七夕来防护：ARP 攻击与防范

Ponnie

发布于 2021-02-24 10:59:54

1.3K0

发布于 2021-02-24 10:59:54

文章被收录于专栏：玉龙小栈

ARP协议有简单、易用的优点，但是也因为其没有任何安全机制，容易被攻击者利用。在网络中，常见的ARP攻击方式主要包括：

（1）ARP泛洪攻击，是指攻击者发送大量的ARP报文，也叫拒绝服务攻击DoS（Denial of Service），主要带来以下两种影响：

1、ARP表项溢出：设备处理ARP报文和维护ARP表项都需要消耗系统资源，同时为了满足ARP表项查询效率的要求，一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使得设备ARP表资源被无效的ARP条目耗尽，合法用户的ARP报文不能继续生成ARP条目，导致正常通信中断。

防范：

a）ARP表项严格学习：在网关设备上部署ARP表项严格学习功能，ARP表项严格学习是指只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP，可拒绝大部分的ARP报文攻击。

b）ARP表项限制：ARP表项限制功能应用在网关设备上，可以限制设备的某个接口学习动态ARP表项的数目。默认状态下，接口可以学习的动态ARP表项数目规格与全局的ARP表项规格保持一致。当部署完ARP表项限制功能后，如果指定接口下的动态ARP表项达到了允许学习的最大数目，将不再允许该接口继续学习动态ARP表项，以保证当一个接口所接入的某一用户主机发起ARP攻击时不会导致整个设备的ARP表资源都被耗尽。

2、ARP Miss：攻击者利用工具扫描本网段主机或者进行跨网段扫描时，会向设备发送大量目标IP地址不能解析的IP报文（即路由表中存在该IP报文的目的IP对应的路由表项，但设备上没有该路由表项中下一跳对应的ARP表项），导致设备触发大量ARP Miss消息，生成并下发大量临时ARP表项，并广播大量ARP请求报文以对目标IP地址进行解析，从而造成CPU负荷过重。

防范：

a）根据源IP地址进行ARP Miss消息限速：当设备检测到某一源IP地址的IP报文在1秒内触发的ARP Miss消息数量超过了ARP Miss消息限速值，就认为此源IP地址存在攻击。

b）针对全局的ARP Miss消息限速：设备支持对全局处理的ARP Miss消息数量，根据限速值进行限速。

（2）ARP欺骗攻击，是指攻击者通过发送伪造的ARP报文，恶意修改设备或网络内其他用户主机的ARP表项，造成用户或网络的报文通信异常。主要存在这样两种场景：

1、欺骗网关攻击：AttACKer仿冒UserA向Gateway发送伪造的ARP报文，导致Gateway的ARP表中记录了错误的UserA地址映射关系，造成UserA接收不到正常的数据报文。

防范：

a）ARP表项固化：网关设备在第一次学习到ARP以后，不再允许用户更新此ARP表项或只能允许更新此ARP表项的部分信息，或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。

2、仿冒网关攻击：攻击者B将伪造网关的ARP报文发送给用户A，使用户A误以为攻击者即为网关。用户A的ARP表中会记录错误的网关地址映射关系，使得用户A跟网关的正常数据通信中断

防范：

a ）ARP防网关冲突功能：当设备收到的ARP报文，发现ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同。设备就认为该ARP报文是与网关地址冲突的ARP报文，设备将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样可以防止与网关地址冲突的ARP报文在VLAN内广播。（此时网关是三层交换机的VLANIF接口）

b）发送免费ARP报文功能：定期广播发送正确的免费ARP报文到所有用户，迅速将已经被攻击的用户记录的错误网关地址映射关系修改正确。