ARP (地址解析協議)
地址解析協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機,並接收返回消息,以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間,下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網絡中各個主機互相信任的基礎上的,網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此攻擊者就可以向某一主機發送偽ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關係、添加或刪除靜態對應關係等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。
ARP安全簡介
定義
ARP(Address Resolution Protocol)安全是針對ARP攻擊的一種安全特性,它通過一系列對ARP表項學習和ARP報文處理的限制、檢查等措施來保證網絡設備的安全性。ARP安全特性不僅能夠防範針對ARP協議的攻擊,還可以防範網段掃描攻擊等基於ARP協議的攻擊。
目的
ARP協議有簡單、易用的優點,但是也因為其沒有任何安全機制,容易被攻擊者利用。在網絡中,常見的ARP攻擊方式主要包括:
- ARP泛洪攻擊,也叫拒絕服務攻擊DoS(Denial of Service),主要存在這樣兩種場景:
- 設備處理ARP報文和維護ARP表項都需要消耗系統資源,同時為了滿足ARP表項查詢效率的要求,一般設備都會對ARP表項規模有規格限制。攻擊者就利用這一點,通過偽造大量源IP地址變化的ARP報文,使得設備ARP表資源被無效的ARP條目耗盡,合法用戶的ARP報文不能繼續生成ARP條目,導致正常通信中斷。
- 攻擊者利用工具掃描本網段主機或者進行跨網段掃描時,會向設備發送大量目標IP地址不能解析的IP報文,導致設備觸發大量ARP Miss消息,生成並下發大量臨時ARP表項,並廣播大量ARP請求報文以對目標IP地址進行解析,從而造成CPU(Central Processing Unit)負荷過重。
- ARP欺騙攻擊,是指攻擊者通過發送偽造的ARP報文,惡意修改設備或網絡內其他用戶主機的ARP表項,造成用戶或網絡的報文通信異常。
ARP攻擊行為存在以下危害:
- 會造成網絡連接不穩定,引發用戶通信中斷。
- 利用ARP欺騙截取用戶報文,進而非法獲取遊戲、網銀、文件服務等系統的帳號和口令,造成被攻擊者重大利益損失。
為了避免上述ARP攻擊行為造成的各種危害,可以部署ARP安全特性。
受益
- 可以有效降低用戶為保證網絡正常運行和網絡信息安全而產生的維護成本。
- 可以為用戶提供更安全的網絡環境和更穩定的網絡服務。
分享到:
閱讀更多 IT信息技術隨筆 的文章
