鲁达 arp协议简单,易用,但是协议本身缺少安全保护机制,这带来了一些潜在的安全问题。
首先,由于arp请求报文的广播特性,任何接收者需要上送cpu处理,因此攻击者可以模拟发送大量请求报文,做ddos攻击。
对于这种攻击,最简单的方法,可以实现报文限速。限制指定时间内报文上送数量,防止cpu被攻击。如果仅仅限速,控制策略太过粗犷,可能导致大量有用的报文被误伤。可以适当精细化控制,如可以按照源mac做过滤表,根据网络中攻击报文实时的情况,自动刷新和维护过滤表。同时,由于有些设备可能确实需要频繁发送arp请求,比如网关设备,为了防止误伤,可以做白名单,指定网关地址不受前述过滤表的约束。
其次,可以发送大量数据包,数据包对应的ip地址是无法解析的,触发不断发送解析请求,也类似ddos攻击。
对于这种攻击,根据报文的源地址固定以及不固定,可以分别控制。
源地址固定的数据包攻击,可以根据源地址做抑制保护。通常做法就是,如果发现某个源地址在规定时间内发送的无法解析的报文数量超过阈值,则抑制该源地址发送的报文触发的arp请求,抑制时间过后,再重新允许触发arp请求,以此做攻击防护。
源地址不固定的数据报文攻击,可以采用黑洞路由方式。通常做法就是,如果持续发现有不能解析的数据报文,则生成一条黑洞路由,将这些攻击报文引入黑洞路由,防止频繁触发arp请求。等黑洞路由超时后,重新进入一轮检测流程,周而复始,以此来做攻击防护。
再次,对于伪造arp应答,使主机学习到错误的网关arp导致流量丢弃,就是arp欺骗。
arp欺骗可以从两个方向理解,网关arp欺骗,即有人模拟网关回复主机的arp请求,冒充网关。这可能导致用户无法联网,用户信息被发送到不期望的位置,被解析和窃取。网关地址通常是固定的,可以通过绑定网关ip和mac来防止这种欺骗。其实就是利用网关地址固定的特点,进行静态配置。同理,网关上也可以通过同样方法来实现,不过静态配置带来的是维护困难的问题。
对于安全威胁高,安全诉求要求高的网络,可以考虑引入硬件或者软件防火墙,通过特征库做防御。
魔高一尺道高一丈,攻击和防御,相互制约,不断提高。
不过安全防御总是需要在效果和效率之间寻求平衡,无法做到理想的效率和效果的俱佳,如何用最小的代价换取最好的效果,不断考验安全人员的智慧。
好了,今天就到这里吧。
我们应该聊到了上篇遗留的第一个问题,arp欺骗。
第二个问题,对于已经学习到arp表项,如果对端mac地址发生变化,本端如何快速感知并刷新arp表,以确保维护正确的表项呢?小伙伴吗,你知道吗?