什么是arp攻擊？

攻擊者向電腦A發(fā)送一個(gè)偽造的ARP響應(yīng)，告訴電腦A：電腦B的IP地址192.168.1.2對(duì)應(yīng)的MAC地址是00-aa-11-62-c6-03，電腦A信以為真，將這個(gè)對(duì)應(yīng)關(guān)系寫(xiě)入自己的ARP緩存表中，以后發(fā)送數(shù)據(jù)時(shí)，將本應(yīng)該發(fā)往電腦B的數(shù)據(jù)發(fā)送給了攻擊者。同樣的，攻擊者向電腦B也發(fā)送一個(gè)偽造的ARP響應(yīng)，告訴電腦B：電腦A的IP地址192.168.1.1對(duì)應(yīng)的MAC地址是00-aa-11-62-c6-03，電腦B也會(huì)將數(shù)據(jù)發(fā)送給攻擊者。

至此攻擊者就控制了電腦A和電腦B之間的流量，他可以選擇被動(dòng)地監(jiān)測(cè)流量，獲取密碼和其他涉密信息，也可以偽造數(shù)據(jù)，改變電腦A和電腦B之間的通信內(nèi)容。這就是arp攻擊的大抵方式。

今天向大家講講在交換機(jī)上如何防范arp攻擊。

一、ARP表項(xiàng)嚴(yán)格學(xué)習(xí)（arp learning strict）

如果大量用戶(hù)在同一時(shí)間段內(nèi)向設(shè)備發(fā)送大量ARP報(bào)文，或者攻擊者偽造正常用戶(hù)的ARP報(bào)文發(fā)送給設(shè)備，則會(huì)造成下面的危害：

·設(shè)備因處理大量ARP報(bào)文而導(dǎo)致CPU負(fù)荷過(guò)重，同時(shí)設(shè)備學(xué)習(xí)大量的ARP報(bào)文可能導(dǎo)致設(shè)備ARP表項(xiàng)資源被無(wú)效的ARP條目耗盡，造成合法用戶(hù)的ARP報(bào)文不能繼續(xù)生成ARP條目，進(jìn)而導(dǎo)致用戶(hù)無(wú)法正常通信。

·偽造的ARP報(bào)文將錯(cuò)誤地更新設(shè)備的ARP表項(xiàng)，導(dǎo)致用戶(hù)無(wú)法正常通信。

為避免上述危害，可以在網(wǎng)關(guān)設(shè)備上部署ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能。

ARP表項(xiàng)嚴(yán)格學(xué)習(xí)是指只有本設(shè)備主動(dòng)發(fā)送的ARP請(qǐng)求報(bào)文的應(yīng)答報(bào)文才能觸發(fā)本設(shè)備學(xué)習(xí)ARP，其他設(shè)備主動(dòng)向本設(shè)備發(fā)送的ARP報(bào)文不能觸發(fā)本設(shè)備學(xué)習(xí)ARP，這樣，可以拒絕大部分的ARP報(bào)文攻擊。

如圖：

通常情況下，當(dāng)UserA向Gateway發(fā)送ARP請(qǐng)求報(bào)文后，Gateway會(huì)向UserA回應(yīng)ARP應(yīng)答報(bào)文，并且添加或更新UserA對(duì)應(yīng)的ARP表項(xiàng)。當(dāng)Gateway配置ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能以后：

對(duì)于Gateway收到UserA發(fā)送來(lái)的ARP請(qǐng)求報(bào)文，Gateway不添加也不更新UserA對(duì)應(yīng)的ARP表項(xiàng)。如果該請(qǐng)求報(bào)文請(qǐng)求的是Gateway的MAC地址，那么Gateway會(huì)向UserA回應(yīng)ARP應(yīng)答報(bào)文。

如果Gateway向UserB發(fā)送ARP請(qǐng)求報(bào)文，待收到與該請(qǐng)求對(duì)應(yīng)的ARP應(yīng)答報(bào)文后，Gateway會(huì)添加或更新UserB對(duì)應(yīng)的ARP表項(xiàng)。

二、配置防止ARP中間人攻擊

當(dāng)網(wǎng)絡(luò)中存在中間人攻擊時(shí)，中間人仿冒服務(wù)器，向客戶(hù)端發(fā)送帶有自己的MAC和服務(wù)器IP的報(bào)文，讓客戶(hù)端學(xué)到中間人的IP和MAC，達(dá)到仿冒服務(wù)器的目的。然后，中間人向服務(wù)器發(fā)送帶有自己的MAC和客戶(hù)端IP的報(bào)文，讓服務(wù)器學(xué)到中間人的IP和MAC，達(dá)到仿冒客戶(hù)端的目的。這樣攻擊者就可以獲得服務(wù)器和客戶(hù)端的數(shù)據(jù)。

為了避免受到中間人攻擊，可以在交換機(jī)上配置ARP報(bào)文檢查功能，對(duì)接口或VLAN下收到的ARP報(bào)文和綁定表進(jìn)行匹配檢查，當(dāng)報(bào)文的檢查項(xiàng)和綁定表中的特征項(xiàng)一致時(shí)，轉(zhuǎn)發(fā)該報(bào)文，否則丟棄報(bào)文。

如圖：

Switch的Eth0/0/1和Eth0/0/2接口連接了兩個(gè)用戶(hù)。假設(shè)Eth0/0/2接口連接的用戶(hù)是一個(gè)攻擊者。為了防止ARP中間人攻擊，要求在Switch上配置ARP報(bào)文檢查功能，只有接收到的ARP報(bào)文信息和綁定表中的內(nèi)容一致才會(huì)被轉(zhuǎn)發(fā)，否則報(bào)文將被丟棄。

1.配置ARP報(bào)文檢查功能

# 在連接Client的Eth0/0/1接口使能ARP報(bào)文檢查功能。

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] arp anti-attack check user-bind enable

[Quidway-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan

[Quidway-Ethernet0/0/1] quit

# 在連接Attacker的Eth0/0/2接口使能ARP報(bào)文檢查功能。

[Quidway] interface ethernet 0/0/2

[Quidway-Ethernet0/0/2] arp anti-attack check user-bind enable

[Quidway-Ethernet0/0/2] arp anti-attack check user-bind check-item ip-address mac-address vlan

[Quidway-Ethernet0/0/2] quit

2.配置靜態(tài)綁定表項(xiàng)

# 配置Client為靜態(tài)綁定表項(xiàng)。

[Quidway] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface Ethernet 0/0/1 vlan 10

三、配置DHCP Snooping防arp攻擊（開(kāi)啟dhcp環(huán)境下）

DHCP Snooping是DHCP（Dynamic Host Configuration Protocol）的一種安全特性，通過(guò)截獲DHCP Client和DHCP Server之間的DHCP報(bào)文并進(jìn)行分析處理，可以過(guò)濾不信任的DHCP報(bào)文并建立和維護(hù)一個(gè)DHCP Snooping綁定表。該綁定表包括MAC地址、IP地址、租約時(shí)間、綁定類(lèi)型、VLAN ID、接口等信息。

DHCP Snooping通過(guò)記錄DHCP Client的IP地址與MAC地址的對(duì)應(yīng)關(guān)系，保證合法用戶(hù)能訪問(wèn)網(wǎng)絡(luò)，作用相當(dāng)于在DHCP Client和DHCP Server之間建立一道防火墻。

DHCP Snooping可以解決設(shè)備應(yīng)用DHCP時(shí)遇到DHCP DoS（Denial of Service）攻擊、DHCP Server仿冒攻擊、DHCP仿冒續(xù)租報(bào)文攻擊等問(wèn)題。

Dhcp Snooping

配置內(nèi)容較多，需要的后面專(zhuān)門(mén)寫(xiě)篇配置dhcp snooping

四、限制arp速率，防止arp洪范攻擊

如圖：