實(shí)戰(zhàn)案例：ARP攻防測(cè)試報(bào)告

試驗(yàn)環(huán)境：

　　1、 拓?fù)鋱D：

　　2、 拓?fù)湔f(shuō)明：

　　1） router 1為出口路由器， 做NAT出局。

　　2） SW1為局域網(wǎng)交換機(jī)， 做了端口鏡像， 把E0/1鏡像到端口E0/24對(duì)攻擊的數(shù)據(jù)做分析。

　　3） 攻擊機(jī)：IP 10.0.0.5   MAC: Giga-Byt_15:84:f3 (00:1d:7d:15:84:f3)

　　4） 受害機(jī)1：IP 10.0.0.4  MAC: Dell_c0:fc:55 (00:21:70:c0:fc:55)

　　5） 受害機(jī)2：IP 10.0.0.6  MAC：SamsungE_9c:25:d3 (00:13:77:9c:25:d3)

　　6） 網(wǎng)關(guān)：IP 10.0.0.1  MAC: Hangzhou_4b:bf:4a (00:0f:e2:4b:bf:4a)

　　3、 測(cè)試用軟件：

　　采用了目前常見(jiàn)的局域網(wǎng)攻擊軟件：網(wǎng)絡(luò)守護(hù)神4.0.0.0， 聚生網(wǎng)管2.1 。 經(jīng)分析此2軟件的做法基本雷同， 因此文中不做特別的指出均表示此2軟件。

　　4、 相關(guān)路由交換配置：

　　Router1:

　　#

　　 sysname Router1

　　#

　　 nat address-group 0 192.168.1.223 192.168.1.224

　　#

　　dhcp server ip-pool 1

　　 network 10.0.0.0 mask 255.255.255.0

　　 gateway-list 10.0.0.1

　　 dns-list 202.102.134.68 61.134.1.4

　　#

　　acl number 2000

　　 rule 0 permit source 10.0.0.0 0.0.0.255

　　#

　　interface Ethernet0/0

　　 ip address 192.168.1.222 255.255.255.0

　　 nat outbound 2000 address-group 0

　　#

　　interface Ethernet0/1

　　 ip address 10.0.0.1 255.255.255.0

　　#

　　 ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 preference 60

　　SW1:

　　#

　　 sysname SW1

　　#

　　acl number 4000

　　 rule 0 permit ingress interface Ethernet0/1 egress any

　　 rule 1 permit ingress any egress interface Ethernet0/1

　　#

　　vlan 1

　　#

　　vlan 10

　　#

　　interface Vlan-interface1

　　 ip address 10.0.0.2 255.255.255.0

　　#

　　interface Ethernet0/1

　　#

　　interface Ethernet0/2

　　#

　　interface Ethernet0/3

　　#

　　interface Ethernet0/23

　　 port access vlan 10

　　#

　　interface Ethernet0/24

　　#

　　 ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 preference 60

　　#

　　 mirrored-to link-group 4000 rule 0 interface Ethernet0/23

　　 mirrored-to link-group 4000 rule 1 interface Ethernet0/23攻擊原理：

　　1、 攻擊原理：

　　ARP欺騙是采用大量的偽造網(wǎng)關(guān)的ARP reply報(bào)文來(lái)淹沒(méi)真正的網(wǎng)關(guān)reply報(bào)文來(lái)達(dá)到欺騙客戶(hù)端的目的。 因IP協(xié)議設(shè)計(jì)問(wèn)題， 對(duì)于收到的ARP reply無(wú)法進(jìn)行認(rèn)證， 并且盡管自身未發(fā)ARP request報(bào)文但是仍可對(duì)replay報(bào)文進(jìn)行響應(yīng)， 這更加大了被攻擊的可能。

　　可見(jiàn)ARP REPLY發(fā)包頻率非常之高， 統(tǒng)計(jì)信息如下：

　　同時(shí)還發(fā)現(xiàn)聚生網(wǎng)關(guān)， 有定時(shí)掃描整個(gè)網(wǎng)段ARP的機(jī)制， 而網(wǎng)絡(luò)守護(hù)神為手工按鈕。

　　當(dāng)以上攻擊發(fā)生時(shí)， 客戶(hù)端通過(guò)arp -a 命令發(fā)現(xiàn)已經(jīng)被欺騙， 而在網(wǎng)關(guān)上 dis arp 未發(fā)現(xiàn)欺騙， 同時(shí)也沒(méi)有抓取到欺騙網(wǎng)關(guān)的ARP報(bào)文， 此時(shí)查看交換機(jī)的MAC地址表， 也沒(méi)有異常。 由此可證明以上2軟件僅對(duì)客戶(hù)端進(jìn)行欺騙， 而不對(duì)網(wǎng)關(guān)和交換機(jī)進(jìn)行欺騙。

　　2、 數(shù)據(jù)在受欺騙時(shí)的流程：

　　首先因客戶(hù)端的MAC錯(cuò)誤， 客戶(hù)會(huì)將數(shù)據(jù)錯(cuò)誤的轉(zhuǎn)發(fā)到攻擊機(jī)， 攻擊機(jī)僅修改目的MAC為真正的網(wǎng)關(guān)MAC， 對(duì)三層及以上數(shù)據(jù)不做修改并轉(zhuǎn)發(fā)， 此時(shí)真正的數(shù)據(jù)到達(dá)路由器并經(jīng)過(guò)NAT出局， 而回來(lái)的數(shù)據(jù)流因路由器的MAC地址表未被欺騙， 因此直接的回送至受欺騙的機(jī)器， 抓包如下：

　　由此可證明此2軟件僅對(duì)上行數(shù)據(jù)流做控制， 下行的則不做控制， 路由器和交換機(jī)意識(shí)不到欺騙的存在。

　　預(yù)防方法測(cè)試：

　　1、 靜態(tài)綁定：

　　在受攻擊的客戶(hù)端做靜態(tài)IP+MAC綁定 發(fā)現(xiàn)客戶(hù)端不受控制， 但是上網(wǎng)速度相對(duì)來(lái)說(shuō)慢， 分析原因?yàn)楸M管自身已經(jīng)不受欺騙當(dāng)時(shí)仍然要處理收到的欺騙數(shù)據(jù)包， 同時(shí)欺騙的數(shù)據(jù)也占用帶寬， 因此對(duì)上網(wǎng)速率造成影響， 但此已經(jīng)不屬于A(yíng)RP攻擊的范疇了。 此時(shí)在監(jiān)控機(jī)抓取不到受害機(jī)的報(bào)文， 由此也可證明已經(jīng)失去控制。

　　2、 DHCP SNOOPING:

　　此方法證實(shí)無(wú)效， 相關(guān)配置如下：

　　#

　　interface Ethernet0/1

　　 ip check source ip-address mac-address

　　#

　　interface Ethernet0/2

　　 ip check source ip-address mac-address

　　#

　　interface Ethernet0/3

　　 ip check source ip-address mac-address

　　interface Ethernet0/24

　　 dhcp-snooping trust

　　#

　　 dhcp-snooping

　　具體分析如下：因打開(kāi)DHCP SNOOPING功能后， 交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)前要檢查DHCP SNOOPING 表的， 凡是IP和MAC地址不和SNOOPING 表相匹配的則不予轉(zhuǎn)發(fā)。 DHCP-SNOOP表如下：

　　[SW1]dis dhcp-snooping

　　DHCP-Snooping is enabled globally.

　　The client binding table for all untrusted ports.

　　Type : D--Dynamic , S--Static

　　Type IP Address      MAC Address     Lease     VLAN Interface

　　==== =============== =============== ========= ==== =================

　　D    10.0.0.4        0021-70c0-fc55  86400     1    Ethernet0/1          

　　D    10.0.0.5        001d-7d15-84f3  86400     1    Ethernet0/2          

　　D    10.0.0.6        0013-779c-25d3  86400     1    Ethernet0/3          

　　---   3 dhcp-snooping item(s) found   ---

　　因此當(dāng)發(fā)生ARP欺騙后， ARP攻擊機(jī)轉(zhuǎn)發(fā)受害機(jī)的數(shù)據(jù)的IP+MAC關(guān)系已經(jīng)不符合SNOOPING表的條目了， 因此將丟棄該數(shù)據(jù)包。 此時(shí)即使攻擊機(jī)不對(duì)受害機(jī)做控制， 受害機(jī)也不能夠上網(wǎng)， 受害機(jī)的數(shù)據(jù)被交換機(jī)丟棄了。

　　由此可推斷， 在交換機(jī)上做IP MAC PORT 之間的綁定也是如上效果， 起不到防御作用。

　　3、 PVLAN:

　　在交換機(jī)上做PVLAN隔離， 此時(shí)發(fā)祥攻擊機(jī)無(wú)法掃描到同網(wǎng)段的其他機(jī)器， 也無(wú)法做出任何欺騙， 在監(jiān)控口抓包僅發(fā)現(xiàn)大量掃描包， 此時(shí)受害機(jī)的ARP地址表也正常， 網(wǎng)速也正常。 分析原因?yàn)榻粨Q隔離了攻擊的流量， 此時(shí)的攻擊包受害機(jī)根本就無(wú)法收到， 同樣也不占用CPU時(shí)間， 對(duì)網(wǎng)絡(luò)帶寬占用也比較少， 因此起到了完全隔離ARP攻擊的作用， 并且對(duì)網(wǎng)速也沒(méi)有影響。

　　相關(guān)配置如下：

　　#

　　vlan 10

　　#

　　vlan 100

　　 isolate-user-vlan enable

　　#

　　vlan 101

　　#

　　vlan 102

　　#

　　vlan 103

　　#

　　interface Vlan-interface1

　　 ip address 10.0.0.2 255.255.255.0

　　#

　　interface Ethernet0/1

　　 port link-type hybrid

　　 port hybrid vlan 100 to 101 untagged

　　 port hybrid pvid vlan 101

　　#

　　interface Ethernet0/2

　　 port link-type hybrid

　　 port hybrid vlan 100 102 untagged

　　 port hybrid pvid vlan 102

　　#

　　interface Ethernet0/3

　　 port link-type hybrid

　　 port hybrid vlan 100 103 untagged

　　 port hybrid pvid vlan 103

　　#

　　interface Ethernet0/23

　　 port access vlan 10

　　#

　　interface Ethernet0/24

　　 port link-type hybrid

　　 port hybrid vlan 100 to 103 untagged

　　 port hybrid pvid vlan 100

檢測(cè)及故障追蹤方法：

　　1、 ARP -A 查看ARP 地址表及掃描法：

　　在受害機(jī)用arp -d 清除ARP表然后用arp -a 查看MAC地址表， 如發(fā)現(xiàn)網(wǎng)關(guān)MAC不是真正的MAC， 則收到ARP攻擊。 并且此MAC為攻擊機(jī)的MAC。

　　用局域網(wǎng)MAC地址掃描攻擊掃描整個(gè)網(wǎng)絡(luò)的IP和MAC對(duì)應(yīng)關(guān)系， 如果發(fā)現(xiàn)大量重復(fù)MAC,并且相對(duì)應(yīng)的機(jī)器也沒(méi)有配置多個(gè)IP， 則網(wǎng)絡(luò)有ARP攻擊。 并且此MAC為攻擊機(jī)的MAC。

　　2、 查看交換機(jī)的MAC地址表：

　　在交換機(jī)上查看交換機(jī)的MAC地址表， 找到攻擊機(jī)的MAC對(duì)應(yīng)的端口， 如果有交換機(jī)級(jí)聯(lián)則逐級(jí)查找， 找到對(duì)應(yīng)的PC即為進(jìn)行欺騙的機(jī)器。

　　3、 本機(jī)抓包：

　　在本機(jī)抓包如果抓包大量的Reply報(bào)文， 則發(fā)該報(bào)文的機(jī)器即為攻擊機(jī)。

　　4、 交換機(jī)端口鏡像抓包：

　　原理同3， 用于整個(gè)網(wǎng)絡(luò)不穩(wěn)定， 比較慢， 但是查看端口流量不是很大的情況。

　　總結(jié)：

　　1、 ARP欺騙是利用大量reply報(bào)文來(lái)淹沒(méi)正常Replay報(bào)文達(dá)到欺騙目的的。

　　2、 目前簡(jiǎn)單的防御方法是采用ARP綁定， 建議兩端同時(shí)綁。

　　3、 建議徹底的防御方法是采用PVLAN的方法， 但是此時(shí)PC間的通訊也受到阻塞。

　　4、 可采用屏蔽ARP報(bào)文的方法， 在交換機(jī)采用訪(fǎng)問(wèn)控制列表， 或者是修改操作系統(tǒng)（目前只知道UNIX/LINUX 可以）的方法關(guān)閉ARP協(xié)議， 這樣局域網(wǎng)間的通訊僅靠手工的MAC綁定來(lái)限制。

　　5、 采用更加細(xì)致的二層訪(fǎng)問(wèn)控制列表， 僅允許網(wǎng)關(guān)的arp reply報(bào)文通過(guò)， 或僅允許正確的arp reply報(bào)文通過(guò)， 此方法需要交換機(jī)支持， 并且也N麻煩。