H3C防ARP解决方案及配置

2024年5月25日发(作者：)

H3C防ARP解决方案及配置

防ARP攻击配置举例

关键词：ARP、DHCP Snooping

摘 要：本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能，防止校园网中常见的“仿冒网关”、“欺

骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户

进行实际配置。

缩略语：ARP（Address Resolution Protocol，地址解析协议）

MITM（Man-In-The-Middle，中间人攻击）

第1章 防ARP攻击功能介绍

近来，许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H3C公司根

据校园网ARP攻击的特点，给出了DHCP监控模式下的防ARP攻击解决方案，可以有效的防御 “仿冒网关”、“欺骗网关”、

“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式；且不需要终端用户安装额外的客户

端软件，简化了网络配置。

1.1 ARP攻击简介

按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加

到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。

校园网中，常见的ARP攻击有如下几中形式。

(1) 仿冒网关

攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这

些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的

MAC地址，导致该用户无法正常访问外网。

图1-1 “仿冒网关”攻击示意图

(2) 欺骗网关

攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给

网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的所有数据全部

重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

图1-2 “欺骗网关”攻击示意图

(3) 欺骗终端用户

攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给

同网段内另一台合法主机；使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网段内的其

他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。

图1-3 “欺骗终端用户”攻击示意图

(4) “中间人”攻击

ARP “中间人”攻击，又称为ARP双向欺骗。如图1-4所示，Host A和Host C通过Switch进行通信。此时，如果有恶意

攻击者（Host B）想探听Host A和Host C之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使Host A

和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，Host A 和Host C之间看似“直接”的通信，

实际上都是通过黑客所在的主机间接进行的，即Host B担当了“中间人”的角色，可以对信息进行了窃取和篡改。这种攻击方

式就称作“中间人（Man-In-The-Middle）攻击”。