基于DHCP Snooping的校园网ARP防范研究
2014-08-14 19:00覃仲宇
电脑知识与技术 2014年19期
摘要:针对校园网普遍存在的ARP攻击、私设DHCP服务器和IP地址冲突等问题,经过分析ARP攻击原理,并结合本院实例给出了基于DHCP Snooping的校园网ARP防范解决方案。
关键词:ARP;DHCP; DHCP Snooping;IPSG;ARP-Check
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)19-4438-04
Study on ARPs Preventions on School Intranet Based on DHCP Snooping
QIN Zhong-yu
(Guangzhou Institute of Railway Technology,Guangzhou 510430,China)
Abstract: Aiming at the problems of attack by ARP on the school intranet, Private DHCP server and the conflict by IP address, this article accounts for the principles of ARP. Moreover, it also provides the how to prevent attack by ARP with the concrete examples base on DHCP Snooping.
Key words: ARP; DHCP;DHCP snooping; IPSG; ARP-Check
随着高校不断扩招,校园网用户规模不断壮大,校园网将面临更多的安全隐患。内网用户频繁掉线、网速变慢甚至不能上网等现象时有发生,这严重影响了校园网络的正常运行,此类现象基本上都是由ARP欺骗攻击引起的,这在校园网是很普遍的现象,也是很难解决的问题。结合我院校园网的实际情况,给出了基于DHCP Snooping的ARP防范解决方案。
1 ARP协议
ARP协议是“Address Resolution Protocol”(即地址解析协议)的缩写,其主要功能是将IP地址转化成对应的MAC地址(物理地址),建立IP地址与MAC地址的动态映射关系。
在以太网中,同一局域网内的主机是依据MAC地址(即物理地址)来确定目的接口,从而实现相互之间的通信;而根据TCP/IP层次模型,网络层及以上是根据IP地址来确定通信对象的。当数据链路层接收到上层的数据帧时,由于数据帧中包含有IP地址,但没有包含MAC地址,从而导致主机之间不能通信,这就需要把IP地址转换成MAC地址的机制,由此ARP协议应运而生。ARP协议的功能就是将IP地址转换成对应的MAC地址。
正常的ARP通讯过程只需广播ARP Request和单播ARP Replay两个过程,也就是一问一答。如图1所示:
主机A:192.168.0.2 主机B:192.168.0.1
MAC:00d0.f800.02 MAC:00d0.f800.01
图1 ARP通讯过程
每台主机上都有一个ARP高速缓存,用于存放IP地址和MAC地址的动态映射关系,在主机上可用'cmd'、'arp —a'命令来查看。以主机A向主机B发送数据为例:如果主机A的ARP高速缓存表中有主机B的IP地址与MAC地址的映射关系,此时可直接把目标主机B的MAC地址写入数据帧里即可发送数据帧;如果主机A的ARP高速缓存表中没有主机B的IP地址与MAC地址的映射关系,主机A会在网络中发送一个广播(ARP request),向所有主机询问:“192.168.0.1的MAC地址是什么?”,所有主机都会收到ARP request报文,但只有主机B向主机A回应,并发送单播ARP Replay告诉主机A自己的MAC地址,此时主机A会把主机B的IP地址与MAC地址映射关系更新到ARP高速缓存中。这样,主机A和主机B两者才能通信。
2 ARP欺骗攻击
由于ARP协议是建立在网络中各主机之间互相信任的基础上,使得主机收到应答报文时不会检测报文的合法性就将其更新到本地ARP高速缓存中,并且ARP高速缓存是动态的,这样就给ARP欺骗攻击提供了机遇。攻击者可通过持续的向目标主机发送非法ARP应答报文,使得目标主机ARP高速缓存记录了非法ARP信息,导致向目标主机发送的信息无法到达相应的主机或到达错误的主机,这便构成了ARP欺骗攻击。
从影响网络连接通畅的方式来看,ARP欺骗可分为两种,一种是主机型欺骗;另一种是网关型欺骗。
1) 主机型ARP欺骗,即伪造网关。通过伪造真实网关的IP地址或MAC地址,并不断广播到网络中,让被欺骗的主机向假网关发送数据。如图2所示:
图2 主机型ARP欺骗示意图
2) 网关型ARP欺骗。按照一定的频率不断告诉网关错误的内网MAC地址,使虚假的地址更新保存在网关中,导致网关数据只能发送给错误的MAC地址,造成正常主机无法收到信息。如图3所示:
图3 网关型ARP欺骗示意图
结合我院校园网的实际情况,该文将引入DHCP Snooping、IPSG和arp-check这三项技术来部署ARP防范攻击。在终端用户动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户自动获取到的正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IPSG功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定),并过滤非法的IP报文;最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络,从而杜绝网络中的ARP欺骗攻击。
3 解决方案及应用部署
3.1 DHCP Snooping技术及部署
DHCP Snooping为DHCP窥探的意思。通过对Client和Server之间的DHCP交互报文进行窥探,把用户获取到的IP信息以及用户MAC、VID、PORT、租约时间等信息组成用户记录表项,形成DHCP Snooping用户数据库,配合其他其它安全功能,可达到控制用户合法使用IP地址的目的。
在DHCP Snooping环境中,我们可将端口视为trust或untrust两种安全级别。将连接合法DHCP服务器的接口配置为trust状态,其余接口保持默认状态(即untrust)。这样,只有trust接口上收到的DHCPserver报文才会被放行,untrust接口所收到的DHCPserver报文都将被丢弃,这样可防止非法DHCPserver的接入。
以 Ruijie S2652为例,进行DHCP Snooping的配置,具体步骤如下:
Switch>enable
Switch#configure terminal
Switch(config)# ip dhcp snooping //全局启用DHCP snooping功能
Switch(config)# int gigabitEthernet 0/52
Switch(config-if-GigabitEthernet 0/52)#ip dhcp snooping trust //上联口设置为trust状态
建立和维护的DHCP Snooping binding table 如图4所示:
图4 DHCP Snooping binding table信息
3.2 IPSG技术及部署
虽然依靠DHCP Snooping的过滤,最大限度的过滤了来自客户端的攻击,杜绝了网络中的非法DHCP服务器。但在实际网络环境中,由于ARP协议是建立在网络中各主机之间是相互信任的基础上,这导致主机可以任意更改MAC地址,造成IP地址与MAC地址映射关系的混乱。ARP欺骗正是通过修改主机MAC地址,并不间断的告知其他主机或网关,以达到欺骗的目的。
IPSG(IP Source Guard)通过维护一个IP源地址绑定数据库,可以在对应的接口上对报文进行基于源IP、源IP加源MAC的报文过滤,从而保证只有IP源地址绑定数据库中的主机才能正常使用网络。IPSG不但可以配置成对IP地址或者MAC 地址的过滤,也可以配置成对IP-MAC地址的过滤。IPSG通过把合法的PORT-MAC-IP映射关系绑定起来,从而基于此映射关系过滤掉非法IP地址,解决了MAC地址冒用和IP地址冲突等问题。
以 RuiJie S2652 为例,进行IPSG的配置,具体步骤如下:
Switch(config-if)#int FastEthernet 0/1
Switch(config-if-FastEthernet 0/1)# ip verify source port-security //IP源防护功能执行“源IP和源MAC地址过滤”
配置验证,如图5所示:
图5 IPSG过滤表信息
3.3 ARP-Check技术及部署
ARP-Check即ARP报文检查功能,对逻辑端口下的所有ARP报文进行过滤,对所有非法的ARP报文进行过滤,有效防止ARP欺骗。
其工作过程如图6所示:
图6 ARP-Check工作流程
ARP-Check功能使用交换机各安全功能模块产生的合法用户信息表检测逻辑端口下的所有ARP报文中的Sender IP字段或
以 RuiJie S2652 为例,进行ARP-Check的配置,具体步骤如下:
Switch(config-if)#int FastEthernet 0/1
Switch(config-if-FastEthernet 0/1)# arp check //端口下启用ARP-Check功能
配置验证,如图7所示:
图7 ARP-Check过滤信息表
4 小结
本文对ARP协议的概念、工作原理和ARP欺骗攻击原理及现象等若干问题进行了深入的分析和研究,结合我院校园网的实际网络环境,提出了基于DHCP Snooping技术,结合IP Source Guard和ARP-Check等相关交换机安全功能,对IP地址+MAC地址+端口进行管理和控制,充分过滤非法ARP和IP报文,保证合法用户正常上网,有效解决了校园网ARP攻击现象,保证校园网持续、稳定、安全的运转。
参考文献:
[1] 王奇.以太网中 ARP 欺骗原理与解决办法[J].网络安全技术与应用.2007.
[2] 王彦刚. ARP 病毒在校园网内的传播和解决方案[J]. 黑龙江科技信息,2008,(9) :56.
[3] 车树炎. 基于ARP 欺骗攻击网络安全性的研究[J].电脑知识与技术,2012.
[4] 赵均,陈克非.ARP协议安全漏洞分析及其防御方法[J].信息安全与通信保密, 2006(8): 73-74, 77.
[5] 吴青.局域网ARP攻击与防范[J].办公自动化杂志, 2006(8): 25-27.
[6] 田文勇,李常先.解决 DHCP 环境下私自制定 IP 和私自搭建DHCP 服务器的方法[J].福建电脑,2008.
[7] 赵均,陈克非.ARP协议安全漏洞分析及其防御方法[J].信息安全与通信保密, 2006(8): 73-74, 77.
[8] 福建星网锐捷网络有限公司[M].RG- S2600系列交换机配置手册.V10.3(4) .
图3 网关型ARP欺骗示意图
结合我院校园网的实际情况,该文将引入DHCP Snooping、IPSG和arp-check这三项技术来部署ARP防范攻击。在终端用户动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户自动获取到的正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IPSG功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定),并过滤非法的IP报文;最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络,从而杜绝网络中的ARP欺骗攻击。
3 解决方案及应用部署
3.1 DHCP Snooping技术及部署
DHCP Snooping为DHCP窥探的意思。通过对Client和Server之间的DHCP交互报文进行窥探,把用户获取到的IP信息以及用户MAC、VID、PORT、租约时间等信息组成用户记录表项,形成DHCP Snooping用户数据库,配合其他其它安全功能,可达到控制用户合法使用IP地址的目的。
在DHCP Snooping环境中,我们可将端口视为trust或untrust两种安全级别。将连接合法DHCP服务器的接口配置为trust状态,其余接口保持默认状态(即untrust)。这样,只有trust接口上收到的DHCPserver报文才会被放行,untrust接口所收到的DHCPserver报文都将被丢弃,这样可防止非法DHCPserver的接入。
以 Ruijie S2652为例,进行DHCP Snooping的配置,具体步骤如下:
Switch>enable
Switch#configure terminal
Switch(config)# ip dhcp snooping //全局启用DHCP snooping功能
Switch(config)# int gigabitEthernet 0/52
Switch(config-if-GigabitEthernet 0/52)#ip dhcp snooping trust //上联口设置为trust状态
建立和维护的DHCP Snooping binding table 如图4所示:
图4 DHCP Snooping binding table信息
3.2 IPSG技术及部署
虽然依靠DHCP Snooping的过滤,最大限度的过滤了来自客户端的攻击,杜绝了网络中的非法DHCP服务器。但在实际网络环境中,由于ARP协议是建立在网络中各主机之间是相互信任的基础上,这导致主机可以任意更改MAC地址,造成IP地址与MAC地址映射关系的混乱。ARP欺骗正是通过修改主机MAC地址,并不间断的告知其他主机或网关,以达到欺骗的目的。
IPSG(IP Source Guard)通过维护一个IP源地址绑定数据库,可以在对应的接口上对报文进行基于源IP、源IP加源MAC的报文过滤,从而保证只有IP源地址绑定数据库中的主机才能正常使用网络。IPSG不但可以配置成对IP地址或者MAC 地址的过滤,也可以配置成对IP-MAC地址的过滤。IPSG通过把合法的PORT-MAC-IP映射关系绑定起来,从而基于此映射关系过滤掉非法IP地址,解决了MAC地址冒用和IP地址冲突等问题。
以 RuiJie S2652 为例,进行IPSG的配置,具体步骤如下:
Switch(config-if)#int FastEthernet 0/1
Switch(config-if-FastEthernet 0/1)# ip verify source port-security //IP源防护功能执行“源IP和源MAC地址过滤”
配置验证,如图5所示:
图5 IPSG过滤表信息
3.3 ARP-Check技术及部署
ARP-Check即ARP报文检查功能,对逻辑端口下的所有ARP报文进行过滤,对所有非法的ARP报文进行过滤,有效防止ARP欺骗。
其工作过程如图6所示:
图6 ARP-Check工作流程
ARP-Check功能使用交换机各安全功能模块产生的合法用户信息表检测逻辑端口下的所有ARP报文中的Sender IP字段或
以 RuiJie S2652 为例,进行ARP-Check的配置,具体步骤如下:
Switch(config-if)#int FastEthernet 0/1
Switch(config-if-FastEthernet 0/1)# arp check //端口下启用ARP-Check功能
配置验证,如图7所示:
图7 ARP-Check过滤信息表
4 小结
本文对ARP协议的概念、工作原理和ARP欺骗攻击原理及现象等若干问题进行了深入的分析和研究,结合我院校园网的实际网络环境,提出了基于DHCP Snooping技术,结合IP Source Guard和ARP-Check等相关交换机安全功能,对IP地址+MAC地址+端口进行管理和控制,充分过滤非法ARP和IP报文,保证合法用户正常上网,有效解决了校园网ARP攻击现象,保证校园网持续、稳定、安全的运转。
参考文献:
[1] 王奇.以太网中 ARP 欺骗原理与解决办法[J].网络安全技术与应用.2007.
[2] 王彦刚. ARP 病毒在校园网内的传播和解决方案[J]. 黑龙江科技信息,2008,(9) :56.
[3] 车树炎. 基于ARP 欺骗攻击网络安全性的研究[J].电脑知识与技术,2012.
[4] 赵均,陈克非.ARP协议安全漏洞分析及其防御方法[J].信息安全与通信保密, 2006(8): 73-74, 77.
[5] 吴青.局域网ARP攻击与防范[J].办公自动化杂志, 2006(8): 25-27.
[6] 田文勇,李常先.解决 DHCP 环境下私自制定 IP 和私自搭建DHCP 服务器的方法[J].福建电脑,2008.
[7] 赵均,陈克非.ARP协议安全漏洞分析及其防御方法[J].信息安全与通信保密, 2006(8): 73-74, 77.
[8] 福建星网锐捷网络有限公司[M].RG- S2600系列交换机配置手册.V10.3(4) .
图3 网关型ARP欺骗示意图
结合我院校园网的实际情况,该文将引入DHCP Snooping、IPSG和arp-check这三项技术来部署ARP防范攻击。在终端用户动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户自动获取到的正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IPSG功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定),并过滤非法的IP报文;最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络,从而杜绝网络中的ARP欺骗攻击。
3 解决方案及应用部署
3.1 DHCP Snooping技术及部署
DHCP Snooping为DHCP窥探的意思。通过对Client和Server之间的DHCP交互报文进行窥探,把用户获取到的IP信息以及用户MAC、VID、PORT、租约时间等信息组成用户记录表项,形成DHCP Snooping用户数据库,配合其他其它安全功能,可达到控制用户合法使用IP地址的目的。
在DHCP Snooping环境中,我们可将端口视为trust或untrust两种安全级别。将连接合法DHCP服务器的接口配置为trust状态,其余接口保持默认状态(即untrust)。这样,只有trust接口上收到的DHCPserver报文才会被放行,untrust接口所收到的DHCPserver报文都将被丢弃,这样可防止非法DHCPserver的接入。
以 Ruijie S2652为例,进行DHCP Snooping的配置,具体步骤如下:
Switch>enable
Switch#configure terminal
Switch(config)# ip dhcp snooping //全局启用DHCP snooping功能
Switch(config)# int gigabitEthernet 0/52
Switch(config-if-GigabitEthernet 0/52)#ip dhcp snooping trust //上联口设置为trust状态
建立和维护的DHCP Snooping binding table 如图4所示:
图4 DHCP Snooping binding table信息
3.2 IPSG技术及部署
虽然依靠DHCP Snooping的过滤,最大限度的过滤了来自客户端的攻击,杜绝了网络中的非法DHCP服务器。但在实际网络环境中,由于ARP协议是建立在网络中各主机之间是相互信任的基础上,这导致主机可以任意更改MAC地址,造成IP地址与MAC地址映射关系的混乱。ARP欺骗正是通过修改主机MAC地址,并不间断的告知其他主机或网关,以达到欺骗的目的。
IPSG(IP Source Guard)通过维护一个IP源地址绑定数据库,可以在对应的接口上对报文进行基于源IP、源IP加源MAC的报文过滤,从而保证只有IP源地址绑定数据库中的主机才能正常使用网络。IPSG不但可以配置成对IP地址或者MAC 地址的过滤,也可以配置成对IP-MAC地址的过滤。IPSG通过把合法的PORT-MAC-IP映射关系绑定起来,从而基于此映射关系过滤掉非法IP地址,解决了MAC地址冒用和IP地址冲突等问题。
以 RuiJie S2652 为例,进行IPSG的配置,具体步骤如下:
Switch(config-if)#int FastEthernet 0/1
Switch(config-if-FastEthernet 0/1)# ip verify source port-security //IP源防护功能执行“源IP和源MAC地址过滤”
配置验证,如图5所示:
图5 IPSG过滤表信息
3.3 ARP-Check技术及部署
ARP-Check即ARP报文检查功能,对逻辑端口下的所有ARP报文进行过滤,对所有非法的ARP报文进行过滤,有效防止ARP欺骗。
其工作过程如图6所示:
图6 ARP-Check工作流程
ARP-Check功能使用交换机各安全功能模块产生的合法用户信息表检测逻辑端口下的所有ARP报文中的Sender IP字段或
以 RuiJie S2652 为例,进行ARP-Check的配置,具体步骤如下:
Switch(config-if)#int FastEthernet 0/1
Switch(config-if-FastEthernet 0/1)# arp check //端口下启用ARP-Check功能
配置验证,如图7所示:
图7 ARP-Check过滤信息表
4 小结
本文对ARP协议的概念、工作原理和ARP欺骗攻击原理及现象等若干问题进行了深入的分析和研究,结合我院校园网的实际网络环境,提出了基于DHCP Snooping技术,结合IP Source Guard和ARP-Check等相关交换机安全功能,对IP地址+MAC地址+端口进行管理和控制,充分过滤非法ARP和IP报文,保证合法用户正常上网,有效解决了校园网ARP攻击现象,保证校园网持续、稳定、安全的运转。
参考文献:
[1] 王奇.以太网中 ARP 欺骗原理与解决办法[J].网络安全技术与应用.2007.
[2] 王彦刚. ARP 病毒在校园网内的传播和解决方案[J]. 黑龙江科技信息,2008,(9) :56.
[3] 车树炎. 基于ARP 欺骗攻击网络安全性的研究[J].电脑知识与技术,2012.
[4] 赵均,陈克非.ARP协议安全漏洞分析及其防御方法[J].信息安全与通信保密, 2006(8): 73-74, 77.
[5] 吴青.局域网ARP攻击与防范[J].办公自动化杂志, 2006(8): 25-27.
[6] 田文勇,李常先.解决 DHCP 环境下私自制定 IP 和私自搭建DHCP 服务器的方法[J].福建电脑,2008.
[7] 赵均,陈克非.ARP协议安全漏洞分析及其防御方法[J].信息安全与通信保密, 2006(8): 73-74, 77.
[8] 福建星网锐捷网络有限公司[M].RG- S2600系列交换机配置手册.V10.3(4) .
