技巧分享：动态ARP检测防止中间人攻击

ARP协议对于网络来说是一把双刃剑。一方面ARP协议是网络通信中不可或缺的协议，其就好像是一个问路人，在一定程度上决定了数据的传输路径。在另一方面，其又容易被攻击者使用，担当不恰当的角色。

现在针对ARP的攻击，可以说是层次不穷。虽然相关的措施也有不少，但是道高一尺、魔高一丈，防不胜防。针对这种情况，在思科的网络产品中，设计了动态ARP检测的技术。虽然这个技术不能够从根本上解决ARP带来的安全隐患，大但是对于遏制其危害，特别是中间人攻击方面，仍然有独到的表现。

一、中间人攻击案例模拟

如上图，是一个简单的网络架构图。有三台终端同时连接到同一个工作组交换机中。(实际情况可能会有更多的终端，为了简单起见，笔者以三个终端为例)。此时如果主机A需要访问主机B(第一次访问时只知道对方的IP地址而不知道MAC地址)，就需要先发送一个ARP请求。向各台主机询问，IP地址为多少的主机其MAC地址为多少，并会附上主机A的MAC地址。

这个ARP请求会以广播的形式在网络中传播，即网络中的每一台客户端都将受到这个信息。正常情况下，除了B以外的不相关的主机都会丢弃这个数据包。而只有主机B接收到这个请求后，才会进行响应。主机B首先会在自己的ARP缓存中创建主机A IP地址与MAC地址的相关记录(如果已经存在这个IP地址，则会进行更新)，并向主机A发送ARP响应。此时的ARP响应是一个单播数据包，即直接发送给主机A，而不是以广播的形式发送。

以上是一个比较正常的ARP处理流程。但是在这个处理的过程中，如果没有采取恰当的安全措施，则很可能会引发中间人攻击。如上图所示，如果终端设备C在收到主机A发送的ARP请求之后，没有抛弃这个数据包，而是发送了伪造的ARP响应(将自己的MAC地址替代主机B的MAC地址)，其就可以发起中间人攻击。在接收到主机C的ARP响应之后，主机A将不能够拥有主机B的正确MAC地址与IP地址。

对于主机A来说，它就会错误的认为主机C就是其要发送数据的对象。从而将数据直接发送给主机C。此时对于主机A和主机B之间的任何通信，就会被发送到主机C上。然后主机C在获取相关的内容之后，可能进行流量的重定向。在这个过程中，主机C就被称为中间人。这个过程就被称为中间人攻击。

#p#

二、通过动态ARP检测来防止中间人攻击

　　为了有效防止中间人攻击，在思科的网络产品中设计了动态ARP检测。其原理比较简单，就是交换机的相关端口会自动检测ARP数据包来自于正确的端口，并且没有被攻击者所更改或者欺骗。这个原理说起来简单，其实要实现起来需要经过许多的技术处理。通常情况下，通过DHCP监听绑定表，交换机能够确定正确的端口。如果交换机能够数据来自错误的端口，则会自动抛弃这个数据包，并会将相关的信息记录在案。而且还会将违规端口设置为err-disable 状态，攻击者将不能够对网络进行进一步的破坏工作。

　　如上图所示，如果要在这个环境中启用动态ARP检测技术，需要执行如下几个步骤。

　　第一步是需要在各个交换机端口上启用DHCP监听。如上所示，动态ARP检测需要判断数据的端口是否来自合法的端口。而要检测这个内容的话，必须要有DHCP监听绑定表。而这个表则是有DHCP监听程序创建的。这里需要注意，要在交换机所有的接口上启用这个监听服务。否则的话，就可能会出现问题。

　　第二步是比较关键，是需要将交换机间的连接配置为DAI(动态ARP检测)信任端口。在上面举例子的时候，笔者为了简单起见，只画了一个工作组交换机。而在实际工作中，企业往往是有多个交换机共同组成一个网络。此时如果让多个交换机之间也能够启用动态ARP检测功能呢?其需要做的配置，就是将交换机之间的链路配置为DAI信任端口。可以使用命令ip arp inspection trust来实现。

　　当启用了动态ARP检测功能，如果再发生中间人攻击事件的话，交换机会如何应对呢?如上图所示，当攻击者C连接到工作组交换机，并且试图发送虚假的ARP响应时，交换机会根据DHCP监听绑定表检测到这种攻击行为，并会丢弃这个ARP数据包。然后交换机会将这个攻击者C所连接的端口设置为 err-disable状态，并向管理员发出警报。

　　当启用了动态ARP检测的时候，需要注意其误诊断的情况。如上图所示，如果中间人C其不是直接连接在工作组交换机上。而是连接在一个集线器上。然后再通过这个集线器连接到交换机。此时当其发出中间者攻击时，交换机会将这个接口关闭掉。此时连接在这个接口上的所有主机都将无法与网络进行通信。这个 “一人有罪，全家受罚”的办法，往往会涉及到无辜。网络管理员在启用这个功能时，需要考虑到这个负面作用。在后续排除故障的时候，也会有参考的价值。

　　三、动态ARP检测在其他方面的作用

　　ARP动态检测功能在防止中间人攻击方面有比较特殊的表现。但是其功能还远远不止这个方面。如ARP动态检测功能还可以实现ARP抑制。即限制入站ARP数据包的速率。如果当ARP数据包的速率达到一个指定的数值之后，此时可能网络中存在着ARP攻击。在这种情况下，交换机会自动将这个接口设置为disable状态。要启用ARP抑制功能，需要在交换机中进行额外的配置。如可以通过如下命令来实现：ip arp inspection limit rate (ARP数据包速率)。执行这个配置并不难，其难点在于如何确定这个速率。如果速率设置的比较高，那么起不到ARP抑制的功能。相反，如果设置的比较低的话，又可能会影响到网络的正常使用。

　　四、动态ARP检测需要使用的相关技术

　　从以上的分析中可以看出，动态ARP检测并不是一门独立的技术，其必须要有其他的技术的帮助才能够实现。故笔者更喜欢将其称为一个技术的组合。如需要启用DHCP监听程序才能够帮助交换机判断数据来源接口的合法性等等。当启用ARP检测技术的时候，交换机会自动判断是否启用了一些必须的辅助技术。如果没有启用的话，交换机会报错，并终止用户的请求。所以在配置这个功能的时候，网络管理员还需要了解其他与之关联的技术。特别是需要了解其实现的一些前提条件，即需要先启用哪些技术。

　　在实际工作中，如像用户介绍或者培训过程中，笔者将动态ARP检测技术当作一个安全的解决方案(几种技术的组合)，而不是一门单独的技术。这无论是在学习还是在配置中都需要引起重视。笔者再强调一次，动态ARP检测是一种结合DHCP监听技术、IPSG技术等等的安全方案，其主要用来解决跟 ARP攻击相关的安全问题。

它能够有效保护多层交换网络中接入层的ARP攻击，如ARP中间人攻击、ARP欺骗、ARP扩散攻击，实现ARP抑制等等。当然在实现的过程中，也会存在一些负面作用。其最大的负面影响就是会使得连接在同一个接口上的其他无辜用户遭受到损失。在设计与部署动态ARP检测功能的时候，需要考虑到这个问题。如当连接到某个接口的终端出现网络故障，而其他接口运作正常时，就需要考虑到是否是这个原因所造成的。