將哪個 IP 地址提供給哪個主機，并將該信息存儲在MAC-to-IP 綁定表中。

• DAI 通過將信任狀態(tài)與交換機上的每個接口相關聯(lián)來工作。當 ARP 數(shù)據(jù)包到達不受信任的端口時，將根據(jù) MAC-to-IP 綁定表對其進行驗證。

• 不受信任的端口被限制為每秒15 個 ARP 數(shù)據(jù)包，以防止拒絕服務攻擊。