H3C ARP攻击防御解决方案

H3C ARP攻击防御解决方案

方案概述

近来， ARP攻击问题日渐突出。严重者甚至造成大面积网络不能正常访

问外网，众多学校和企业深受其害。为了应对目前大量爆发的ARP攻击问题，H3C公司开发了ARP防攻击解决方案。通过对ARP攻击的种类，特点进行分析，找到 ARP攻击防御的最佳控制点。有效解决了ARP攻击问题。

ARP攻击防御解决方案技术白皮书

关键词：ARP ARP攻击

摘要：本文介绍了H3C公司ARP攻击防御解决方案的思路。同时阐述了ARP 攻击防御解决方案的技术细节和特点。

缩略语清单：

1概述

1.1ARP攻击日益严重

近来， ARP攻击问题日渐突出。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H3C公司根据ARP攻击的特点，给出了有效的防ARP攻击解决方案。要解决ARP攻击问题，首先必须了解ARP欺骗攻击的类型和原理，以便于更好的防范和避免ARP攻击的带来的危害。

1.2ARP攻击这么容易进行呢

ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例，其ARP 协议运行的主要交互机制如下：

1如果A需要向B发起通信，A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有，则进行下面的步骤：

2A在局域网上广播一个ARP请求，查询B的IP地址所对应的MAC地址;

3本局域网上的所有主机都会收到该ARP请求;

4所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求，则发送一个ARP应答给A,告知A自己的MAC地址;

5主机A收到B的ARP应答后,会在自己的 ARP缓存中写入主机B的ARP 表项.

如上所述，利用ARP协议，可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。导致在ARP协议中没有认证的机制，从而导致针对ARP

协议的欺骗攻击非常容易。

1.3ARP攻击的类型

目前ARP攻击中有如下三种类型。我们根据影响范围和出现频率分别介绍如下：

1.3.1网关仿冒

ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图：

图1 网关仿冒攻击示意图

如上图所示，攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。从而网络中主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

1.3.2欺骗网关

攻击者发送错误的终端用户的IP＋MAC的对应关系给网关，导致网关无法和合法终端用户正常通信。这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。见下图：

图2 欺骗网关攻击示意图

如上图，攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

1.3.3欺骗终端用户

这种攻击类型，攻击者发送错误的终端用户/服务器的IP＋MAC的对应关系给受害的终端用户，导致同网段内两个终端用户之间无法正常通信。这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。见下图：

图3 欺骗终端攻击示意图

如上图，攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机该网段内某一合法用户的MAC地址已经更新。导致该网段内其他主机发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

1.3.4ARP泛洪攻击

这种攻击类型，攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网。主要是一种对局域网资源消耗的攻击手段。这种攻击在校园网中也有发生，但概率和上述三类欺骗性ARP攻击类型相比，相对较少。如下图：

2解决方案介绍

通过对上述的ARP攻击类型的介绍。我们可以很容易发现当前ARP攻击防御的关键所在：如何获取到合法用户和网关的IP-MAC对应关系，并如何利用该对应关系对ARP报文进行检查，过滤掉非法ARP报文。H3C公司有两条思路来解决这一关键问题，即认证模式和DHCP监控模式。分别对用户认证的过程和IP地址申请过程的监控，获取到合法用户的IP-MAC对应关系，从而解决不同环境下的ARP 防攻击问题。

2.1认证模式

2.1.1总体思路

用户在认证时，通过CAMS服务器下发网关的IP-MAC对应关系到INOD客户端。INOD客户端将该对应关系在主机上绑定。从而有效防止主机被虚假的网关ARP 表项欺骗。即，最为常见的网关仿冒攻击。业务流程如下图：

图4 认证模式示意图

2.1.2处理机制及流程

1.处理机制

H3C iNode客户端，通过同CAMS服务器配合，由管理员在CAMS上设置正确的网关IP、MAC对应列表，并传送至客户端，客户端无论当前ARP缓存是何种状态，均按照CAMS系统下发的IP、MAC列表更新本地的ARP缓存，并周期性更新，保证用户主机网关MAC地址的正确性，从而保证用户主机报文发往正确的设备。

2.处理流程

a．客户端联动防御模式，第一步是设置本地正确的ARP列表。本地ARP列表设置流程如下图所示：

图5 iNode设置本地ARP流程

iNode客户端在发起1x认证后，CAMS在认证成功报文中返回管理员预设置的ARP 列表。用户主机在获取IP地址、获取网关IP后，在CAMS下发的ARP列表中查询是否有同本主机网关IP对应的ARP列表项，如果存在，则根据CAMS下发的信息更新本地ARP缓存，如果不存在，则向用户发出告警信息，错误原因可能是管理员配置不当，也可能是用户的DHCP请求没有得到正确的DHCP Server回应，造成本地网关IP不在CAMS下发的ARP列表范围内。

b．为了防止用户上线过程中，网关ARP列表信息被篡改，iNode客户端根据CAMS 下发的正确信息周期性的更新本地ARP缓存。

2.2DHCP 监控模式

2.2.1总体思路

接入交换机通过监控用户的正常动态IP地址获取过程，获取正常用户的IP-MAC 对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的ARP 报文，来防止接入的用户主机进行ARP欺骗攻击。这种防攻击手段能够有效防御本文所描述的所有攻击类型（详见1.2）。业务流程如下图：

图6 DHCP SNOOPING模式示意图

2.2.2相关技术

1.ARP入侵检测机制

为了防止ARP中间人攻击，H3C接入交换机支持对收到的ARP报文判断合法性。这是如何做到的呢？H3C接入交换机可以动态获取（即，DHCP snooping表项）或者静态配置合法用户的IP-MAC对应关系。并且在收到用户发送到ARP报文时，可以检查报文中的源IP地址及源MAC地址的绑定关系与所获取的合法用户

IP-MAC对应关系表项是否匹配来判断该报文是否为合法ARP报文。通过过滤掉所有非法ARP报文的方式来实现，所有ARP欺骗攻击。如下图：

图7 ARP入侵检测功能示意图

2.动态IP地址分配环境的工作机制

当用户为动态IP地址分配环境时。接入交换机可以通过监控用户的IP地址申请过程，从而自动学习到合法用户的IP-MAC对应关系。并依据该表项实现对合法ARP报文的确认和非法ARP报文的过滤。

那么这些动态表项是如何形成的呢？当开启DHCP Snooping功能后，H3C接入交换机采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。目前，H3C接入交换机的DHCP Snooping表项主要记录的信息包括：分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息，如图4 所示。

图8 DHCP Snooping表项示意图

为了对已经无用的DHCP Snooping动态表项进行定期进行老化删除，以节省系统的资源，和减少安全隐患，H3C接入交换机支持根据客户端IP地址的租约对DHCP Snooping表项进行老化。具体实现过程为：当DHCP Snooping至少记录了一条正式表项时，交换机会启动20秒的租约定时器，即每隔20秒轮询一次DHCP

Snooping表项，通过表项记录的租约时间、系统当前时间与表项添加时间的差值来判断该表项是否已经过期。若记录的表项租约时间小于系统当前时间与表项添加时间的差值，则说明该表项已经过期，将删除该条表项，从而实现DHCP Snooping动态表项的老化。

需要注意的是：当DHCP服务器端的租约设置为无限期或者很长时，会出现老化不及时的现象。

3.静态IP地址分配环境的工作机制

对于不能通过动态IP地址获取的部分用户，以及打印机等服务器。H3C的交换机也支持手工配置合法用户的IP-MAC对应关系，形成静态合法用户的IP-MAC

表项，即：用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。静态配置的IP-MAC表项拥有和动态学习的DHCP Snooping表项的同样功能。接入交换机可以依据配置的静态表项实现对合法ARP报文的确认，和非法ARP报文的过滤。从而可以很好的解决静态IP地址分配环境下的部署问题。

4.ARP信任端口设置

在实际组网中，交换机的上行口会接收其他设备的请求和应答的ARP报文，这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题，交换机支持通过配置ARP信任端口，灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCP Snooping 表或手工配置的IP静态绑定表进行检测。

5.ARP限速功能

H3C低端以太网交换机还支持端口ARP报文限速功能，来避免此类攻击对局域网造成的冲击。

开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。

3典型组网部署

3.1DHCP 监控模式的部署

3.1.1典型组网

3.1.2部署思路

●在接入交换机上开启DHCP snooping功能，并配置与DHCP服务器相连的端口为DHCP snooping信任端口。

●在接入交换机上为静态IP地址分配模式的主机或者服务器配置对应的IP 静态绑定表项。

●在接入交换机对应VLAN上开启ARP入侵检测功能，并配置该交换机的上行口为ARP信任端口。

●在接入交换机的直接连接客户端的端口上配置ARP报文限速功能，同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。

3.2认证模式的部署

3.2.1典型组网

3.2.2部署步骤

1.步骤一：在CAMS上选择配置用户网关

2.步骤二：在CAMS上配置网关绑定关系

3.步骤三：选择立即生效

4.步骤四：用户正常上线

4总结

H3C推出的ARP攻击防御解决方案，可以很好的缓解和解决校园网的ARP攻击问题。同时拥有很强的适应性，有利于现有校园网的设备利旧问题。