局域網(wǎng)ARP欺騙攻擊及安全防范策略畢業(yè)設(shè)計(jì)

1、新疆機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)論文PAGE PAGE 29新疆機(jī)電電職業(yè)技技術(shù)學(xué)院院計(jì)算機(jī)系系畢業(yè)論論文題 目：局域網(wǎng)AARP攻攻擊及防防范專 業(yè)：計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)技術(shù)術(shù)年 級(jí)：高計(jì)算機(jī)機(jī)10班學(xué)生姓名名：王文瑞學(xué) 號(hào)：2010018998指導(dǎo)教師師：李 欣欣20122年12月12日局域網(wǎng)AARP攻攻擊及防防范摘要： ARPP攻擊，是針對(duì)對(duì)以太網(wǎng)網(wǎng)地址解解析協(xié)議議（ARRP）的的一種攻攻擊技術(shù)術(shù)。此種種攻擊可可讓攻擊擊者取得得局域網(wǎng)網(wǎng)上的數(shù)數(shù)據(jù)封包包甚至可可篡改封封包，且且可讓網(wǎng)網(wǎng)絡(luò)上特特定計(jì)算算機(jī)或所所有計(jì)算算機(jī)無(wú)法法正常連連接。目目前，AARP欺欺騙是黑黑客常用用的攻擊擊手段之之一，且且ARPP欺騙

2、攻攻擊的后后果一般般都是比比較非常常嚴(yán)重的的，大多多數(shù)情況況下會(huì)造造成大面面積掉線線。有些些網(wǎng)管員員對(duì)此不不甚了解解，出現(xiàn)現(xiàn)故障時(shí)時(shí)，認(rèn)為為PC沒沒有問題題，交換換機(jī)沒掉掉線的“本事”，電信信也不承承認(rèn)寬帶帶故障。而且如如果第一一種ARRP欺騙騙發(fā)生時(shí)時(shí)，只要要重啟路路由器，網(wǎng)絡(luò)就就能全面面恢復(fù)，那問題題一定是是在路由由器了。為此，寬帶路路由器被被認(rèn)為是是“罪魁禍?zhǔn)资住?，而事?shí)實(shí)并非如如此。鑒于此此，本文文將論述述ARPP地址解解析協(xié)議議的含義義和工作作原理，分析了了ARPP協(xié)議所所存在的的安全漏漏洞，分分析網(wǎng)段段內(nèi)和跨跨網(wǎng)段AARP欺欺騙的實(shí)實(shí)現(xiàn)過(guò)程程。最后后，結(jié)合合網(wǎng)絡(luò)管管理的實(shí)實(shí)際工作作

3、，介紹紹IP地地址和MMAC地地址綁定定、交換換機(jī)端口口和MAAC地址址綁定、VLAAN隔離離等技術(shù)術(shù)等幾種種能夠有有效防御御ARPP欺騙攻攻擊的安安全防范范策略。最后通過(guò)過(guò)使用文文中介紹紹安全防防范策略略成功阻阻止P22P終結(jié)結(jié)者、AArpkkilller等等ARPP攻擊軟軟件的攻攻擊驗(yàn)證證了該安安全策略略的有效效性。關(guān)鍵詞： ARPP協(xié)議 IPP地址 局域域網(wǎng) MACC地址 網(wǎng)絡(luò)絡(luò)安全 LAN ARPP atttacck aand prootecctioonAbsttracct: ARPP atttacck, whiich is bassed on Ethhernnet adddresss

4、ess annalyyticcal prootoccol (ARRP) an atttackk teechnnoloogy. Thhis atttackk maay llet thee atttacckerr haas aa loocall-arrea nettworrk ppackketss off daata or eveen ttampper witth tthe pacckett, aand alllowss neetwoork on speeciffic commputter or alll coompuuterr caannoot nnormmal connnecctioon. A

5、t preesennt, thee ARRP ddeceeptiion is hacckerrs ccommmonlly uusedd atttacck mmeanns oone, annd tthe connseqquenncess off ARRP ddeceeptiion atttackk iss ussuallly commparre vveryy seerioous, inn moost cirrcummstaancees wwilll caauseed eexteensiive callls. Soome nettworrk aadmiinisstraatorr arre nnot

6、 welll uundeersttoodd, mmalffuncctioon, thiink PC no proobleem, swiitchhes diddntt drroppped skkilll, tellecoom ddoess noot aacknnowlledgge bbroaadbaand fauult. Annd iif tthe firrst kinnd oof AARP deccepttionn occcurrs, as lonng aas tthe resstarrt rroutter, thhe nnetwworkk caan ffullly rrecooverr, t

7、thatt prrobllem musst bbe oon aa roouteer. Theerefforee, bbroaadbaand rouuterr iss coonsiiderred thhe cchieef cculppritt, butt thhis is nott thhe ccasee. IIn vvieww off thhis, thhis artticlle wwilll bee diiscuusseed tthe meaaninng oof AARP adddresss aanallytiicall prrotoocoll annd wworkkingg prrincc

8、iplle, anaalyzzes thee exxisttingg ARRP aagreeemeent seccuriity vullnerrabiilittiess, aanallyziing nettworrk ssegmmentt wiithiin aand acrrosss thhe nnetwworkk seegmeent thee reealiizattionn prroceess of ARPP deecepptioon. Finnallly, commbinned witth tthe praactiicall woork of nettworrk mmanaagemment

9、t, iintrroduucess thhe IIP aaddrresss annd MMAC adddresss bbinddingg, sswittch porrt aand MACC adddreess binndinng, as welll aas sseveerall vllanss issolaatioon ttechhnollogyy caan eeffeectiivelly ddefeensee ARRP ddeceeptiion atttackk seecurrityy prreveentiive strrateegy. Fiinallly thrrouggh tthe us

10、ee off inntrooducced saffetyy prreveentiive strrateegy preevenntedd P22P ttermminaatorr, Arppkilllerr ettc AARP atttackk sooftwwaree atttacck vveriifieed tthe efffecttiveenesss oof tthe seccuriity strrateegy.Keyoordss: ARRP agrreemmentt IPP adddreess Buureaau aareaa neet MACC adddreess Neetwoork sec

11、curiity目 錄錄TOC o 1-3 u引 言言 PAGEREF _Toc344643579 h 2第一章. ARRP協(xié)議議簡(jiǎn)介 PAGEREF _Toc344643580 h 2第二章. ARRP協(xié)議議的工作作原理 PAGEREF _Toc344643581 h 3第三章. 分析析ARP協(xié)議議存在的的安全漏漏洞 PAGEREF _Toc344643582 h 5一、 分分析ARRP協(xié)議議存在的的安全漏漏洞 PAGEREF _Toc344643583 h 5二、 ARPP欺騙檢檢測(cè)方法法 PAGEREF _Toc344643584 h 5(一)主機(jī)級(jí)級(jí)檢測(cè)方方法 PAGEREF _Toc3

12、44643585 h 5(二)網(wǎng)絡(luò)級(jí)級(jí)檢測(cè)方方法 PAGEREF _Toc344643586 h 5第四章. ARRP欺騙騙攻擊的的實(shí)現(xiàn)過(guò)過(guò)程 PAGEREF _Toc344643587 h 6一、 通通過(guò)路由由器實(shí)現(xiàn)現(xiàn)VLAAN間的的通信 PAGEREF _Toc344643588 h 6二、 公公司網(wǎng)絡(luò)絡(luò)實(shí)現(xiàn)vvlann間通信信 PAGEREF _Toc344643589 h 6第五章. ARRP攻擊擊簡(jiǎn)介 PAGEREF _Toc344643590 h 6一、仿冒冒網(wǎng)關(guān) PAGEREF _Toc344643591 h 7二、欺騙騙網(wǎng)關(guān) PAGEREF _Toc344643592 h 7三

13、、欺騙騙終端用用戶 PAGEREF _Toc344643593 h 7四、“中中間人”攻擊 PAGEREF _Toc344643594 h 8五、 AARP報(bào)報(bào)文泛洪洪攻擊 PAGEREF _Toc344643595 h 8第六章.攻擊安安全防范范策略 PAGEREF _Toc344643596 h 8一、 DDHCPP Snnooppingg功能 PAGEREF _Toc344643597 h 9二、 IIP靜態(tài)態(tài)綁定功功能 PAGEREF _Toc344643598 h 9三、 AARP入入侵檢測(cè)測(cè)功能 PAGEREF _Toc344643599 h 9四、 AARP報(bào)報(bào)文限速速功能 PA

14、GEREF _Toc344643600 h 9五、 CCAMSS下發(fā)網(wǎng)網(wǎng)關(guān)配置置功能 PAGEREF _Toc344643601 h 10第七章. ARRP攻擊擊防御配配置舉例例 PAGEREF _Toc344643602 h 10一、 DDHCPP監(jiān)控模模式下的的ARPP攻擊防防御配置置舉例 PAGEREF _Toc344643603 h 10(一)組網(wǎng)需需求 PAGEREF _Toc344643604 h 10(二)組網(wǎng)圖圖 PAGEREF _Toc344643605 h 11(三)配置思思路 PAGEREF _Toc344643606 h 11(四)配置步步驟 PAGEREF _Toc3

15、44643607 h 11(五)注意事事項(xiàng) PAGEREF _Toc344643608 h 14二、認(rèn)證證模式下下的ARRP攻擊擊防御配配置舉例例 PAGEREF _Toc344643609 h 15(一)組網(wǎng)需需求 PAGEREF _Toc344643610 h 15(二)組網(wǎng)圖圖 PAGEREF _Toc344643611 h 16(三)配置思思路 PAGEREF _Toc344643612 h 16(四)配置步步驟 PAGEREF _Toc344643613 h 16(五)注意事事項(xiàng) PAGEREF _Toc344643614 h 27第八章. 結(jié) 論 PAGEREF _Toc34464

16、3615 h 27參考文文獻(xiàn) PAGEREF _Toc344643616 h 28致 謝謝 PAGEREF _Toc344643617 h 28引 言言在局域網(wǎng)網(wǎng)中，網(wǎng)網(wǎng)絡(luò)中實(shí)實(shí)際傳輸輸?shù)氖恰皫?，幀里面面是有目目?biāo)主機(jī)機(jī)的MAAC地址址的。在在以太網(wǎng)網(wǎng)中，一一個(gè)主機(jī)機(jī)要和另另一個(gè)主主機(jī)進(jìn)行行直接通通信，必必須要知知道目標(biāo)標(biāo)主機(jī)的的MACC地址。網(wǎng)吧是是最常見見的局域域網(wǎng)，在在使用過(guò)過(guò)程中有有時(shí)出現(xiàn)現(xiàn)別人可可以正常常上網(wǎng)而而自己卻卻無(wú)法訪訪問任何何頁(yè)面和和網(wǎng)絡(luò)信信息的情情況，雖然造造成這種種現(xiàn)象的的情況有有 很多多，但是是目前最最常見的的就是AARP欺欺騙了，很多黑黑客工具具甚至是是病毒都都是

17、通過(guò)過(guò)ARPP欺騙來(lái)來(lái)實(shí)現(xiàn)對(duì)對(duì)主機(jī)進(jìn)進(jìn)行攻擊擊和阻止止本機(jī)訪訪問任何何網(wǎng)絡(luò)信信息的目目的。首先我們們可以肯肯定一點(diǎn)點(diǎn)的就是是發(fā)送AARP欺欺騙包是是通過(guò)一一個(gè)惡毒毒的程序序自動(dòng)發(fā)發(fā)送的，正常的的TCPP/IPP網(wǎng)絡(luò)是是不會(huì)有有這樣的的錯(cuò)誤包包發(fā)送的的，而人人工發(fā)送送又比較較麻煩。也就是是說(shuō)當(dāng)黑黑客沒有有運(yùn)行這這個(gè)惡毒毒程序的的話，網(wǎng)網(wǎng)絡(luò)上通通信應(yīng)該該是一切切正常的的，保留留在各個(gè)個(gè)連接網(wǎng)網(wǎng)絡(luò)計(jì)算算機(jī)上的的ARPP緩存表表也應(yīng)該該是正確確的，只只有程序序啟動(dòng)開開始發(fā)送送錯(cuò)誤AARP信信息以及及ARPP欺騙包包時(shí)才會(huì)會(huì)讓某些些計(jì)算機(jī)機(jī)訪問網(wǎng)網(wǎng)絡(luò)出現(xiàn)現(xiàn)問題。ARP欺欺騙可以以造成內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)的混亂亂

18、，讓某某些被欺欺騙的計(jì)計(jì)算機(jī)無(wú)無(wú)法正常常訪問內(nèi)內(nèi)外網(wǎng)，讓網(wǎng)關(guān)關(guān)無(wú)法和和客戶端端正常通通信。實(shí)實(shí)際上他他的危害害還不僅僅僅如此此，一般般來(lái)說(shuō)IIP地址址的沖突突我們可可以通過(guò)過(guò)多種方方法和手手段來(lái)避避免，而而ARPP協(xié)議工工作在更更低層，隱蔽性性更高。系統(tǒng)并并不會(huì)判判斷ARRP緩存存的正確確與否，無(wú)法像像IP地地址沖突突那樣給給出提示示。而且且很多黑黑客工具具例如網(wǎng)網(wǎng)絡(luò)剪刀刀手等， 可以以隨時(shí)發(fā)發(fā)送ARRP欺騙騙數(shù)據(jù)包包和ARRP恢復(fù)復(fù)數(shù)據(jù)包包，這樣樣就可以以實(shí)現(xiàn)在在一臺(tái)普普通計(jì)算算機(jī)上通通過(guò)發(fā)送送ARPP數(shù)據(jù)包包的方法法來(lái)控制制網(wǎng)絡(luò)中中任何一一臺(tái)計(jì)算算機(jī)的上上網(wǎng)與否否， 甚甚至還可可以直接接對(duì)

19、網(wǎng)關(guān)關(guān)進(jìn)行攻攻擊，讓讓所有連連接網(wǎng)絡(luò)絡(luò)的計(jì)算算機(jī)都無(wú)無(wú)法正常常上網(wǎng)。這點(diǎn)在在以前是是不可能能的，因因?yàn)槠胀ㄍㄓ?jì)算機(jī)機(jī)沒有管管理權(quán)限限來(lái)控制制網(wǎng)關(guān)，而現(xiàn)在在卻成為為可 能能，所以以說(shuō)ARRP欺騙騙的危害害是巨大大的，而而且非常常難對(duì)付付，非法法用戶和和惡意用用戶可以以隨時(shí)發(fā)發(fā)送ARRP欺騙騙和恢復(fù)復(fù)數(shù)據(jù)包包，這樣樣就增加加了網(wǎng)絡(luò)絡(luò)管理員員查找真真兇的難難度，所所以跟蹤蹤防范局局域網(wǎng)AARP欺欺騙類攻攻擊的最最新技術(shù)術(shù)，做到到防范于于未然就就必不可可少。第一章. ARRP協(xié)議議簡(jiǎn)介ARP(Adddresss RResooluttionn Prrotoocoll) ，是由DDaviid CCPluu

20、mmeer在8266intternnet標(biāo)標(biāo)準(zhǔn)(草案)提出，當(dāng)時(shí)是是為了美美國(guó)數(shù)字字設(shè)備公公司、英英特爾公公司施施樂復(fù)印印機(jī)公司司等三個(gè)個(gè)公司的的10 Mbiit以太太網(wǎng)所設(shè)設(shè)計(jì)，在在推廣時(shí)時(shí)也允許許其它類類型的網(wǎng)網(wǎng)絡(luò)使用用。ARRP也即即地址解解析協(xié)議議，該協(xié)協(xié)議是將將IP地地址與網(wǎng)網(wǎng)絡(luò)物理理地址一一一對(duì)應(yīng)應(yīng)的協(xié)議議。負(fù)責(zé)責(zé)IP地地址和網(wǎng)網(wǎng)卡實(shí)體體地址(MACC)之間間的轉(zhuǎn)換換。也就就是將網(wǎng)網(wǎng)絡(luò)層（IP層層，也就就是相當(dāng)當(dāng)于ISSO/OSII 的第第三層）地址解解析為數(shù)數(shù)據(jù)連接接層（MMAC層層，也就就是相當(dāng)當(dāng)于ISSO/OSII的第二二層）的的MACC地址。TCPP/IP協(xié)協(xié)議中規(guī)規(guī)定，I

21、IP地址址為322位，由由網(wǎng)絡(luò)號(hào)號(hào)和網(wǎng)絡(luò)絡(luò)內(nèi)的主主機(jī)號(hào)構(gòu)構(gòu)成，每每一臺(tái)接接入局域域網(wǎng)或者者Intternnet的的主機(jī)都都要配置置一個(gè)IIP地址址。在以以太網(wǎng)中中，源主主機(jī)和目目的主機(jī)機(jī)通信時(shí)時(shí)，源主主機(jī)不僅僅要知道道目的主主機(jī)的IIP地址址，還要要知道目目的主機(jī)機(jī)的數(shù)據(jù)據(jù)鏈路層層地址，即網(wǎng)卡卡的MAAC地址址，同時(shí)時(shí)規(guī)定MMAC地地址為448位。ARPP協(xié)議所所做的工工作就是是查詢目目的主機(jī)機(jī)的IPP地址所所對(duì)應(yīng)的的MACC地址，并實(shí)現(xiàn)現(xiàn)雙方通通信。第二章. ARRP協(xié)議議的工作作原理在網(wǎng)絡(luò)中中的任何何一臺(tái)主主機(jī)，都都有兩個(gè)個(gè)唯一的的標(biāo)識(shí)。一個(gè)是是由322位二進(jìn)進(jìn)制組成成lP地址址，用于于在

22、網(wǎng)絡(luò)絡(luò)層當(dāng)中中標(biāo)識(shí)和和查找計(jì)計(jì)算機(jī)，另一個(gè)個(gè)是由448位二二進(jìn)制組組成的MMAC地地址，用用于在數(shù)數(shù)據(jù)鏈路路層中標(biāo)標(biāo)識(shí)和查查找計(jì)算算機(jī)。IIP地址址是不能能直接用用來(lái)通訊訊的，因因?yàn)镮PP地址只只是主機(jī)機(jī)在網(wǎng)絡(luò)絡(luò)層中的的地址，如果要要將網(wǎng)絡(luò)絡(luò)層中傳傳輸?shù)臄?shù)數(shù)據(jù)報(bào)交交給目的的主機(jī)，還要傳傳到鏈路路層變成成MACC幀才能能發(fā)送到到實(shí)際的的網(wǎng)絡(luò)上上。因此此IP地址址與MAAC地址址之間就就必須存存在一個(gè)個(gè)映射表表，而AARP協(xié)協(xié)議就很很好的解解決了這這些問題題。每一一臺(tái)安裝裝有TCCP/IP協(xié)議議的計(jì)算算機(jī)內(nèi)部部都有一一張ARRP高速速緩存表表，該緩緩存表記記錄了最最近一段段時(shí)間內(nèi)內(nèi)區(qū)域網(wǎng)網(wǎng)內(nèi)與該該

23、計(jì)算機(jī)機(jī)通訊的的其他計(jì)計(jì)算機(jī)的的IP地址址與其相相應(yīng)的MMAC地地址之間間的對(duì)應(yīng)應(yīng)關(guān)系。當(dāng)源主主機(jī)要發(fā)發(fā)送lPP數(shù)據(jù)報(bào)報(bào)時(shí)，數(shù)數(shù)據(jù)鏈路路層必須須將IPP數(shù)據(jù)報(bào)報(bào)封裝成成以太網(wǎng)網(wǎng)數(shù)據(jù)幀幀，才能能在以太太網(wǎng)中傳傳輸。在在封裝過(guò)過(guò)程中，為了找找到與目目的IPP地址對(duì)對(duì)應(yīng)的MMAC地地址，源源主機(jī)先先會(huì)把目目的主機(jī)機(jī)的lPP的地址址與子網(wǎng)網(wǎng)掩碼進(jìn)進(jìn)行邏輯輯與操作作，以判判斷目的的主機(jī)是是否與自自己在同同一個(gè)網(wǎng)網(wǎng)段內(nèi)。如果在在同一網(wǎng)網(wǎng)段內(nèi)，源主機(jī)機(jī)會(huì)先查查看ARRP高速速緩存是是否有與與目的IIP地址址對(duì)應(yīng)的的MACC地址信信息，如如果MAAC地址址已存在在，就直直接使用用。如果果對(duì)應(yīng)的的信息不不存在，

24、就向本本地網(wǎng)段段發(fā)起一一個(gè)包含含ARPP請(qǐng)求的的廣播包包，查詢?cè)兇四康牡闹鳈C(jī)對(duì)對(duì)應(yīng)的MMAC地地址。此此ARPP請(qǐng)求數(shù)數(shù)據(jù)包里里包括源源主機(jī)的的IP地址址、MAAC地址址、以及及目的主主機(jī)的llP地址址。網(wǎng)絡(luò)絡(luò)中所有有的主機(jī)機(jī)收到這這個(gè)ARRP請(qǐng)求求后。會(huì)會(huì)檢查數(shù)數(shù)據(jù)包中中的目的的IP是否否和自己己的IPP地址一一致。如如果不相相同就忽忽略此數(shù)數(shù)據(jù)包，如果相相同，則則給源主主機(jī)發(fā)送送一個(gè)AARP響響應(yīng)數(shù)據(jù)據(jù)包，通通過(guò)該報(bào)報(bào)文使源源主機(jī)獲獲得目標(biāo)標(biāo)主機(jī)的的MACC地址信信息則可可利用此此信息開開始數(shù)據(jù)據(jù)的傳輸輸。假如如目的主主機(jī)與源源主機(jī)不不在同一一個(gè)網(wǎng)段段內(nèi)，源源主機(jī)會(huì)會(huì)在ARRP高速速緩存中

25、中查找默默認(rèn)網(wǎng)關(guān)關(guān)所對(duì)應(yīng)應(yīng)的MAAC地址址，由默默認(rèn)網(wǎng)關(guān)關(guān)再對(duì)該該分組進(jìn)進(jìn)行轉(zhuǎn)發(fā)發(fā)。如果果沒有，源主機(jī)機(jī)就會(huì)發(fā)發(fā)送一個(gè)個(gè)廣播包包，查詢?cè)兡J(rèn)網(wǎng)網(wǎng)關(guān)對(duì)應(yīng)應(yīng)的MAAC地址址。主機(jī)機(jī)每隔一一段時(shí)間間或者每每收到新新的ARRP應(yīng)答答就會(huì)更更新ARRP緩存存，以保保證自己己擁有最最新的地地址解析析緩存。ARPP協(xié)議工工作原理理詳見以以下圖11和圖22。圖1 網(wǎng)網(wǎng)段內(nèi)AARP工工作原理理圖2 夸夸網(wǎng)段AARP工工作原理理我們還是是來(lái)通過(guò)過(guò)實(shí)驗(yàn)更更加深入入直觀地地了解AARP協(xié)協(xié)議的工工作原理理吧。我我們假設(shè)設(shè)有兩臺(tái)臺(tái)主機(jī)：A機(jī)的的IP地地址是1192.1688.0.1，MMAC地地址是552-554-aa

26、b-227-882-883 。B機(jī)的的IP地地址是1192.1688.0.2，MMAC地地址是552-554-aab-227-882-884 。當(dāng)主機(jī)機(jī)A想與與主機(jī)BB進(jìn)行通通訊時(shí)，A機(jī)只只知道BB機(jī)的IIP地址址是1992.1168.0.22,當(dāng)數(shù)數(shù)據(jù)包封封裝到MMAC層層時(shí)他如如何知道道B的MMAC地地址呢，一般的的OS中中是這樣樣做的，在OSS的內(nèi)核核中保存存一分MMAC地地址表，就是我我們一中中介始到到的。用用arpp -aa就可以以看見這這個(gè)表的的內(nèi)容了了，例如如： C:/arpp -aa Inteerfaace: 1992.1168.0.XX onn Innterrfacce 00

27、 x100000002 Inteerneet AAddrresss Phyysiccal Adddresss Tyype 192.1688.0.1 52-54-ab-27-82-83 dyynammic 其中表內(nèi)內(nèi)有IPP和MAAC地址址的對(duì)應(yīng)應(yīng)關(guān)系，當(dāng)要過(guò)過(guò)進(jìn)行通通訊時(shí)，系統(tǒng)先先查看這這個(gè)表中中是否有有相關(guān)的的表項(xiàng)，如果有有就直接接使用，如果沒沒有系統(tǒng)統(tǒng)就會(huì)發(fā)發(fā)出一個(gè)個(gè)ARPP請(qǐng)求包包,這個(gè)個(gè)包的目目的地址址為ffffffffffffffff的廣廣播地址址，他的的作用就就是詢問問局域網(wǎng)網(wǎng)內(nèi)IPP地址為為1922.1668.00.2的的主機(jī)的的MACC地址，就像是是A在局局域網(wǎng)中中發(fā)信息息找一

28、個(gè)個(gè)IP地地址為1192.1688.0.2的主主機(jī)MAAC地址址，同樣樣A機(jī)把把自已的的MACC地址告告訴出去去是522-544-abb-277-822-833 ，隨隨后所有有主機(jī)都都會(huì)接收收到這個(gè)個(gè)包，但但只有IIP為1192.1688.0.2的BB才會(huì)響響應(yīng)一個(gè)個(gè)ARPP應(yīng)答包包給主機(jī)機(jī)A, B機(jī)會(huì)會(huì)回信息息給A機(jī)機(jī)說(shuō)他的的MACC地址是是52-54-ab-27-82-84,好這下下主機(jī)AA就知道道B的MMAC地地址了，于時(shí)他他就可以以封包發(fā)發(fā)送了，同時(shí)主主機(jī)A將將B的MMAC地地址放入入ARPP緩沖中中，隔一一定時(shí)間間就將其其刪除，確保不不斷更新新。 注意，在在這個(gè)過(guò)過(guò)程中，如果主主機(jī)A

29、在在發(fā)送AARP請(qǐng)請(qǐng)求時(shí)，假如該該局域網(wǎng)網(wǎng)內(nèi)有一一臺(tái)主機(jī)機(jī)C的IIP和AA相同，C就會(huì)會(huì)得知有有一臺(tái)主主機(jī)的IIP地址址同自已已的IPP地址相相同，于于時(shí)就蹦蹦出一個(gè)個(gè)IP沖沖突的對(duì)對(duì)話筐。與ARRP相對(duì)對(duì)應(yīng)的還還有一個(gè)個(gè)協(xié)議RRARPP（Revversse Addrresss Reesollutiion Prootoccol），反向向地址解解析協(xié)議議，該協(xié)協(xié)議主要要用于工工作站模模型動(dòng)態(tài)態(tài)獲取IIP的過(guò)過(guò)程中，作用是是由MAAC地址址向服務(wù)務(wù)器取回回IP地地址。第三章. 分析析ARPP協(xié)議存存在的安安全漏洞洞一、 分分析ARRP協(xié)議議存在的的安全漏漏洞 ARPP協(xié)議是是建立在在信任局局域網(wǎng)內(nèi)

30、內(nèi)所有結(jié)結(jié)點(diǎn)的基基礎(chǔ)上的的，它很很高效，但卻不不安全。它的主主要漏洞洞有以下下三點(diǎn)。(1)主機(jī)地地址映射射表是基基于高速速緩存、動(dòng)態(tài)更更新的，ARPP將保存存在高速速緩存中中的每一一個(gè)映射射地址項(xiàng)項(xiàng)目都設(shè)設(shè)置了生生存時(shí)間間，它只只保存最最近的地地址對(duì)應(yīng)應(yīng)關(guān)系。這樣惡惡意的用用戶如果果在下次次交換前前修改了了被欺騙騙機(jī)器上上的地址址緩存，就可以以進(jìn)行假假冒或拒拒絕服務(wù)務(wù)攻擊。(2)由于ARRP是無(wú)無(wú)狀態(tài)的的協(xié)議，即使沒沒有發(fā)送送ARPP請(qǐng)求報(bào)報(bào)文，主主機(jī)也可可以接收收ARPP應(yīng)答，只要接接受到AARP應(yīng)應(yīng)答分組組的主機(jī)機(jī)就無(wú)條條件地根根據(jù)應(yīng)答答分組的的內(nèi)容刷刷新本機(jī)機(jī)的高速速緩存。這就為為ARP

31、P欺騙提提供了可可能，惡惡意節(jié)點(diǎn)點(diǎn)可以發(fā)發(fā)布虛假假的ARRP報(bào)文文從而影影響網(wǎng)內(nèi)內(nèi)結(jié)點(diǎn)的的通信，甚至可可以做“中間人人”。(3)任何ARRP應(yīng)答答都是合合法的，ARPP應(yīng)答無(wú)無(wú)須認(rèn)證證，只要要是區(qū)域域內(nèi)的AARP應(yīng)應(yīng)答分組組，不管管(其實(shí)也也不知道道)是否是是合法的的應(yīng)答，主機(jī)都都會(huì)接受受ARPP應(yīng)答，并用其llPMACC信息篡篡改其緩緩存。這這是ARRP的另另一個(gè)隱隱患。目目前主要要存在22種檢測(cè)測(cè)ARPP欺騙的的機(jī)制。在主機(jī)機(jī)級(jí)，普普通主機(jī)機(jī)可以采采用兩種種方法檢檢測(cè)自己己的是否否正在被被其它主主機(jī)欺騙騙：一種種是主動(dòng)動(dòng)探查可可疑的主主機(jī)；另另一種是是被動(dòng)檢檢查網(wǎng)絡(luò)絡(luò)ARPP廣播報(bào)報(bào)文。在

32、在網(wǎng)絡(luò)級(jí)級(jí)，處于于網(wǎng)絡(luò)管管理員控控制下的的機(jī)器將將檢查所所有的AARP請(qǐng)請(qǐng)求與響響應(yīng)以查查明異常常并判斷斷是否出出現(xiàn)ARRP欺騙騙行為。二、 ARPP欺騙檢檢測(cè)方法法主機(jī)級(jí)檢檢測(cè)方法法主動(dòng)檢檢測(cè)。當(dāng)當(dāng)主機(jī)收收到ARRP應(yīng)答答報(bào)文時(shí)時(shí)，從應(yīng)應(yīng)答報(bào)文文中提取取MACC地址。然后構(gòu)構(gòu)造一個(gè)個(gè)RARRP請(qǐng)求求報(bào)文，這樣就就可以得得到這個(gè)個(gè)MACC地址對(duì)對(duì)應(yīng)的IIP地址址，比較較兩個(gè)IIP地址址，如果果不同，就說(shuō)明明有主機(jī)機(jī)進(jìn)行了了ARPP欺騙。還有另另外一種種方法就就是:主主機(jī)定期期向區(qū)域域網(wǎng)發(fā)送送查詢自自己IPP地址的的ARPP請(qǐng)求報(bào)報(bào)文。如如果收到到其它主主機(jī)的應(yīng)應(yīng)答。就就說(shuō)明該該區(qū)域網(wǎng)網(wǎng)可能存存

33、在ARRP欺騙騙。被動(dòng)檢檢測(cè)。當(dāng)當(dāng)系統(tǒng)接接收到來(lái)來(lái)自局域域網(wǎng)上的的ARPP請(qǐng)求時(shí)時(shí)，系統(tǒng)統(tǒng)檢查該該請(qǐng)求發(fā)發(fā)送端的的IP地址址是否與與自己的的IP地址址相同。如果相相同，則則說(shuō)明該該網(wǎng)絡(luò)上上另有一一臺(tái)機(jī)器器與自己己具有相相同的IIP地址址。當(dāng)然然還有一一種情況況，就是是每當(dāng)系系統(tǒng)啟動(dòng)動(dòng)時(shí)或更更改主機(jī)機(jī)IP地址址時(shí)，AARP協(xié)協(xié)議自動(dòng)動(dòng)地向本本地網(wǎng)絡(luò)絡(luò)發(fā)送一一個(gè)廣播播請(qǐng)求包包，通告告自己的的IP地址址并檢測(cè)測(cè)是否存存在IPP地址沖沖突。由由上可知知，主機(jī)機(jī)級(jí)檢測(cè)測(cè)出來(lái)的的異常情情況。可可能是由由于用戶戶操作失失誤或者者其它原原因造成成的，并并不能有有效和準(zhǔn)準(zhǔn)確的檢檢測(cè)出AARP欺欺騙。下下面介紹紹

34、的檢測(cè)測(cè)方法更更能有效效的檢測(cè)測(cè)出ARRP欺騙騙。網(wǎng)絡(luò)級(jí)檢檢測(cè)方法法通過(guò)配配置主機(jī)機(jī)定期向向中心管管理主機(jī)機(jī)報(bào)告其其ARPP緩存的的內(nèi)容。這樣中中心管理理主機(jī)上上的程序序就會(huì)查查找出兩兩臺(tái)或者者多臺(tái)主主機(jī)報(bào)告告信息的的不一致致，以及及同一臺(tái)臺(tái)主機(jī)前前后報(bào)告告內(nèi)容的的變化。根據(jù)這這些情況況可以初初步確定定誰(shuí)是進(jìn)進(jìn)攻者。誰(shuí)被進(jìn)進(jìn)攻者。這里需需要考慮慮的是：每臺(tái)主主機(jī)向衷衷心管理理主機(jī)發(fā)發(fā)送數(shù)據(jù)據(jù)的時(shí)間間間隔，如果發(fā)發(fā)送的間間隔太短短會(huì)占用用通訊的的信道。影響整整個(gè)區(qū)域域網(wǎng)通訊訊的性能能。如果果間隔太太長(zhǎng)，以以至超過(guò)過(guò)攻擊者者一次進(jìn)進(jìn)攻的時(shí)時(shí)間。進(jìn)進(jìn)攻者可可能在短短時(shí)間內(nèi)內(nèi)攻擊之之后又把把一切都都恢

35、復(fù)了了，則失失去意義義。中心管管理主機(jī)機(jī)上保存存著可信信任的IIPMACC映射表表，然后后通過(guò)檢檢查匹配配網(wǎng)絡(luò)的的IPMACC映射表表，檢測(cè)測(cè)ARPP欺騙?？尚湃稳蔚腎PPMACC映射表表可以有有管理員員手動(dòng)配配置。也也可以在在網(wǎng)絡(luò)正正常時(shí)通通過(guò)ARRP掃描描獲取網(wǎng)網(wǎng)內(nèi)的IIPMACC映射表表。第四章. ARRP欺騙騙攻擊的的實(shí)現(xiàn)過(guò)過(guò)程一、 通通過(guò)路由由器實(shí)現(xiàn)現(xiàn)VLAAN間的的通信ARP欺欺騙攻擊擊的核心心就是向向目標(biāo)主主機(jī)發(fā)送送偽造的的ARPP應(yīng)答，并使目目標(biāo)主機(jī)機(jī)接收應(yīng)應(yīng)答中偽偽造的IIP與MMAC間間的映射射對(duì)，并并以此更更新目標(biāo)標(biāo)主機(jī)緩緩存。設(shè)設(shè)在同一一網(wǎng)段的的三臺(tái)主主機(jī)分別別為,，詳

36、見見表1。表1：同同網(wǎng)段主主機(jī)IPP地址和和MACC地址對(duì)對(duì)應(yīng)表用戶主機(jī)機(jī)IP地址址MAC地地址A101101100100-EE0-44C-11-11-11B101101100200-EE0-44C-222-222-222C101101100300-EE0-44C-333-333-333假設(shè)與與是信信任關(guān)系系，欲欲向發(fā)發(fā)送數(shù)據(jù)據(jù)包。攻攻擊方通過(guò)前前期準(zhǔn)備備，可以以發(fā)現(xiàn)的漏洞洞，使暫時(shí)無(wú)無(wú)法工作作，然后后發(fā)送送包含自自己MAAC地址址的ARRP應(yīng)答答給。由于大大多數(shù)的的操作系系統(tǒng)在接接收到AARP應(yīng)應(yīng)答后會(huì)會(huì)及時(shí)更更新ARRP緩存存，而不不考慮是是否發(fā)出出過(guò)真實(shí)實(shí)的ARRP請(qǐng)求求，所以以接收收到

37、應(yīng)答答后，就就更新它它的ARRP緩存存，建立立新的IIP和MMAC地地址映射射對(duì)，即即的IIP地址址101010002對(duì)對(duì)應(yīng)了的MAAC地址址00-E0-4C-33-33-33。這樣，導(dǎo)致就將發(fā)發(fā)往的的數(shù)據(jù)包包發(fā)向了了,但但和BB卻對(duì)此此全然不不知，因因此C就就實(shí)現(xiàn)對(duì)對(duì)A和BB的監(jiān)聽聽。二、 公公司網(wǎng)絡(luò)絡(luò)實(shí)現(xiàn)vvlann間通信信跨網(wǎng)段的的ARPP欺騙比比同一網(wǎng)網(wǎng)段的AARP欺欺騙要復(fù)復(fù)雜得多多，它需需要把AARP欺欺騙與IICMPP重定向向攻擊結(jié)結(jié)合在一一起。假假設(shè)和和在同同一網(wǎng)段段，在在另一網(wǎng)網(wǎng)段，詳詳見表22。表2：跨跨網(wǎng)段主主機(jī)IPP地址和和MACC地址對(duì)對(duì)應(yīng)表用戶主機(jī)機(jī)IP地址址MAC

38、地地址A101101100100-EE0-44C-11-11-11B101101100200-EE0-44C-222-222-222C101101100300-EE0-44C-333-333-333首先攻擊擊方修修改IPP包的生生存時(shí)間間，將其其延長(zhǎng)，以便做做充足的的廣播。然后和和上面提提到的一一樣，尋尋找主機(jī)機(jī)的漏漏洞，攻攻擊此漏漏洞，使使主機(jī)暫時(shí)無(wú)無(wú)法工作作。此后后，攻擊擊方發(fā)發(fā)送IPP地址為為的IIP地址址101010002，MACC地址為為的MMAC地地址000-E00-4CC-333-333-333的ARRP應(yīng)答答給。接收收到應(yīng)答答后，更更新其AARP緩緩存。這這樣，在在主機(jī)上的的I

39、P地地址就對(duì)對(duì)應(yīng)的的MACC地址。但是，在發(fā)發(fā)數(shù)據(jù)包包給時(shí)時(shí)，仍然然會(huì)在局局域網(wǎng)內(nèi)內(nèi)尋找11011011002的MMAC地地址，不不會(huì)把包包發(fā)給路路由器，這時(shí)就就需要進(jìn)進(jìn)行ICCMP重重定向，告訴主主機(jī)到到101010002的的最短路路徑不是是局域網(wǎng)網(wǎng)，而是是路由，請(qǐng)主機(jī)機(jī)重定向向路由路路徑，把把所有到到101010002的的包發(fā)給給路由器器。主機(jī)機(jī)在接接受到這這個(gè)合理理的ICCMP重重定向后后，修改改自己的的路由路路徑，把把對(duì)100100100022的數(shù)據(jù)據(jù)包都發(fā)發(fā)給路由由器。這這樣攻擊擊方就就能得到到來(lái)自內(nèi)內(nèi)部網(wǎng)段段的數(shù)據(jù)據(jù)包。第五章. ARRP攻擊擊簡(jiǎn)介ARP欺欺騙按照照ARPP協(xié)議的的

40、設(shè)計(jì)，一個(gè)主主機(jī)即使使收到的的ARPP應(yīng)答并并非自身身請(qǐng)求得得到的，也會(huì)將將其IPP地址和和MACC地址的的對(duì)應(yīng)關(guān)關(guān)系添加加到自身身的ARRP映射射表中。這樣可可以減少少網(wǎng)絡(luò)上上過(guò)多的的ARPP數(shù)據(jù)通通信，但但也為“ARPP欺騙”創(chuàng)造了了條件。校園網(wǎng)網(wǎng)中，常常見的AARP攻攻擊有如如下幾中中形式。一、仿冒冒網(wǎng)關(guān)攻擊者偽偽造ARRP報(bào)文文，發(fā)送送源IPP地址為為網(wǎng)關(guān)IIP地址址，源MMAC地地址為偽偽造的MMAC地地址的AARP報(bào)報(bào)文給被被攻擊的的主機(jī)，使這些些主機(jī)更更新自身身ARPP表中網(wǎng)網(wǎng)關(guān)IPP地址與與MACC地址的的對(duì)應(yīng)關(guān)關(guān)系。這這樣一來(lái)來(lái)，主機(jī)機(jī)訪問網(wǎng)網(wǎng)關(guān)的流流量，被被重定向向到一個(gè)個(gè)

41、錯(cuò)誤的的MACC地址，導(dǎo)致該該用戶無(wú)無(wú)法正常常訪問外外網(wǎng)。如如下圖：“仿冒網(wǎng)網(wǎng)關(guān)”攻擊示示意圖二、欺騙騙網(wǎng)關(guān)攻擊者偽偽造ARRP報(bào)文文，發(fā)送送源IPP地址為為同網(wǎng)段段內(nèi)某一一合法用用戶的IIP地址址，源MMAC地地址為偽偽造的MMAC地地址的AARP報(bào)報(bào)文給網(wǎng)網(wǎng)關(guān)；使使網(wǎng)關(guān)更更新自身身ARPP表中原原合法用用戶的IIP地址址與MAAC地址址的對(duì)應(yīng)應(yīng)關(guān)系。這樣一一來(lái)，網(wǎng)網(wǎng)關(guān)發(fā)給給該用戶戶的所有有數(shù)據(jù)全全部重定定向到一一個(gè)錯(cuò)誤誤的MAAC地址址，導(dǎo)致致該用戶戶無(wú)法正正常訪問問外網(wǎng)。如下圖圖：“欺騙網(wǎng)網(wǎng)關(guān)”攻擊示示意圖三、欺騙騙終端用用戶攻擊者偽偽造ARRP報(bào)文，發(fā)送源源IP地址址為同網(wǎng)網(wǎng)段內(nèi)某某一

42、合法法用戶的的IP地址址，源MMAC地地址為偽偽造的MMAC地地址的AARP報(bào)報(bào)文給同同網(wǎng)段內(nèi)內(nèi)另一臺(tái)臺(tái)合法主主機(jī)；使使后者更更新自身身ARPP表中原原合法用用戶的IIP地址址與MAAC地址址的對(duì)應(yīng)應(yīng)關(guān)系。這樣一一來(lái)，網(wǎng)網(wǎng)段內(nèi)的的其他主主機(jī)發(fā)給給該用戶戶的所有有數(shù)據(jù)都都被重定定向到錯(cuò)錯(cuò)誤的MMAC地地址，同同網(wǎng)段內(nèi)內(nèi)的用戶戶無(wú)法正正?；ピL訪。如下下圖：“欺騙終終端用戶戶”攻擊示示意圖四、“中中間人”攻擊ARP “中間人人”攻擊，又稱為為ARPP雙向欺欺騙。如如 REF _Ref156550173 r h * MERGEFORMAT ARPP“中間人人”攻擊示示意圖所所示，HHostt A和和H

43、osst CC通過(guò)Swwitcch進(jìn)行行通信。此時(shí)，如果有有惡意攻攻擊者（Hosst BB）想探探聽Hoost A和Hosst CC之間的的通信，它可以以分別給給這兩臺(tái)臺(tái)主機(jī)發(fā)發(fā)送偽造造的ARRP應(yīng)答答報(bào)文，使Hoost A和Hosst CC用MACC_B更更新自身身ARPP映射表表中與對(duì)對(duì)方IPP地址相相應(yīng)的表表項(xiàng)。此此后，HHostt A 和Hosst CC之間看看似“直接”的通信信，實(shí)際際上都是是通過(guò)黑黑客所在在的主機(jī)機(jī)間接進(jìn)進(jìn)行的，即Hoost B擔(dān)當(dāng)當(dāng)了“中間人人”的角色色，可以以對(duì)信息息進(jìn)行了了竊取和和篡改。這種攻攻擊方式式就稱作作“中間人人（Maan-IIn-TThe-Middd

44、lee）攻擊擊”。如下圖圖：ARP“中間人人”攻擊示示意圖五、 AARP報(bào)報(bào)文泛洪洪攻擊惡意用戶戶利用工工具構(gòu)造造大量AARP報(bào)報(bào)文發(fā)往往交換機(jī)機(jī)的某一一端口，導(dǎo)致CCPU負(fù)負(fù)擔(dān)過(guò)重重，造成成其他功功能無(wú)法法正常運(yùn)運(yùn)行甚至至設(shè)備癱癱瘓。第六章.攻擊安安全防范范策略本文根據(jù)據(jù)ARPP攻擊的的特點(diǎn)，給出了了DHCCP監(jiān)控控模式下下的ARRP攻擊擊防御解解決方案案和認(rèn)證證模式下下的ARRP攻擊擊防御解解決方案案。前者者通過(guò)接接入交換換機(jī)上開開啟DHHCP Snooopiing功功能、配配置IPP靜態(tài)綁綁定表項(xiàng)項(xiàng)、ARRP入侵侵檢測(cè)功功能和AARP報(bào)報(bào)文限速速功能，可以防防御常見見的ARRP攻擊擊；后

45、者者不需要要在接入入交換機(jī)機(jī)上進(jìn)行行防攻擊擊配置，而需要要通過(guò)CCAMSS服務(wù)器器下發(fā)網(wǎng)網(wǎng)關(guān)的IIP/MMAC對(duì)對(duì)應(yīng)關(guān)系系給客戶戶端，防防御“仿冒網(wǎng)網(wǎng)關(guān)”攻擊。詳見 REF _Ref183919519 r h * MERGEFORMAT 常見網(wǎng)絡(luò)絡(luò)攻擊和和防范對(duì)對(duì)照表。常見網(wǎng)絡(luò)絡(luò)攻擊和和防范對(duì)對(duì)照表攻擊方式式防御方法法動(dòng)態(tài)獲取取IP地址址的用戶戶進(jìn)行“仿冒網(wǎng)網(wǎng)關(guān)”、“欺騙網(wǎng)網(wǎng)關(guān)”、“欺騙終終端用戶戶”、“ARPP中間人人攻擊”配置DHHCP Snooopiing、ARPP入侵檢檢測(cè)功能能手工配置置IP地址址的用戶戶進(jìn)行“仿冒網(wǎng)網(wǎng)關(guān)”、“欺騙網(wǎng)網(wǎng)關(guān)”、“欺騙終終端用戶戶”、“ARPP中間人人攻擊

46、”配置IPP靜態(tài)綁綁定表項(xiàng)項(xiàng)、ARRP入侵侵檢測(cè)功功能ARP泛泛洪攻擊擊配置ARRP報(bào)文文限速功功能動(dòng)態(tài)和手手工配置置IP地址址的用戶戶進(jìn)行“仿冒網(wǎng)網(wǎng)關(guān)”攻擊配置認(rèn)證證模式的的ARPP攻擊防防御解決決方案(CAMMS下發(fā)發(fā)網(wǎng)關(guān)配配置功能能)一、 DDHCPP Snnooppingg功能DHCPP Snnooppingg是運(yùn)行行在二層層接入設(shè)設(shè)備上的的一種DDHCPP安全特特性。通過(guò)監(jiān)聽聽DHCCP報(bào)文文，記錄錄DHCCP客戶戶端IPP地址與與MACC地址的的對(duì)應(yīng)關(guān)關(guān)系； 通過(guò)設(shè)置置DHCCP SSnooopinng信任任端口，保證客客戶端從從合法的的服務(wù)器器獲取IIP地址址。信任端口口正常轉(zhuǎn)轉(zhuǎn)

47、發(fā)接收收到的DDHCPP報(bào)文，從而保保證了DDHCPP客戶端端能夠從從DHCCP服務(wù)務(wù)器獲取取IP地址址。不信任端端口接收收到DHHCP服服務(wù)器響響應(yīng)的DDHCPP-ACCK和DHCCP-OOFFEER報(bào)文文后，丟丟棄該報(bào)報(bào)文，從從而防止止了DHHCP客客戶端獲獲得錯(cuò)誤誤的IPP地址。二、 IIP靜態(tài)態(tài)綁定功功能DHCPP Snnooppingg表只記記錄了通通過(guò)DHHCP方方式動(dòng)態(tài)態(tài)獲取IIP地址址的客戶戶端信息息，如果果用戶手手工配置置了固定定IP地址址，其IIP地址址、MAAC地址址等信息息將不會(huì)會(huì)被DHHCP Snooopiing表表記錄。因此，交換機(jī)機(jī)支持手手工配置置IP靜態(tài)態(tài)綁定表

48、表的表項(xiàng)項(xiàng)，實(shí)現(xiàn)現(xiàn)用戶的的IP地址址、MAAC地址址及接入入交換機(jī)機(jī)連接該該用戶的的端口之之間的綁綁定關(guān)系系。這樣樣，該固固定用戶戶的報(bào)文文就不會(huì)會(huì)被ARRP入侵侵檢測(cè)功功能過(guò)濾濾。三、 AARP入入侵檢測(cè)測(cè)功能H3C低低端以太太網(wǎng)交換換機(jī)支持持將收到到的ARRP（請(qǐng)請(qǐng)求與回回應(yīng)）報(bào)報(bào)文重定定向到CCPU，結(jié)合DDHCPP Snnooppingg安全特特性來(lái)判判斷ARRP報(bào)文文的合法法性并進(jìn)進(jìn)行處理理，具體體如下。當(dāng)ARPP報(bào)文中中的源IIP地址址及源MMAC地地址的綁綁定關(guān)系系與DHHCP Snooopiing表表項(xiàng)或者者手工配配置的IIP靜態(tài)態(tài)綁定表表項(xiàng)匹配配，且AARP報(bào)報(bào)文的入入端口及

49、及其所屬屬VLAAN與DHCCP SSnooopinng表項(xiàng)項(xiàng)或者手手工配置置的IPP靜態(tài)綁綁定表項(xiàng)項(xiàng)一致，則為合合法ARRP報(bào)文文，進(jìn)行行轉(zhuǎn)發(fā)處處理。當(dāng)ARPP報(bào)文中中的源IIP地址址及源MMAC地地址的綁綁定關(guān)系系與DHHCP Snooopiing表表項(xiàng)或者者手工配配置的IIP靜態(tài)態(tài)綁定表表項(xiàng)不匹匹配，或或ARPP報(bào)文的的入端口口，入端端口所屬屬VLAAN與DHCCP SSnooopinng表項(xiàng)項(xiàng)或者手手工配置置的IPP靜態(tài)綁綁定表項(xiàng)項(xiàng)不一致致，則為為非法AARP報(bào)報(bào)文，直直接丟棄棄。四、 AARP報(bào)報(bào)文限速速功能H3C低低端以太太網(wǎng)交換換機(jī)支持持端口AARP報(bào)報(bào)文限速速功能，使受到到攻擊

50、的的端口暫暫時(shí)關(guān)閉閉，來(lái)避避免此類類攻擊對(duì)對(duì)CPUU的沖擊擊。開啟某個(gè)個(gè)端口的的ARPP報(bào)文限限速功能能后，交交換機(jī)對(duì)對(duì)每秒內(nèi)內(nèi)該端口口接收的的ARPP報(bào)文數(shù)數(shù)量進(jìn)行行統(tǒng)計(jì)，如果每每秒收到到的ARRP報(bào)文文數(shù)量超超過(guò)設(shè)定定值，則則認(rèn)為該該端口處處于超速速狀態(tài)（即受到到ARPP報(bào)文攻攻擊）。此時(shí)，交換機(jī)機(jī)將關(guān)閉閉該端口口，使其其不再接接收任何何報(bào)文，從而避避免大量量ARPP報(bào)文攻攻擊設(shè)備備。同時(shí)時(shí)，設(shè)備備支持配配置端口口狀態(tài)自自動(dòng)恢復(fù)復(fù)功能，對(duì)于配配置了AARP限限速功能能的端口口，在其其因超速速而被交交換機(jī)關(guān)關(guān)閉后，經(jīng)過(guò)一一段時(shí)間間可以自自動(dòng)恢復(fù)復(fù)為開啟啟狀態(tài)。五、 CCAMSS下發(fā)網(wǎng)網(wǎng)關(guān)配置

51、置功能CAMSS（Commpreehennsivve AAcceess Mannageemennt SServver，綜合訪訪問管理理服務(wù)器器）作為為網(wǎng)絡(luò)中中的業(yè)務(wù)務(wù)管理核核心，可可以與以以太網(wǎng)交交換機(jī)等等網(wǎng)絡(luò)產(chǎn)產(chǎn)品共同同組網(wǎng)，完成用用戶的認(rèn)認(rèn)證、授授權(quán)、計(jì)計(jì)費(fèi)和權(quán)權(quán)限管理理。如 REF _Ref187741199 r h CCAMSS組網(wǎng)示示意圖所所示。CAMSS組網(wǎng)示示意圖認(rèn)證模式式的ARRP攻擊擊防御解解決方案案，不需需要在接接入交換換機(jī)上進(jìn)進(jìn)行特殊殊的防攻攻擊配置置，只需需要客戶戶端通過(guò)過(guò)8022.1xx認(rèn)證登登錄網(wǎng)絡(luò)絡(luò)，并在在CAMMS上進(jìn)進(jìn)行用戶戶網(wǎng)關(guān)的的設(shè)置，CAMMS會(huì)通通過(guò)接

52、入入交換機(jī)機(jī)，下發(fā)發(fā)網(wǎng)關(guān)的的IP/MACC對(duì)應(yīng)關(guān)關(guān)系給客客戶端，來(lái)防御御“仿冒網(wǎng)網(wǎng)關(guān)”攻擊。第七章. ARRP攻擊擊防御配配置舉例例一、 DDHCPP監(jiān)控模模式下的的ARPP攻擊防防御配置置舉例組網(wǎng)需求求某校園網(wǎng)網(wǎng)內(nèi)大部部分用戶戶通過(guò)接接入設(shè)備備連接網(wǎng)網(wǎng)關(guān)和DDHCPP服務(wù)器器，動(dòng)態(tài)態(tài)獲取IIP地址址。管理理員通過(guò)過(guò)在接入入交換機(jī)機(jī)上全面面部署AARP攻攻擊防御御相關(guān)特特性，形形成保護(hù)護(hù)屏障，過(guò)濾掉掉攻擊報(bào)報(bào)文。詳詳細(xì)網(wǎng)絡(luò)絡(luò)應(yīng)用需需求分析析如下。校園網(wǎng)用用戶分布布在兩個(gè)個(gè)區(qū)域HHostt arrea11和Hosst aareaa2，分分別屬于于VLAAN100和VLAAN200，通過(guò)過(guò)接入交交

53、換機(jī)SSwittch A和Swiitchh B連連接到網(wǎng)網(wǎng)關(guān)Gaatewway，最終連連接外網(wǎng)網(wǎng)和DHHCP。Hostt arrea11所在子子網(wǎng)內(nèi)擁?yè)碛幸慌_(tái)臺(tái)TFTTP服務(wù)務(wù)器，其其IP地址址為1992.1168.0.110/224，MACC地址為為0000d-885c77-4ee00。為防止仿仿冒網(wǎng)關(guān)關(guān)、欺騙騙網(wǎng)關(guān)等等ARPP攻擊形形式，開開啟Swwitcch AA上VLAAN100內(nèi)、Swwitcch BB上VLAAN200內(nèi)ARPP入侵檢檢測(cè)功能能，設(shè)置置Swiitchh A和和Swiitchh B的的端口EEtheerneet1/0/11為ARPP信任端端口。為防止AARP泛泛洪攻擊

54、擊，在SSwittch A和Swiitchh B所所有直接接連接客客戶端的的端口上上開啟AARP報(bào)報(bào)文限速速功能。同時(shí)，開啟因因ARPP報(bào)文超超速而被被關(guān)閉的的端口的的狀態(tài)自自動(dòng)恢復(fù)復(fù)功能，并設(shè)置置恢復(fù)時(shí)時(shí)間間隔隔1000秒。組網(wǎng)圖DHCPP監(jiān)控模模式下的的ARPP攻擊防防御組網(wǎng)網(wǎng)示意圖圖配置思路路在接入交交換機(jī)SSwittch A和Swiitchh B上上開啟DDHCPP snnooppingg功能，并配置置與DHHCP服服務(wù)器相相連的端端口為DDHCPP snnooppingg信任端端口。在接入交交換機(jī)SSwittch A上為為固定IIP地址址的TFFTP服服務(wù)器配配置對(duì)應(yīng)應(yīng)的IPP靜態(tài)綁

55、綁定表項(xiàng)項(xiàng)。在接入交交換機(jī)SSwittch A和Swiitchh B對(duì)對(duì)應(yīng)VLLAN上上開啟AARP入入侵檢測(cè)測(cè)功能，并配置置其上行行口為AARP信信任端口口。在接入交交換機(jī)SSwittch A和Swiitchh B直直接連接接客戶端端的端口口上配置置ARPP報(bào)文限限速功能能，同時(shí)時(shí)全局開開啟因AARP報(bào)報(bào)文超速速而被關(guān)關(guān)閉的端端口的狀狀態(tài)自動(dòng)動(dòng)恢復(fù)功功能。配置步驟驟使用的版版本本舉例中中使用的的接入交交換機(jī)SSwittch A和Swiitchh B為為E1226A系系列以太太網(wǎng)交換換機(jī)。配置客戶戶端動(dòng)態(tài)態(tài)獲取IIP地址址。配置客戶戶端自動(dòng)動(dòng)獲取IIP地址址示意圖圖配置Swwitcch AA#

56、 創(chuàng)建建VLAAN100，并將將端口EEtheerneet1/0/11到Ethhernnet11/0/4加入入VLAAN100中。 sysstemm-viiewSwiitchhA vlaan 110SwiitchhA-vvlann10 poort Ethhernnet 1/00/1 to Ethhernnet 1/00/4SwiitchhA-vvlann10 quuit# 配置置Swiitchh A的的上行口口為DHHCP snooopiing信信任端口口。SwiitchhA intterffacee ettherrnett1/00/1SwiitchhA-EEtheerneet1/0/11 d

57、dhcpp-snnooppingg trrusttSwiitchhA-EEtheerneet1/0/11 qquitt# 開啟啟DHCCP ssnooopinng。SwiitchhA dhccp-ssnooopinng# 在SSwittch A的端端口Ettherrnett1/00/4上上配置IIP靜態(tài)態(tài)綁定表表項(xiàng)。SwiitchhA intterffacee Ettherrnett1/00/4SwiitchhA-EEtheerneet1/0/44 iip ssourrce staaticc biindiing ip-adddresss 1192.1688.0.10 macc-adddrees

58、s 0000d-885c77-4ee00SwiitchhA-EEtheerneet1/0/44 qquitt# 配置置Swiitchh A的的上行口口為ARRP信任任端口。SwiitchhA intterffacee ettherrnett1/00/1SwiitchhA-EEtheerneet1/0/11 aarp dettecttionn trrusttSwiitchhA-EEtheerneet1/0/11 qquitt# 開啟啟VLAAN 110內(nèi)所所有端口口的ARRP入侵侵檢測(cè)功功能。SwiitchhA vlaan 110SwiitchhA-vvlann10 arrp ddeteecti

59、ion enaableeSwiitchhA-vvlann10 quuit# 開啟啟Swiitchh A的的端口EEtheerneet1/0/22、Ethhernnet11/0/3上的的ARPP報(bào)文限限速功能能。SwiitchhA intterffacee Ettherrnett1/00/2SwiitchhA-EEtheerneet1/0/22 aarp ratte-llimiit eenabbleSwiitchhA-EEtheerneet1/0/22 aarp ratte-llimiit 220SwiitchhA-EEtheerneet1/0/22 qquittSwiitchhA intter

60、ffacee Ettherrnett1/00/3SwiitchhA-EEtheerneet1/0/33 aarp ratte-llimiit eenabbleSwiitchhA-EEtheerneet1/0/33 aarp ratte-llimiit 220SwiitchhA-EEtheerneet1/0/33 qquitt# 配置置端口狀狀態(tài)自動(dòng)動(dòng)恢復(fù)功功能，恢恢復(fù)時(shí)間間間隔為為1000秒。SwiitchhA arpp prroteectiive-dowwn rrecooverr ennablleSwiitchhA arpp prroteectiive-dowwn rrecooverr in