媒介

ARP（Address Resolution Protocol，，，，，，地址解析和谈），，，，，，主张是实现IP地址到MAC地址的映射。。。。。。。。而在TCP/IP和谈栈中，，，，，，最不安全的和谈，，，，，，可能非ARP莫属了。。。。。。。。我们时时听到的这些术语，，，，，，蕴含"网络扫描"、"内网渗入"、"中央人拦截"、"局域网流控"、"流量糊弄"，，，，，，根基都跟ARP脱不了干系。。。。。。。。本文沉点针对在IPv4环境下的ARP防御问题以及解决规划进行具体论述。。。。。。。。重要蕴含：ARP糊弄攻击以及解决规划、ARP泛洪攻击以及解决规划和现实部署时的建议。。。。。。。。

 

ARP攻击介绍

ARP糊弄攻击

• ARP糊弄的道理

正常的ARP通讯过程只需广播ARP Request和单播ARP Reply两个过程，，，，，，单一的说就是一问一答。。。。。。。。而ARP的糊弄就是通过伪造要求或者应答报文形成的糊弄。。。。。。。。

• ARP糊弄攻击的分类

凭据ARP糊弄者与被糊弄者之间角色关系的分歧，，，，，，通？？？？Ｄ芄话袮RP糊弄攻击分为如下两种，，，，，，如图1所示：

主机型ARP糊弄：糊弄者主机假意网关设备对其他主机进行糊弄。。。。。。。。

网关型ARP糊弄：糊弄者主机假意其他主机对网关设备进行糊弄。。。。。。。。

 

▲图1 ARP糊弄分类

 

ARP泛洪攻击

• ARP泛洪攻击的道理

ARP泛洪攻击，，，，，，也叫回绝服务攻击（Denial of Service），，，，，，可能导致大量亏损互换机内存、表项或者其它资源，，，，，，使系统无法持续服务。。。。。。。。大量的报文砸向CPU，，，，，，占用了整个送CPU报文的带宽，，，，，，导致正常的和谈报文和治理报文无法被CPU处置，，，，，，带来和谈震荡或者设备无法治理，，，，，，进而导致数据面转发受影响，，，，，，并引起整个网络无法正常运行。。。。。。。。

 

ARP糊弄攻击解决规划

在介绍具体解决规划之前，，，，，，我们先相识下防ARP糊弄的主题职能：ARP-check（ARP报文合规校验），，，，，，校验ARP报文的源IP与安全地址中的IP是否一致，，，，，，校验ARP报文的源MAC与安全地址中的MAC是否一致，，，，，，在两项校验均合规的情况下对报文进行转发。。。。。。。。而安全地址的天生，，，，，，我们能够通过手工静态绑定的方式以及DHCP Snooping监测的方式获取，，，，，，具体流程如图2：

 

▲图2 ARP-check流程

 

以上是硬件检测的流程，，，，，，除此之表还有一种软件校验的方式，，，，，，就是将端口的ARP要求直接送往CPU，，，，，，而CPU凭据DHCP Snooping的表项进行合规查抄。。。。。。。。

 

端口安全 + ARP-check规划

利用场景：此规划合用于用户IP地址为静态分配的场景，，，，，，并且必要明确知路每个用户所衔接互换机端口。。。。。。。。

职能简介：通过手工的方式将IP与MAC的对应关系配置到互换机的端口，，，，，，并开启ARP合规查抄。。。。。。。。具体配置如图3：

 

▲图3 端口安全+ARP-check规划配置

 

规划的优势：节造极度严格，，，，，，利用硬件方式直接校验ARP报文，，，，，，正确，，，，，，无需亏损CPU。。。。。。。。

弊端的劣势：端口安全必须网络并配置所有效户IP和MAC信息，，，，，，较为繁芜，，，，，，不够矫捷，，，，，，不适合于用户必要频仍迁徙端口的环境。。。。。。。。

 

全局IP&MAC绑定+ARP-check规划

利用场景：此规划合用于用户IP地址为静态分配的场景，，，，，，但治理员不必要知路每个用户所衔接的互换机端口，，，，，，因而合用于用户散布情况不确定，，，，，，或者下联用户存在轻易移动端口的场景中。。。。。。。。

职能简介：通过手工方式将IP与MAC的对应关系配置到互换机全局，，，，，，并在互换机的端口下开启ARP合规查抄。。。。。。。。具体配置如图4：

 

▲图4 全局IP+MAC绑定+ARP-check规划配置

 

规划的利益：节造较为严格，，，，，，允许用户在本互换机内部进行端口迁徙具备肯定的矫捷性，，，，，，利用硬件方式直接校验ARP报文，，，，，，正确，，，，，，无需亏损CPU。。。。。。。。

规划的弊端：端口安全必须网络并配置所有效户IP和MAC信息，，，，，，较为繁芜。。。。。。。。

 

DAI规划

利用场景：DAI（Dynamic ARP Inspection）规划适合于接入用户使用DHCP动态获取IP地址环境，，，，，，同时要求部署DHCP Snooping职能。。。。。。。。

职能简介：提取DHCP Snooping表中的IP+MAC信息，，，，，，通过CPU过滤源MAC/源IP不在Snooping表中的ARP报文，，，，，，具体流程如图5：

 

▲图5 DAI规划ARP合规查抄流程图

 

具体配置见图6：

 

▲图6 DAI规划配置

 

规划的利益：配置守护单一，，，，，，无需手工配置每个用户的IP&MAC绑定。。。。。。。。

规划的弊端：由于用户的ARP报文送CPU查抄，，，，，，查抄的起源是DHCP Snooping所纪录的软件表项，，，，，，因而会额表亏损设备的CPU资源。。。。。。。。

 

IP Source Guard + ARP-check规划

利用场景：此规划适合于接入用户使用DHCP动态获取IP地址环境，，，，，，同时要求部署DHCP Snooping职能 。。。。。。。。

职能简介：提取DHCP Snooping表中正确的IP与MAC，，，，，，通过IP Source Guard将DHCP Snooping表写入互换机硬件表项，，，，，，使用ARP-check职能校验ARP报文的合法性，，，，，，具体流程如图7：

 

▲图7 IP Source Guard + ARP-check规划流程图

 

具体配置如图8：

 

▲图8 IP Source Guard + ARP-check规划配置

 

规划的利益：配置守护单一，，，，，，和DAI相比，，，，，，ARP-check属于硬件芯片查抄安全表项，，，，，，不亏损CPU资源。。。。。。。。

规划的弊端：对互换机的安全职能要求较高，，，，，，必要同时支持DHCP Snooping、IP Source Guard、ARP-check这三种职能。。。。。。。。跟DAI相比，，，，，，会亏损硬件资源表项，，，，，，当互换机使用较多安全职能时，，，，，，好比ACL，，，，，，且互换机下接用户数过多，，，，，，可能会导致设备硬件安全资源不及，，，，，，必要适当节造单台互换机的带机数。。。。。。。。

设备硬件资源不实时，，，，，，会提醒类似这样的log：

%SECURITY-3-TCAM_RESOURCE_LIMIT: TCAM resource is temporary not available.

 

ARP糊弄解决规划对比分析

 

▲表1 ARP糊弄解决规划对比分析表

 

如表1所示，，，，，，当网络内选取DHCP方式动态获取IP，，，，，，那么推荐选取IP Source Guard + ARP-check规划进行防ARP糊弄攻击部署，，，，，，对于部拜别工配置的IP地址必要网络接见时，，，，，，例如打印机，，，，，，能够结合端口或者全局IP&MAC手动绑定的方式+ ARP-check解决。。。。。。。。

 

ARP泛洪攻击解决规划

 

CPP+NFPP解决ARP泛洪攻击

由于ARP报文的解析均要送往CPU进行解析，，，，，，因而我们能够通过限度ARP送往CPU的报文速度实现对CPU的保；；；；；；；

CPP（CPU Protect Policy，，，，，，CPU保；；；；；；；ふ绞酰┦且恢稚璞缸陨碛美幢；；；；；；；；PU的安全防护职能，，，，，，用于预防网络设备的CPU收到网络上不用要和拥有恶意攻击主张的数据报文，，，，，，通过将发往CPU的报文鉴别分类、划分队劣注限速、调度、流量整形等处置后，，，，，，投递CPU，，，，，，保障网络设备的CPU即便在一个充溢着网络攻击的环境中仍能够对正常进行和谈报文处置，，，，，，确保网络的不变运行。。。。。。。。如图9所示：

 

▲图9 CPP工作流程图

 

当然CPP自身也是有局限性的，，，，，，例如仅针对报文进行限速，，，，，，无法从底子解决问题，，，，，，并且没有有关的日志产生，，，，，，导致出现问题后无法定位故障。。。。。。。。针对CPP的局限，，，，，，一个全新的系统架构出现，，，，，，即：NFPP(Network Foundation Protection Policy，，，，，，网络基础保；；；；；；；ふ绞)。。。。。。。。

对迸宗CPP，，，，，，NFPP增长了安全战术，，，，，，如（隔离战术，，，，，，攻击检测战术），，，，，，并且可能在触发安全战术后以syslog或者trap的方式上报服务器，，，，，，具体流程如图10所示：

 

▲图10 NFPP简化流程图

 

在NFPP框架内隔离战术，，，，，，可从源头屏蔽攻击，，，，，，并且会产生有关的log信息，，，，，，从而援手网络治理员定位问题。。。。。。。。在NFPP框架内，，，，，，可实现对于ARP报文的防护（ARP-Guard）、ND报文的防护、DHCP报文防护等等，，，，，，本文将针对ARP防护进前进一步具体介绍。。。。。。。。

 

ARP防护（ARP-Guard）：

ARP-Guard职能重要指标为保；；；；；；；ど璞窩PU，，，，，，预防大量ARP攻击报文送CPU导致CPU利用率升高，，，，，，所以ARP-Guard实现了对送往CPU的ARP报文的限速和攻击检测。。。。。。。。

通过在互换机上开启ARP-Guard职能，，，，，，设置ARP报文的攻击水线以及限速水线。。。。。。。。若是ARP报文量超过攻击水线，，，，，，那么设备将通过安全战术直接进行隔离，，，，，，并产生log信息给日志服务器。。。。。。。。若是ARP报文量幼于攻击水线但大于限速水线，，，，，，那么将对报文进行限速处置，，，，，，并产生log信息给日志服务器。。。。。。。。若是ARP报文量低于限速水线，，，，，，可正常转发至CPU。。。。。。。。如图11所示：

 

▲图11 ARP-Guard工作流程图

 

在现实部署过程傍边，，，，，，NFPP往往与CPP同时开启。。。。。。。。

 

 

总 结

ARP糊弄攻击可能引发网络的信息安全问题，，，，，，而ARP泛洪攻击可能直接导致网络互换机的瘫痪，，，，，，造成网络的不成用。。。。。。。。一个引发数据泄露，，，，，，而另一个将导致出产业务中断，，，，，，因而必要网络治理人员高度器沉。。。。。。。。建议现实部署或者交付过程中，，，，，，增长对ARP防护的配置，，，，，，推荐规划为：

• 部署IP Source Guard + ARP-check，，，，，，可实现预防APR糊弄、预防DHCP私设以及预防内网IP私设。。。。。。。。

• 部署CPP+NFPP，，，，，，可预防ARP泛洪攻击、DHCP攻击，，，，，，预防CPU负载过高。。。。。。。。

 

 

本期作者：张文杰

全发国际网络互联网系统部行业征询

 

往期杰出回首  

• 【第一期】浅谈物联网技术之通讯和谈的纷争
• 【第二期】若何通过网络遥测（Network Telemetry）技术实现精密化网络运维？？？？？
• 【第三期】畅谈数据中心网络运维自动化
• 【第四期】基于Rogue AP反造的无线安全技术探求
• 【第五期】流量可视化之ERSPAN的前世今生
• 【第六期】若何实现数据中心网络架构“去”堆叠
• 【第七期】运维可视化之INT职能详解
• 【第八期】浅析RDMA网络下MMU水线设置
• 【第九期】第七代无线技术802.11ax详解
• 【第十期】数据中心自动化运维技术索求之互换机零配置上线
• 【第十一期】 浅谈数据中心100G光？？？？？
• 【第十二期】数据中心网络等价多蹊径（ECMP）技术利用钻研
• 【第十三期】若何为RDMA构建无损网络
• 【第十四期】基于EVPN的散布式VXLAN实现规划
• 【第十五期】数据中心自动化运维技术索求之NETCONF
• 【第十六期】一文读懂网络界新贵Segment Routing技术化繁为简的奥秘
• 【第十七期】浅谈UWB（超宽带）室内定位技术
• 【第十八期】PoE以太网供电技术详解
• 【第十九期】机框式主题互换机硬件架构演进
• 【第二十期】 IPv6基础篇（上）——地址与报文体式
• 【第二十一期】IPv6系列基础篇（下）——邻居发现和谈NDP
• 【第二十二期】IPv6系列安全篇——SAVI技术解析
• 【第二十三期】IPv6系列安全篇——园区网IPv6的接入安全战术
• 【第二十四期】Wi-Fi 6真的很“6”（概述篇）——不只是更高的传输速度
• 【第二十五期】 Wi-Fi 6真的很“6”（技术篇） ——前方高能，，，，，，幼白慎入
• 【第二十六期】IPv6系列利用篇——数据中心IPv4/IPv6双栈架构探求