ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。目前,网络中常见的ARP攻击方式包括ARP泛洪攻击,仿冒用户、仿冒网关攻击。
一、防御报文泛洪类攻击
1、攻击现象
攻击者向局域网发送大量目的IP地址无法解析的IP报文,导致网关需要反复解析这类目的IP地址,增加了CPU负担。攻击者向局域网发送大量ARP报文,导致网关的ARP表项被占满,无法学习合法的ARP表项。
2、防御措施
ARP源抑制
统计5秒内设备收到的源IP地址相同但目的IP地址不能解析的IP报文数目,超过指定阈值后,停止处理。本功能适用于源IP地址固定的攻击环境。
ARP黑洞路由
收到目的IP地址不能解析的IP报文,设备立即产生一条黑洞路由,并同时发起ARP主动探测。如果黑洞路由老化前,ARP解析成功,则删除黑洞路由,转发IP报文。
源MAC地址固定的ARP攻击检测
5秒内设备收到的同一源MAC地址的ARP报文的数目超过一定阈值时,则认为存在攻击。检测到攻击后,设备可以根据需要进行多种方式的处理,如打印日志信息、过滤攻击报文等。
ARP报文限速
对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。
二、防御仿冒用户、仿冒网关攻击
1、仿冒网关攻击现象
攻击者发送错误的网关IP地址和MAC地址对应关系给合法客户端,导致合法客户端不能正常访问网关。
2、仿冒用户欺骗网关攻击现象
攻击者发送伪造的合法客户端的IP地址+MAC地址的对应关系给网关,导致网关无法与合法客户端正常通信。
3、仿冒用户欺骗用户攻击现象
攻击者发送伪造的合法客户端的IP地址+MAC地址的对应关系给其他合法客户端,导致两个客户端之间无法正常通信。
4、防御措施
ARP报文源MAC地址一致性检查
设备学习ARP表项时,如果发现ARP报文的以太网数据帧的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃。
ARP主动确认
设备在新建或更新ARP表项前,需要向ARP请求报文中的源IP地址发送ARP主动确认,防止学到错误的ARP表项。
授权ARP
设备只能学习与DHCP服务器或DHCP中继记录的用户表项一致的ARP报文。
ARP报文发送端IP地址检查
如果指定VLAN内的ARP报文的源IP地址不在指定源IP地址范围内,则认为是攻击报文,将其丢弃。
ARP自动扫描、固化
对局域网内的用户进行自动扫描,并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络(如网吧)中配置本功能。
ARP 双向分离
设备通过如下机制确保不会学到非法的ARP表项:收到ARP请求后,不会生成对应的ARP表项;发送ARP请求并收到ARP应答后,才会生成ARP表项;收到非本机的ARP请求对应的应答后,丢弃应答报文。
ARP网关保护
在设备上不与网关相连的接口上配置本功能,当ARP报文的源IP地址与配置的网关IP地址相同时,丢弃报文。
ARP过滤保护
本功能用来限制接口下允许通过的ARP报文。当ARP报文的源IP地址和源MAC地址与允许通过的IP地址和MAC地址不同时,丢弃报文。
ARP Detection
检查用户的合法性,ARP报文的有效性,丢弃非法的ARP报文。
配置策略
不同的ARP攻击防御功能需要部署在不同的网络节点上。
