技巧分享：動態(tài)ARP檢測防止中間人攻擊(2)

為了有效防止中間人攻擊，在思科的網(wǎng)絡(luò)產(chǎn)品中設(shè)計了動態(tài)ARP檢測。其原理比較簡單，就是交換機的相關(guān)端口會自動檢測ARP數(shù)據(jù)包來自于正確的端口，并且沒有被攻擊者所更改或者欺騙。這個原理說起來簡單，其實要實現(xiàn)起來需要經(jīng)過許多的技術(shù)處理。通常情況下，通過DHCP監(jiān)聽綁定表，交換機能夠確定正確的端口。如果交換機能夠數(shù)據(jù)來自錯誤的端口，則會自動拋棄這個數(shù)據(jù)包，并會將相關(guān)的信息記錄在案。而且還會將違規(guī)端口設(shè)置為err-disable 狀態(tài)，攻擊者將不能夠?qū)�網(wǎng)絡(luò)進行進一步的破壞工作。

如上圖所示，如果要在這個環(huán)境中啟用動態(tài)ARP檢測技術(shù)，需要執(zhí)行如下幾個步驟。

第一步是需要在各個交換機端口上啟用DHCP監(jiān)聽。如上所示，動態(tài)ARP檢測需要判斷數(shù)據(jù)的端口是否來自合法的端口。而要檢測這個內(nèi)容的話，必須要有DHCP監(jiān)聽綁定表。而這個表則是有DHCP監(jiān)聽程序創(chuàng)建的。這里需要注意，要在交換機所有的接口上啟用這個監(jiān)聽服務(wù)。否則的話，就可能會出現(xiàn)問題。

第二步是比較關(guān)鍵，是需要將交換機間的連接配置為DAI(動態(tài)ARP檢測)信任端口。在上面舉例子的時候，筆者為了簡單起見，只畫了一個工作組交換機。而在實際工作中，企業(yè)往往是有多個交換機共同組成一個網(wǎng)絡(luò)。此時如果讓多個交換機之間也能夠啟用動態(tài)ARP檢測功能呢?其需要做的配置，就是將交換機之間的鏈路配置為DAI信任端口。可以使用命令ip arp inspection trust來實現(xiàn)。

當啟用了動態(tài)ARP檢測功能，如果再發(fā)生中間人攻擊事件的話，交換機會如何應(yīng)對呢?如上圖所示，當攻擊者C連接到工作組交換機，并且試圖發(fā)送虛假的ARP響應(yīng)時，交換機會根據(jù)DHCP監(jiān)聽綁定表檢測到這種攻擊行為，并會丟棄這個ARP數(shù)據(jù)包。然后交換機會將這個攻擊者C所連接的端口設(shè)置為 err-disable狀態(tài)，并向管理員發(fā)出警報。

當啟用了動態(tài)ARP檢測的時候，需要注意其誤診斷的情況。如上圖所示，如果中間人C其不是直接連接在工作組交換機上。而是連接在一個集線器上。然后再通過這個集線器連接到交換機。此時當其發(fā)出中間者攻擊時，交換機會將這個接口關(guān)閉掉。此時連接在這個接口上的所有主機都將無法與網(wǎng)絡(luò)進行通信。這個 “一人有罪，全家受罰”的辦法，往往會涉及到無辜。網(wǎng)絡(luò)管理員在啟用這個功能時，需要考慮到這個負面作用。在后續(xù)排除故障的時候，也會有參考的價值。

三、動態(tài)ARP檢測在其他方面的作用

ARP動態(tài)檢測功能在防止中間人攻擊方面有比較特殊的表現(xiàn)。但是其功能還遠遠不止這個方面。如ARP動態(tài)檢測功能還可以實現(xiàn)ARP抑制。即限制入站ARP數(shù)據(jù)包的速率。如果當ARP數(shù)據(jù)包的速率達到一個指定的數(shù)值之后，此時可能網(wǎng)絡(luò)中存在著ARP攻擊。在這種情況下，交換機會自動將這個接口設(shè)置為disable狀態(tài)。要啟用ARP抑制功能，需要在交換機中進行額外的配置。如可以通過如下命令來實現(xiàn)：ip arp inspection limit rate (ARP數(shù)據(jù)包速率)。執(zhí)行這個配置并不難，其難點在于如何確定這個速率。如果速率設(shè)置的比較高，那么起不到ARP抑制的功能。相反，如果設(shè)置的比較低的話，又可能會影響到網(wǎng)絡(luò)的正常使用。

四、動態(tài)ARP檢測需要使用的相關(guān)技術(shù)

從以上的分析中可以看出，動態(tài)ARP檢測并不是一門獨立的技術(shù)，其必須要有其他的技術(shù)的幫助才能夠?qū)崿F(xiàn)。故筆者更喜歡將其稱為一個技術(shù)的組合。如需要啟用DHCP監(jiān)聽程序才能夠幫助交換機判斷數(shù)據(jù)來源接口的合法性等等。當啟用ARP檢測技術(shù)的時候，交換機會自動判斷是否啟用了一些必須的輔助技術(shù)。如果沒有啟用的話，交換機會報錯，并終止用戶的請求。所以在配置這個功能的時候，網(wǎng)絡(luò)管理員還需要了解其他與之關(guān)聯(lián)的技術(shù)。特別是需要了解其實現(xiàn)的一些前提條件，即需要先啟用哪些技術(shù)。

在實際工作中，如像用戶介紹或者培訓(xùn)過程中，筆者將動態(tài)ARP檢測技術(shù)當作一個安全的解決方案(幾種技術(shù)的組合)，而不是一門單獨的技術(shù)。這無論是在學(xué)習還是在配置中都需要引起重視。筆者再強調(diào)一次，動態(tài)ARP檢測是一種結(jié)合DHCP監(jiān)聽技術(shù)、IPSG技術(shù)等等的安全方案，其主要用來解決跟 ARP攻擊相關(guān)的安全問題。

它能夠有效保護多層交換網(wǎng)絡(luò)中接入層的ARP攻擊，如ARP中間人攻擊、ARP欺騙、ARP擴散攻擊，實現(xiàn)ARP抑制等等。當然在實現(xiàn)的過程中，也會存在一些負面作用。其最大的負面影響就是會使得連接在同一個接口上的其他無辜用戶遭受到損失。在設(shè)計與部署動態(tài)ARP檢測功能的時候，需要考慮到這個問題。如當連接到某個接口的終端出現(xiàn)網(wǎng)絡(luò)故障，而其他接口運作正常時，就需要考慮到是否是這個原因所造成的。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]