当前几种ARP 欺骗防御方案的实践效果对比分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇当前几种ARP 欺骗防御方案的实践效果对比分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:ARP欺骗问题是网络的痼疾,给高校的信息安全工作造成了严重的危害,各种应对的技术手段很多,各有特点和应用领域。根据工作当中碰到的问题总结,该文论述了arp防火墙法,静态绑定法、端口安全+ARP check法,端口保护法,DAI法等各种方法在实践中的使用体会。
关键词:ARP欺骗防御;端口安全;DAI
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)18-4183-02
ARP欺骗是网络的痼疾,至少在IPV4的现阶段其不可能得到彻底的解决,但是我们可以利用各种技术手段对arp欺骗问题从规模到伤害上进行有力的限制,以达到将问题控制在某个可以接受的范围之内的目的。笔者在海南省某高校信息中心工作多年,在工作中为了解决arp问题进行了很多的尝试,既有非常普罗大众的做法,也有高校的独特之处,简单总结,以飨读者。
1 arp防火墙法
这是一种最简单也是使用率最高的做法,只需要简单的给所有用户都安装ARP防火墙,而且现在市面上存在着大量的免费ARP防火墙,都可以较好的完成全网用户的arp欺骗的防御。但是这个方案在使用当中有两个问题,第一点是由于高校用户的管理较为宽松,不具备严格的安全策略,所以用户不一定会按照要求安装相应的产品,由网络中心给所有用户人工安装又缺少足够的人力和精力;第二点是在ARP防火墙的配置当中,如果配置不当,有可能出现由于ARP防火墙发起的大量ARP安全广播,虽然解决了arp病毒引起的欺骗问题,但是大量的arp广播本身也会淹没整个网络带宽,形成如2008年瑞星ARP防火墙引起的吉林大学校园网断网事件。在ARP欺骗发作的高峰时期,全校几乎所有师生和机房都安装了360 arp防火墙,很大程度的遏制了arp欺骗的泛滥趋势。
2 静态绑定法
其原理是原本动态变化的arp缓存信息,进行静态绑定之后,就不会再接收arp的广播包,从而避免受到arp欺骗包的影响。这是是一种被推荐使用次数最多的方法,尤其是双向绑定,确实可以有力的解决ARP欺骗的问题,而且其操作方式看起来也颇为简单,只要简单的使用命令arp –s逐个绑定即可,其资金投入也几乎为零,是一种最为便宜的ARP欺骗防御方式。但是在实际使用过程当中我们发现,这种方式比较适合小型网络,否则要完成在核心交换机上绑定每个IP和MAC对的工作量太大;由于学生每年都要调换宿舍,带来的IP和MAC对的变更量也非常大,所以导致这种方式在本校当中几乎没有得到太大的应用。不过也不是完全没有用武之地,在本校的机房得到了一定的应用,高校的机房作为注明的病毒库,其病毒种类繁多,而且相应的管理手段和技术都不够,所以导致各种安全软件,包括ARP防火墙在内经常性的被损坏而导致无法正常运作,给机房带来一定的ARP欺骗问题,尤其是中间人攻击问题,严重的影响了高校信息化的开展,所以作为一种辅助手段,我们编写了一个简单的批处理,只绑定了网关的IP和mac,然后将此批处理文件放到每台学生机的自启动文件夹中,每次开机之后自动运行,完成对网关的静态绑定,遏制ARP欺骗的发生,也起到了较好的辅助效果。
3 端口安全+arp check法
其原理是通过在交换机各个端口开启arp检测功能,并通过手动绑定每个端口通过的ip和mac地址,来阻止欺骗包的发出,是一种源头阻截arp欺骗的方法。由于本校在2010年初完成了全校所有交换机的升级工作,全部换成了可管理可配置的锐捷RG-2328G交换机,所以可以完成这种arp检测工作,但是这种检测方法有着跟静态绑定法相同的问题,那就是工作量太大,需要分别把各个端口对应的IP和mac对进行绑定。而且由于高校和企业一个显然不同的特点,那就是学生的流动性大,每年的宿舍轮换以及新生毕业生的交替等,导致每年网络中心的工作量都太大。第二个问题是当初网络中心布线的时候,每个寝室只布了两个网络接口,学生必须自行购买小型交换机或者路由器才能完成上网工作,而这也导致了这种针对端口的arp检测方案无法实现。只能在教师办公的部分区域和应用服务器区使用。
4 端口保护法
其原理是通过在端口上启用端口保护的功能,从而禁止同交换机上不同端口之间的数据转发。严格意义上来说,这种方式并不是用来防御arp欺骗的,但是由于前面几种方法在大规模网络当中的适应性并不好,而端口保护的实现方式最为简单,只需要在所有交换机的端口上启用端口保护的功能,结合对各个楼层VLAN的合理划分,就可以将同网段的arp欺骗解决,而当发生大范围的ARP欺骗问题时,也可以结合vlan很方便的查找到对应的网段,然后逐级排查,快速高效的解决问题,所以最后本校在学生宿舍区域采取的就是这种技术手段,实施三年以来,ARP欺骗带来的断网问题几乎绝迹,而ARP广播带来的断网问题也影响范围大为缩小,处理速度明显加快。
5 DAI法
即动态ARP监测方法,是一种在动态环境下实现arp欺骗识别的方法,通过简单的配置命令:ip arp inspection vlan,即可在指定vlan实现对arp欺骗的动态识别,非常简单实用,但是这种方法的缺点是需要设备的支持,不是所有的设备都能支持这一功能。而且本校由于是静态地址分配方式,所以这种技术没有用武之地,在未来启用移动办公之后,将得到更多的应用。
ARP欺骗问题带来的后果非常严重,而且不是某一种单一的技术手段就能得到很好的解决的,需要的是整个网络统一的防御和处理机制,而每一种技术也都有着自己独特的者本校的全网arp防御方案为例,学生宿舍区域由于用户量大变换快,所以选择了端口保护这种工作量最小而同时效果又最好的方式。在教学机房区域为了保障网络教学对共享的需求,则放弃了端口保护的方案,而使用了arp防火墙和静态绑定批处理的方案。而在未来的移动化办公当中,则准备使用DAI的方案,以适应移动化办公的需求。
参考文献:
[1] 梁亦昭.局域网中的ARP欺骗防御[J].青海电力,2009(1).
[2] 林鹏飞.论如何防范ARP的攻击[J].才智,2010(11).
[3] 王毓梁.基于ARP协议的攻击与防范[J].仪器仪表用户,2007(3).