以SNMP偵測阻斷區域網路ARP欺騙行為 郭蕭禎 謝進利 許忠強 遠東科技大學資訊管理系 ginkoo@cc.feu.edu.tw shiehjl@cc.feu.edu.tw qq77618@yahoo.com.tw

內容 前言 相關研究 研究方法 實做 結論

前言 本論文將實做一個非常經濟的偵測方法 經由簡單的判斷即可偵測得知區域網路中是否已經發 生了ARP欺騙的事件 利用提供有SNMP功能的閘道器，讀取其SNMP資訊中 有關網路設備上的IP位址與MAC位址對應的暫存表 經由簡單的判斷即可偵測得知區域網路中是否已經發 生了ARP欺騙的事件 再搭配具有鎖定MAC位址於網路介面的交換器，即可 達成防制ARP欺騙的目的

相關研究-ARP協定 Address Resolution Protocol (ARP)位址解析協定是使 用在區域網路中，為了取得IP位址與MAC位址的動態 對應 ARP有兩種主要的訊息： ARP要求：是一個載明了需要轉換成MAC位址的IP位址 的訊框，通常是以廣播的方式在區域網路內傳送。 ARP回應：是一個回覆了相關IP位址所對映到的MAC位 址的訊框，通常是以點對點的方式傳送給發出ARP要求 的電腦主機。

相關研究-ARP協定

相關研究-ARP弱點 所有的電腦主機對於ARP回應所回覆的MAC位址，都 會毫無懷疑的將它存放在ARP快取記憶體中 沒有記錄訊息的傳送與接收狀態，即使有多次的ARP 回應陸續到來或是在沒有送出任何ARP要求的狀況下， 仍然會接收ARP回應訊息

相關研究- ARP欺騙(ARP SPOOFING)

相關研究- ARP欺騙(ARP SPOOFING) 阻斷服務DoS(denial-of-service)攻擊 當欺騙的ARP回應使用不存在的MAC位址，被攻擊的主機將 無法正常對外部網路連線 主機假冒攻擊 欺騙者對於被攻擊者的封包以假造的資訊作為回覆 中間人Man-In-The-Middle(MITM)攻擊 資訊已經被攻擊者所監聽，可以輕易獲取敏感的資料，或者 竄改資料

相關研究-已知的方法 偵測 阻斷攻擊 區域網路內安裝偵測的主機 在現有區域網路的主機上安裝軟體來偵測 設定靜態的ARP暫存表

研究方法 準則一：短時間內同一個IP位址對應到不同的MAC位 址，而且改變的次數過多（阻斷服務攻擊） 偵測ARP欺騙 藉由具備網管功能的閘道器，其SNMP提供ARP暫存表的資 訊 閘道器的ARP暫存表以每隔一段時間讀取一次 判斷所有的MAC位址其前3個位元組是否正常 無法偵測到帶有合法MAC位址的ARP欺騙回應 準則一：短時間內同一個IP位址對應到不同的MAC位 址，而且改變的次數過多（阻斷服務攻擊） 準則二：同一時間一個MAC位址對應的IP個數超過 1個（主機假冒攻擊或中間人攻擊） 此判斷準則適用於同一個網路介面只能擁有一個IP位址 輔以網路管理的規則：規範若有設定兩個以上的IP在同一個 網路介面需求時要提出申請

研究方法 ARP欺騙的阻斷 具有埠防禦(port security)功能的交換器 埠防禦功能主要是能將每一個交換器的實體連接埠鎖定在少 數的MAC位址，甚至是一個連接埠只鎖定一個MAC位址 欺騙的ARP回應如果使用了非真實的MAC位址，就沒有 辦法通過交換器送到閘道器或其他主機進行欺騙 偵測得知有ARP欺騙事件時，藉由準則二可以判斷得知 欺騙者的真實MAC位址，利用埠防禦的交換器關閉攻擊 者的實體連接埠

實做

實做-實驗結果 以每隔1分鐘讀取一次閘道器的ARP暫存表 準則一以最近8分鐘內讀取到的ARP暫存表中同一個IP 位址對應到不同的MAC位址，而且改變的次數超過4 次 我們在區域網路中利用網路攻擊軟體NetCut與 Ettercap來產生ARP欺騙行為

實做-實驗結果 NetCut對IP位 址203.64.237.86 電腦進行阻斷 服務DoS攻擊 發生的6分鐘之 後系統立即由 準則一偵測到 此一行為

實做-實驗結果 Ettercap軟體對IP 位址203.64.237.89 電腦進行中間人 MITM攻擊來竊聽 攻擊行為發生的1 分鐘之內系統立 即由準則二偵測 到此一行為

實做-優點與缺點 優點：在非常節省成本之下做到最大的管理效果 缺點：ARP欺騙若是僅發生在欺騙被攻擊的主機時（沒有 對閘道器進行欺騙） 同時監測很多個區域網路 不需在每個區域網路中安裝偵測主機 不需要求每一位網路使用者必須安裝軟體 不需花費很大的心力去更改閘道器或交換器的韌體 當然不用花大錢去購買更新所有的交換器 缺點：ARP欺騙若是僅發生在欺騙被攻擊的主機時（沒有 對閘道器進行欺騙） 建議在區域網路中的主機，針對預設閘道去設定靜態的ARP 對應 缺點：本系統位在網際網路的遠端進行偵測，若中途網路 擁塞或中斷，則系統反應時間將因此延遲 建議將系統放置於越接近偵測的區域網路預設閘道越好

結論 在本論文中，提出一個非常經濟的ARP欺騙偵測阻斷 系統，解決因為ARP欺騙造成網路服務中斷的問題 不需更改目前的協定 也不需在每個區域網路建置其他裝置或修改軟硬體 利用提供有SNMP資訊的閘道器，在遠端即可監控區 網是否已經發生ARP欺騙的行為 再搭配具有埠防禦功能的交換器接收SNMP訊息，即 可自動阻斷ARP欺騙的行為 給網管人員能夠在不需花費太多的前提下，輕鬆的解 決ARP欺騙的問題

Q & A