技巧分享：动态ARP检测防止中间人攻击(2)

为了有效防止中间人攻击，在思科的网络产品中设计了动态ARP检测。其原理比较简单，就是交换机的相关端口会自动检测ARP数据包来自于正确的端口，并且没有被攻击者所更改或者欺骗。这个原理说起来简单，其实要实现起来需要经过许多的技术处理。通常情况下，通过DHCP监听绑定表，交换机能够确定正确的端口。如果交换机能够数据来自错误的端口，则会自动抛弃这个数据包，并会将相关的信息记录在案。而且还会将违规端口设置为err-disable 状态，攻击者将不能够对网络进行进一步的破坏工作。

如上图所示，如果要在这个环境中启用动态ARP检测技术，需要执行如下几个步骤。

第一步是需要在各个交换机端口上启用DHCP监听。如上所示，动态ARP检测需要判断数据的端口是否来自合法的端口。而要检测这个内容的话，必须要有DHCP监听绑定表。而这个表则是有DHCP监听程序创建的。这里需要注意，要在交换机所有的接口上启用这个监听服务。否则的话，就可能会出现问题。

第二步是比较关键，是需要将交换机间的连接配置为DAI(动态ARP检测)信任端口。在上面举例子的时候，笔者为了简单起见，只画了一个工作组交换机。而在实际工作中，企业往往是有多个交换机共同组成一个网络。此时如果让多个交换机之间也能够启用动态ARP检测功能呢?其需要做的配置，就是将交换机之间的链路配置为DAI信任端口。可以使用命令ip arp inspection trust来实现。

当启用了动态ARP检测功能，如果再发生中间人攻击事件的话，交换机会如何应对呢?如上图所示，当攻击者C连接到工作组交换机，并且试图发送虚假的ARP响应时，交换机会根据DHCP监听绑定表检测到这种攻击行为，并会丢弃这个ARP数据包。然后交换机会将这个攻击者C所连接的端口设置为 err-disable状态，并向管理员发出警报。

当启用了动态ARP检测的时候，需要注意其误诊断的情况。如上图所示，如果中间人C其不是直接连接在工作组交换机上。而是连接在一个集线器上。然后再通过这个集线器连接到交换机。此时当其发出中间者攻击时，交换机会将这个接口关闭掉。此时连接在这个接口上的所有主机都将无法与网络进行通信。这个 “一人有罪，全家受罚”的办法，往往会涉及到无辜。网络管理员在启用这个功能时，需要考虑到这个负面作用。在后续排除故障的时候，也会有参考的价值。

三、动态ARP检测在其他方面的作用

ARP动态检测功能在防止中间人攻击方面有比较特殊的表现。但是其功能还远远不止这个方面。如ARP动态检测功能还可以实现ARP抑制。即限制入站ARP数据包的速率。如果当ARP数据包的速率达到一个指定的数值之后，此时可能网络中存在着ARP攻击。在这种情况下，交换机会自动将这个接口设置为disable状态。要启用ARP抑制功能，需要在交换机中进行额外的配置。如可以通过如下命令来实现：ip arp inspection limit rate (ARP数据包速率)。执行这个配置并不难，其难点在于如何确定这个速率。如果速率设置的比较高，那么起不到ARP抑制的功能。相反，如果设置的比较低的话，又可能会影响到网络的正常使用。

四、动态ARP检测需要使用的相关技术

从以上的分析中可以看出，动态ARP检测并不是一门独立的技术，其必须要有其他的技术的帮助才能够实现。故笔者更喜欢将其称为一个技术的组合。如需要启用DHCP监听程序才能够帮助交换机判断数据来源接口的合法性等等。当启用ARP检测技术的时候，交换机会自动判断是否启用了一些必须的辅助技术。如果没有启用的话，交换机会报错，并终止用户的请求。所以在配置这个功能的时候，网络管理员还需要了解其他与之关联的技术。特别是需要了解其实现的一些前提条件，即需要先启用哪些技术。

在实际工作中，如像用户介绍或者培训过程中，笔者将动态ARP检测技术当作一个安全的解决方案(几种技术的组合)，而不是一门单独的技术。这无论是在学习还是在配置中都需要引起重视。笔者再强调一次，动态ARP检测是一种结合DHCP监听技术、IPSG技术等等的安全方案，其主要用来解决跟 ARP攻击相关的安全问题。

它能够有效保护多层交换网络中接入层的ARP攻击，如ARP中间人攻击、ARP欺骗、ARP扩散攻击，实现ARP抑制等等。当然在实现的过程中，也会存在一些负面作用。其最大的负面影响就是会使得连接在同一个接口上的其他无辜用户遭受到损失。在设计与部署动态ARP检测功能的时候，需要考虑到这个问题。如当连接到某个接口的终端出现网络故障，而其他接口运作正常时，就需要考虑到是否是这个原因所造成的。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]