1 ARP協議與ARP欺騙

ARP欺騙，一個讓我們耳熟能詳的網絡安全事件，普遍的存在于校園網、企業網等網絡環境中，給我們的工作、學習和生活帶來了很大的不變，輕則網絡變慢、時斷時續，重則直接無法上網、重要信息被竊取，可以說，ARP欺騙是網絡的一塊頑疾。分析ARP欺騙，就不得不研究一下ARP協議，因為這種攻擊行為正是利用了ARP協議本身的漏洞來實現的。
     1.1 ARP協議

ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫，它的作用，就是將IP地址轉換為MAC地址。在局域網中，網絡中實際傳輸的是“數據幀”，數據幀如果要到達目的地，就必須知道對方的MAC地址，它不認IP的。但這個目標MAC地址是如何獲得的呢？它就是通過ARP協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。 

每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的，例如下表所示。
                          表1 ARP緩存表舉例 

我們以主機A（192.168.16.1）向主機B（192.168.16.2）發送數據為例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發送就可以了；如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網段內的所有主機發出這樣的詢問：“192.168.16.2的MAC地址是什么？”網絡上其他主機并不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發送信息時，直接從ARP緩存表里查找就可以了。 

ARP緩存表采用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。 

以上就是ARP協議的作用以及其工作過程，看來是很簡單的，也正因為其簡單的原理，沒有其他措施的保障，也就使得ARP欺騙產生了。下面我們來看看ARP欺騙到底是怎么回事。

1.2 ARP欺騙原理   

為什么會有ARP欺騙，這還要從ARP協議說起，前面我們介紹了，當源主機不知道目標主機的MAC地址的話，就會發起廣播詢問所有主機，然后目標主機回復它，告知其正確的MAC地址，漏洞就在這里，如果一個有不軌圖謀的主機想收到源主機發來的信息（可能是用戶名、密碼、銀行賬號之類的信息），那么它只需也向源主機回復一下，響應的IP地址沒錯，但MAC地址卻變成了發起欺騙的主機的，這樣，信息就發到它那里去了（前面說了，數據幀只認MAC地址）。這是一種欺騙的方式，還有一種方式，是利用了“免費ARP”的機制。所謂免費ARP就是不需要別人問，一上來就先告訴別人，我的IP地址是多少，我的MAC地址是多少，別的主機無需廣播，就已經知道了該主機的IP和MAC，下次需要發到這個IP的時候，直接發就行了。既然是主動發起的，就可以被別有用心的人利用了，用一個假冒的IP地址（可能是網關的或者重要服務器的地址）加上自己的MAC出去騙別人，就把重要的信息都騙到這里來了。下面我們來看看ARP欺騙的具體操作過程。

1.2.1 局域網主機冒充網關進行ARP欺騙   

欺騙過程：如下圖所示， PC A 跟網關GW C 通訊時，要知道GW 的MAC地址，如果PC B 假冒GW 告訴PC A , GW的mac地址是 MAC B； 或者干脆告訴PC A，GW的mac地址是 MAC X, 那么，PC A就受騙了，PC A 的數據就到不了網關，造成斷線。 

1.2.2 局域網主機冒充其他主機欺騙網關
       欺騙過程：網絡通訊是一個雙向的過程，也就是說，只有保證PC A -> Gw C以及Gw C -> PC A 都沒問題，才能確保正常通訊。假如，PC B冒充主機PC A，告訴GW C：PC A的MAC是MAC B，網關就受騙了，那么，PC A到GW C沒有問題，可是，GW C到不了PC A，因而造成網絡斷線。
       以上兩種欺騙，尤其是第二種類型的欺騙，現在更為常見。從本質上說，同一局域網內（這里指在同一網段）的任何兩個點的通訊都可能被欺騙，無論是主機到網關，網關到主機，主機到服務器，服務器到主機，還有主機之間都是一樣，都可能產生進行ARP欺騙，欺騙本質都是一樣。
1.2.3 其他欺騙類型
       1. 主機冒用其它主機，欺騙其它主機的方式：如主機A冒用主機B的Mac，欺騙主機C，以達到監聽主機B和主機C的目的，并且導致主機B到主機C之間的網絡連接中斷。
       2. 外網欺騙：外網冒用路由器A的MAC，欺騙更上一級的路由器B，導致更上一級的路由器被騙，將內網信息全部轉發給外網惡意主機。

2 防御ARP欺騙的解決方案概覽

面多ARP欺騙帶來的危害日益升級，越來越多的網絡深受其害，在網絡安全界也涌現出了多種ARP欺騙的防御方案，這里簡單加以總結。  

2.1 接入交換機/網關手動綁定

       目前主流的安全接入交換機/網關都具有IP、MAC綁定功能，像銳捷網絡的安全接入交換機甚至提供了6元素（IP、MAC、VLAN ID、交換機端口號、用戶名、密碼）的綁定，可以通過在接入交換機上將下聯每臺主機的IP和MAC地址綁定起來，將不符合IP、Mac綁定信息的報文全部丟棄，這樣有效的防住了內網用戶冒充網關或其他主機來欺騙內網其他用戶的目的。
   

這種方法的局限性：
        配置工作量大，每臺交換機下所連的所有用戶都要一一手動綁定，對于交換機下聯客戶機變換頻繁的場合，基本無可用性；
        無法防御來自外部的ARP欺騙，只對本交換機所接用戶負責；
        無法適用于采用動態IP的場合；
        接入交換機/網關手動綁定的方法，是現在采用的比較多的手段，但由于其以上的局限性，所以要配合其他手段才能完善的防御ARP欺騙。

2.2 主機端手動綁定

通過Windows自帶的ARP-S命令，可以將特定的IP地址和Mac地址進行綁定，實現一定的ARP欺騙防御。
        這種方法的局限性：
        配置麻煩，主機需要通信的目標很多，不可能一個一個都綁起來。
        容易失效，這種方法進行的綁定，一拔掉網線或者關機、注銷就全部失效了，如果想繼續使用，就需要重新綁定。
        只能進行主機端的防御，如果網關遭欺騙則無能為力。
        跟接入交換機綁定一樣，主機端手動綁定也是只能實現部分防御，需要與其他方法結合來完善。

 2.3 網關定期發送免費ARP
   

這是一種抑制的方法，因為ARP表項有老化期，經過一段時間就需要重新更新，所以通過網關定期發送免費ARP，不時的“提醒”主機，真正的網關在這里，來防止偽裝成網關的ARP欺騙。
       這種方法的局限性：
       網關定期發送免費ARP，對于網關設備的性能提出了很高的要求，同時，大量的免費ARP報文無疑也大大占用了網絡的帶寬；
       由于很多ARP欺騙也是通過頻繁大量發送免費ARP報文來實現的，所以如果網關這么做，欺騙只需要將發送的頻率加大幾倍就依然可以欺騙成功。

2.4 主機安裝ARP防御軟件

目前這類軟件很多，其基本原理與上一個方法相同，就是每個主機都不停的發送免費ARP廣播，來告訴別人自己的IP和MAC的綁定關系，以達到抑制欺騙ARP報文的目的。
        這種方法的局限性：
        同上一個方法一樣，這種方法也是通過耗費大量網絡帶寬來實現的，所以在許多主機安裝了ARP防火墻的網絡中，網絡性能往往都會非常低下，因為大量的帶寬都被免費ARP報文占用了。
        以上就是目前常見的幾種防范ARP欺騙的解決方案，我們可以看到，每個方案各有利弊，都無法完善方便的防住ARP欺騙。只有通過多種手段的結合，配合完善的內網管理機制，才能實現ARP欺騙的真正防御。
 

3 銳捷網絡三重立體ARP防御解決方案

       ARP欺騙攻擊存在的原因，究其根本在于ARP協議本身的不完善，通信雙方的交互流程缺乏一個授信機制，使得非法的攻擊者能夠介入到正常的ARP交互中進行欺騙。要從根本上解決ARP欺騙的問題，必須要在局域網內的通信雙方之間建立起一個可信任的驗證體系。
       銳捷網絡GSN全局安全解決方案中特有的“ARP三重立體防御體系”，正是為了應對現在日益嚴重的ARP欺騙現象而制定的，整個解決方案遵循以下思路進行：

3.1 方案原理
        用戶身份合法性驗證
        通過部署GSN解決方案，實行基于IEEE 802.1X協議的身份認證系統，所有用戶都必須要經過統一集中的身份鑒權認證方能允許接入網絡。統一的身份認證系統確保了所有網絡中的在線用戶都有合法的身份信息，并且利用802.1X協議基于MAC地址的邏輯端口認證特性，保障了認證系統的中央服務端能夠在用戶認證過程中獲取到用戶真實的IP-MAC對應信息。
        確保真實ARP信息來源
        防治ARP欺騙的最重要一個環節是確保ARP信息的真實可靠。對于局域網通信最主要的兩個對象：網關和用戶來說，網關的IP-MAC對應關系是不會輕易變更的；而通過在全網實施的入網身份認證系統，能夠確保在用戶每次上線時的認證過程中都能提交真實的IP-MAC信息。網絡中各元素的真實ARP信息有了可靠的來源保障。
        中立的第三方ARP授信體系
        前文已經談到，要從根本上防治ARP欺騙，必須在通信雙方之間建立可靠的驗證體系。而由于ARP協議本身的缺陷性，不管是通信雙方的網關或是主機都無法勝任對ARP信息的可靠性進行驗證的角色，需要通過中立的第三方系統把控ARP協議的通信過程。GSN系統能夠對在線用戶的身份信息進行統一的管理，非常適合進行ARP信息的授權管理。
        建立可信任ARP（Trusted ARP）機制
        可信任ARP機制用于在局域網通信的雙方之間進行可靠的ARP信息同步，具體到各個不同的網絡元素之間的同步過程，可以分為以下兩種操作：
        主機ARP靜態綁定：在客戶端主機進行網關的ARP靜態綁定。當用戶認證上線時,認證服務端在本地保存的網關IP-MAC對應關系表中查找用戶所屬網關，并將該用戶所對應的網關IP和MAC地址進行下發，由802.1X認證客戶端程序在用戶的主機端進行網關MAC和IP的ARP靜態綁定。
        客戶端在認證成功后進行ARP靜態綁定,然后定時進行ARP靜態綁定是否被更改的檢測，如果被更改,則重新進行綁定，以防止一些木馬程序以合法的方式對ARP靜態綁定進行的更改,用戶下線時刪除主機的網關ARP靜態綁定。
        網關可信任ARP綁定：當用戶認證上線時，認證服務端通過接入交換機獲取用戶真實的IP-MAC關聯信息，并根據用戶的網關信息，將用戶相應的ARP表項在網關進行主機的IP和MAC的ARP靜態綁定.該方式同主機ARP靜態綁定相結合,能夠達到雙綁定的效果。

在網關設備上增加可信ARP表項 

銳捷網絡S37系列等智能三層接入/匯聚交換機能夠支持可信任ARP表項功能。可信任ARP作為一類特殊ARP，添加在交換機端的ARP表中。可信任ARP同時具有靜態ARP和動態ARP兩者的特征，其優先級高于動態ARP表項、并且低于靜態ARP表項。可信任ARP具有類似于動態ARP的老化機制――通過記錄和刷新每個表項的老化時間來判斷該表項是否需要老化。可信任ARP具有靜態ARP的相關特征，即不被動態ARP所覆蓋。 

可信任ARP歸類為動態ARP，因此對于ARP的相關功能模塊，該可信任ARP將被視為動態ARP。使用這種方式可避免可信任ARP對原有ARP相關模塊的影響。同時，由于靜態ARP優先級高于可信任ARP，因此用戶手動配置的靜態ARP可以覆蓋可信任ARP。 

因此，在實施了可信任ARP功能之后，對于網絡管理員來說，所有操作完全都是透明的，不會對網絡管理員的原有網絡管理產生任何影響，因為對于原有的網絡來說，可信任ARP就是動態ARP。只有在ARP更新這個地方有了輕微了變化，而且所有的一切動作都是后臺進行的。 

3.2 方式實現過程及效果 

3.2.1 第一重，網關防御 

網關防御的實現過程如下：
        SMP學習已通過認證的合法用戶的IP-MAC對應關系。
        SMP將用戶的ARP信息通知相應網關。
        網關生成對應用戶的可信任ARP表項。

GSN網關防御過程如下： 

攻擊者冒充用戶IP對網關進行欺騙。

真正的用戶已經在網關的可信任ARP表項中，欺騙行為失敗。

3.2.2 第二重，客戶端防御

用戶端防御的實現方法如下：
        在SMP上設置網關的正確IP－MAC對應信息。
        用戶認證通過，SMP將網關的ARP信息下傳至SU。
        SU靜態綁定網關的ARP。

用戶端防御的實現過程如下：
        攻擊者冒充網關欺騙合法用戶。
        用戶已經靜態綁定網關地址，欺騙攻擊無效。

3.2.3 第三重，交換機非法報文過濾 

交換機非法報文過濾，是通過銳捷網絡安全智能交換機的安全功能來實現的，具體實現方法如下：
        用戶認證通過后，交換機會在接入端口上綁定用戶的IP－MAC對應信息。
        交換機對報文的源地址進行檢查，對非法的攻擊報文一律丟棄處理。
        該操作不占用交換機CPU資源，直接由端口芯片處理。

交換機非法報文過濾實現過程如下：
         攻擊者偽造源IP和MAC地址發起攻擊。
         報文不符合綁定規則，被交換機丟棄。

4 方案總結 

通過銳捷網絡GSN解決方案中的“ARP三重立體防御體系”，解決了ARP欺騙中的網關型欺騙，中間人欺騙以及ARP泛洪攻擊，在可能發生ARP請求和響應的所有環節，都加以防范，有效彌補了由于ARP協議本身的缺陷所帶來的漏洞，解決了困擾廣大網絡管理員的ARP欺騙問題，給我們的局域網帶來更加健康和諧的網絡環境。