近来论坛有网友提问,已绑定IP-MAC,并安装了ARP防火墙,为什么还是受ARP攻击。现在简单的来说说。
自2005年以来,ARP攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐,从而导致网络中的ARP攻击无处不在,各大论坛从未停止过ARP攻击的讨论,一些遭受过ARP攻击的用户甚至到了谈“ARP”色变的程度。
根据攻击者的真实性,ARP攻击可以分为三类:
1.攻击者的IP和MAC都是真实的;
2.攻击者的IP更改,MAC是真实的;
3.攻击者的IP和MAC均更改,甚至伪造。
对于前两种情况,我们知道借助绑定IP-MAC、安装ARP防火墙,可以轻松地定位攻击源并解决问题。但第3种情况,这种方法则不能有效定位攻击源,而这种情况的ARP攻击,正日渐增多,所以对这种同时更改IP和MAC的ARP攻击的排查,成为了目前ARP攻击排查工作的重中之重。
一个非常简单的网络,A、B、C、D 四台机器同时连接到一个交换机,再通过一个 路由器连接到 Internet。
假设 A 发起 ARP 攻击,但却将攻击数据包的源 MAC 和源 IP 均改为机器 D 的。在这种情况下,如果我们直接式进行抓包,那么我们分析后, 将会认为机器 D 存在 ARP 攻击,而这样的结果将会使用 D 蒙冤而 A 却逍遥法外。接下来,我们就来看,如何查找到元凶 A?
如果对交换机有管理权限,且交换机支持网管,可以show mac-add table来查看每个端口下的mac地址情况,对照sh arp现实的mac和ip对应关系就可以比较快速的定位故障范围和源头,尽快断开后再进行详细分析如果下连的交换机也是可网管的,那就更快了,迅速定位故障PC的端口。
当攻击者将 IP 和 MAC 都改为不存在的假地址时,或者交换机不支持网管呢?
这种情况下,我们的解决方案是:网络分析系统 + 分路器。
在这种解决方案中,网络分析系统用于捕获数据,分路器(TAP)用于物理单向镜像数据。二者结合使用,可实现物理单向的数据捕获。
我们将 4 台机器分成两部分,其中两台(这里是 A 和 B)首先通过一个二层交换机到分路器,然后再连接到中心交换机,同时将安装网络分析系统的笔记本接到分路器上进行数据捕获。
我们再来分析刚才所举的例子,即 A 发起 ARP 攻击,但却将攻击数据包的源 MAC 和源 IP均改为机器 D的。在部署分路器后,我们在网络分析系统网络分析系统中,只捕获并分析 A 和 B 两台机器发出的数据包,这时,我们将抓到源 MAC和源 IP都是 D的数据。抓到这些数 据后,我们即可确定,真正的罪魁祸首在 A 和 B 两台机器之间,然后再单独对 A和 B进行单向抓包,即可确定最终的元凶。相对应的,如果我们在这种情况下抓到的数据包全是正常的(源 IP和源 MAC都是A或B),则表示罪魁祸首不是 A 和 B,那么需要使用相同的方法对 C和 D进行检测分析。
此方法不仅适用于上述例子中几台机器的小型网络,在大规模的网络中一样可行,排 查的故障也不仅仅是例子所说的 ARP 攻击,而是伪造 IP 和 MAC 的任意攻击行为。
现将此方法的步骤归纳如下:
1.将所有客户端分为两部分,一部分接入位置保持不变,另一部份接入分路器;
2.将安装网络分析系统的笔记本接入到分路器中,仅捕获发出的数据包;
3.如果捕获到的数据包中,出现源 MAC 或 IP 不是这部分的正确 IP 或 MAC 的数据, 则表示这部分机器中存在伪造地址攻击;如果捕获到的数据包没有出现这种数据,则表示攻击者在另一部分机器中;
4.将认定有问题的那部分机器再细分成两部份,使用和上面相同的方法进行捕获分析,进而将攻击者定位在更小的范围内;
5.采用上述的方法逐渐缩小范围,直至最终找出攻击者(具体的步骤数与网络相关)。
在网络安全日益重要的今天,通过该方法查找网络中的恶意攻击者,虽然步骤显得有些繁琐,但个人认为,却不失为一种行之有效的手段。
本文仅提供一种思路,不对的地方敬请指出,同时欢迎大家共同探讨。