作为公司网络管理员的我们恐怕最担心的就是员工计算机或者服务器的上网问题了,毕竟目前很多应用和服务都是建立在网络连通基础上的。网络攻击也是造成网络连接中断的最主要因素,而ARP欺骗攻击可谓是最难解决的问题了,很多网络管理员都遇到此故障,非法计算机通过ARP(Address Resolution Protocol)欺骗工具来阻止其他计算机上网;感染了病毒的计算机也会无意识的发送ARP欺骗数据包来扰乱网络体系中的ARP地址列表。那么我们这些网络管理员该如何应对ARP欺骗攻击手段呢?今天我们就为大家介绍一下ARP欺骗的基本原理并为大家推荐一款能够有效抵御ARP欺骗攻击的NEWDON NBADswitchII+系列交换机。
基本原理
Address Resolution Protocol (ARP) 地址解析协议,用于同Vlan中IP与MAC地址的映射解析,在交换机网络中,同VLan之间的通信是根据主机的MAC地址来做数据的转发,ARP封包类型为0x806。
解析过程
ARP封包有两种典型的类型Request-Broadcast Frame 、ARP Reply –uncast,解析过程如下:
如图 A 在与B 通信之前,查询B的MAC地址,在初始时,由A主动发送一个MAC地址为全F的广播查询帧,并且表明B的IP为10.0.0.2。
同一局域网中的主机都会收到A的ARP Request查询帧,但仅仅B的IP地址跟要查询的10.0.0.2匹配,B会回应一个ARP Response帧给给A。最后交换机中的会完成A、B的MAC和端口的对应MAC 地址列表。
欺骗防护
攻击实现原理
Arp Spoofing Attacks
如图攻击主机C,主动发送一个ARP回应封包给主机A,回应包中将携带主机B的IP地址,标明MAC为0666,主机A将更新本地的ARP表。
哄骗之后达成的结果:比如Host A需要去Telnet B,去往B的的Telnet流要到主机C上。
ARP欺骗防护
针对ARP欺骗目前很多交换机厂商都要推出相应的解决方案,其中常用做法是在交换机端口上使用IP+MAC捆绑来过滤大部分ARP欺骗,但对于Netcut ARP欺骗攻击的并不完全有效,如下图标注了NetCut攻击中最为典型的一种特征:
通过红线标记处发现,攻击者也会使用自己真实的Source MAC,仅只篡改Send MAC 的ARP欺骗封包,而对这种欺骗使用IP+MAC绑定过滤是无效的,需要更深度的检测才可以被检测到,其中NEWDON NBADswitch II系列交换机提供了NetCut ARP 检测以及丰富的ACL功能特性功能来防止ARP欺骗行为。
IP+MAC+端口绑定
使用NEWDON NBADswitchII的IP+MAC+端口绑定可以过滤或减轻ARP欺骗攻击行为。
Private-Vlan
使用NEWDON NBADswitchII的Private-VLAN,对同一子网的端端口进行隔离,减少广播留和无关的流量,从而减少来自同VLAN内用户的ARP欺骗攻击。
Netcut ACL
NEWDON NBADswitch针对NetCut的ARP攻击的特征单独定制了相关的特征过滤策略。
开启NEWDON NBADswitchII+ 中Security Setting Wizard>Blocked Defense>Netcut ARP Attack功能,过滤NetCut的欺骗、攻击封包。
ACL
NEWDON NBADswitchII同时也提供了非常丰富的ACL参数,以供用户可以自定义策略。如下图的ARP的参数中可以定义 ARP的封包的源MAC地址、目的MAC地址,Sender MAC、Target MAC、封包类型等详细参数。
相信通过这边文章,大家对于ARP欺骗攻击也会有进一步的了解。而文中介绍的NEWDON NBADswitchII+系列交换机是纽盾科技旗下的产品,该公司虽然是一家新兴成立的网络安全设备供应商,但凭借出色的产品质量、强大的研发能力、雄厚的技术实力以及完善周到的售后服务让纽盾的产品拥有强悍的市场竞争力,有兴趣的朋友不妨可以关注一下。
电话:021-51619288
传真:021-51619298
mail:sales@newdon.net
网址:www.newdon.net