26 конфигурация защиты от подмены arp, 1 обзор, 1 arp (address resolution protocol) – Инструкция по эксплуатации QTECH QSW-3400 Руководство администратора

Руководство пользователя

26. Конфигурация защиты от подмены ARP

205

www.qtech.ru

26 КОНФИГУРАЦИЯ ЗАЩИТЫ ОТ ПОДМЕНЫ ARP

26.1 Обзор

26.1.1 ARP (Address Resolution Protocol)

В общем, протокол ARP (RFC-826), в основном, отвечает за соотношение IP адреса
соответствующему 48-битному физическому адресу, то есть MAC адресу, например, IP
адрес 192.168.0.1, MAC адрес сетевой карты 00-1F-CE-FD-1D-2B.

Весь процесс соотношения состоит в том, что хост отправляет широковещательный
(broadcast) пакет данных, включающий в себя информацию об IP адресе хоста
назначения (ARP запрос), затем хост назначения отправляет исходному хосту пакет
данных, включающий в себя информацию об IP адресе и MAC адресе. Таким образом,
два хоста могут обмениваться информацией по MAC адресу.

26.1.2 Подмена ARP

С точки зрения протокола ARP, чтобы уменьшить ARP трафик в сети, если хост получит
ARP ответ, который он не запрашивал, он так же добавит запись в свой ARP кэш, что
делает возможным подмену ARP (ARP spoofing). Если хакер хочет прослушать обмен
данными между двумя хостами в одной сети (даже если они подключены через
коммутаторы), он отправляет пакет ARP ответа двум хостам по отдельности, это приводит
к тому, что каждый из хостов считает MAC адрес хакера адресом другого хоста. Таким
образом, вместо прямого обмена, хосты обмениваются трафиком через хост хакера.
Хакеры не только получают необходимую им информацию. Им для успешной передачи
необходимо всего лишь изменить некоторую информацию в пакете. В этом случае на
компьютере хакера не нужно настраивать смешанный режим сетевой карты, т.к. пакеты
данных поступают на компьютер хакера на физическом уровне, компьютер работает как
ретранслятор.

26.1.3 Как предотвратить подмену ARP

Есть много видов атак, основанных на протоколе ARP,. Большинство атак основаны на
подмене ARP, так что очень важно предотвратить подмену ARP.

Механизм подмены ARP проникает в сеть, в первую очередь, путем подделки легального
IP адреса, затем посылая много поддельных ARP пакетов коммутаторам, после чего
коммутаторы заменяют правильные связки IP-MAC соответствующими связками из
атакующих пакетов. Таким образом, коммутатор ошибочно отправляет пакеты
атакующему хосту, и это действует на всей сети.

Основным методом предотвращения атак и подмены ARP на коммутаторах является
отключение на коммутаторе функции автоматического обновления. Обманщик не
сможет изменить правильные связки IP-MAC на коммутаторе, тем самым
предотвращается неправильная пересылка пакетов. В то же время это не прерывает
функцию автоматического обучения ARP. Таким образом, это значительно
предотвращает подмену ARP.