ARP（Address Resolution Protocol，地址解析協(xié)議）用于將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層地址。IP地址只是主機(jī)在網(wǎng)絡(luò)層中的地址，如果要將網(wǎng)絡(luò)層中數(shù)據(jù)包傳送給目的主機(jī)，必須知道目的主機(jī)的數(shù)據(jù)鏈路層地址（比如以太網(wǎng)絡(luò)MAC地址）。因此必須將IP地址解析為數(shù)據(jù)鏈路層地址。

ARP協(xié)議用于將IP地址解析為MAC地址，并在主機(jī)內(nèi)部維護(hù)一張ARP表，記錄最近與本主機(jī)通信的其它主機(jī)的MAC地址與IP地址的對應(yīng)關(guān)系。當(dāng)主機(jī)需要與陌生主機(jī)通信時(shí)，首先進(jìn)行ARP地址解析，ARP地址解析過程如圖所示：

1) A在自己的ARP表中查詢是否存在主機(jī)B的IP地址和MAC地址的對應(yīng)條目。若存在，直接向主機(jī)B發(fā)送數(shù)據(jù)。若不存在，則A向整個(gè)局域網(wǎng)中廣播一份稱為“ARP請求”的數(shù)據(jù)鏈路幀，這個(gè)請求包含發(fā)送端（即主機(jī)A）的IP地址和MAC地址以及接收端（即主機(jī)B）的IP地址。

2) 局域網(wǎng)的每個(gè)主機(jī)接收到主機(jī)A廣播的ARP請求后，目的主機(jī)B識別出這是發(fā)送端在詢問它的IP地址，于是給主機(jī)A發(fā)出一個(gè)ARP應(yīng)答。這個(gè)應(yīng)答包含了主機(jī)B的MAC地址。

3) 主機(jī)A接收到主機(jī)B發(fā)出的ARP應(yīng)答后，就將主機(jī)B的IP地址與MAC地址的對應(yīng)條目添加自己的ARP表中，以便后續(xù)報(bào)文的轉(zhuǎn)發(fā)。

掃描綁定功能即通過交換機(jī)向局域網(wǎng)或VLAN發(fā)送指定IP段的ARP請求報(bào)文，當(dāng)收到相應(yīng)的ARP應(yīng)答報(bào)文時(shí)，將分析ARP應(yīng)答報(bào)文來獲得四元信息。由此可見，通過掃描綁定功能可以很方便的將局域網(wǎng)用戶的四元信息進(jìn)行綁定。

DHCP偵聽

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)復(fù)雜度的提高，經(jīng)常出現(xiàn)計(jì)算機(jī)的數(shù)量超過可供分配的IP地址的情況。同時(shí)隨著便攜機(jī)及無線網(wǎng)絡(luò)的廣泛使用，計(jì)算機(jī)的位置也經(jīng)常變化，相應(yīng)的IP地址也必須經(jīng)常更新，從而導(dǎo)致網(wǎng)絡(luò)配置越來越復(fù)雜。DHCP（Dynamic Host Configuration Protocol，動態(tài)主機(jī)配置協(xié)議）是在BOOTP協(xié)議基礎(chǔ)上進(jìn)行了優(yōu)化和擴(kuò)展而產(chǎn)生的一種網(wǎng)絡(luò)配置協(xié)議，并有效解決了上面這些問題。

DHCP工作原理

DHCP采用“客戶端/服務(wù)器”通信模式，由客戶端向服務(wù)器提出配置申請，服務(wù)器返回為客戶端分配的IP地址等配置信息，以實(shí)現(xiàn)網(wǎng)絡(luò)資源的動態(tài)配置。通常一臺服務(wù)器可以為多臺客戶端分配IP，如圖所示：

針對DHCP客戶端的需求不同，DHCP服務(wù)器提供三種IP地址分配策略：

1) 手工分配地址：由管理員為少數(shù)特定客戶端（如WWW服務(wù)器等）靜態(tài)綁定IP地址。通過DHCP將固定IP地址分配給客戶端。

2) 自動分配地址：DHCP服務(wù)器為客戶端分配租期為無限長的IP地址。

3) 動態(tài)分配地址：DHCP服務(wù)器為客戶端分配具有一定有效期限的IP地址，當(dāng)使用期限到期后，客戶端需要重新申請地址。

絕大多數(shù)客戶端均通過動態(tài)分配地址的方式獲取IP地址，其獲取IP地址的過程如下圖所示：

1) 發(fā)現(xiàn)階段，客戶端以廣播方式發(fā)送DHCP-DISCOVER報(bào)文尋找DHCP服務(wù)器。

2) 提供階段，DHCP服務(wù)器接收到客戶端發(fā)送的DHCP-DISCOVER報(bào)文后，根據(jù)IP地址分配的優(yōu)先次序從地址池中選出一個(gè)IP地址，與其它參數(shù)一起通過DHCP-OFFER報(bào)文發(fā)送給客戶端（發(fā)送方式根據(jù)客戶端發(fā)送的DHCP-DISCOVER報(bào)文中的flag字段決定，具體請見DHCP報(bào)文格式的介紹）。

3) 選擇階段，如果有多臺DHCP服務(wù)器向該客戶端發(fā)來DHCP-OFFER報(bào)文，客戶端只接受第一個(gè)收到的DHCP-OFFER報(bào)文，然后以廣播方式發(fā)送DHCP-REQUEST報(bào)文，該報(bào)文中包含DHCP服務(wù)器在DHCP-OFFER報(bào)文中分配的IP地址。

4) 確認(rèn)階段，DHCP服務(wù)器收到DHCP客戶端發(fā)來的DHCP-REQUEST報(bào)文后，只有DHCP客戶端選擇的服務(wù)器會進(jìn)行如下操作：如果確認(rèn)地址分配給該客戶端，則返回DHCP-ACK報(bào)文；否則將返回DHCP-NAK報(bào)文，表明地址不能分配給該客戶端。

Option 82

DHCP報(bào)文格式基于BOOTP的報(bào)文格式，共有8種類型的報(bào)文，每種報(bào)文的格式相同。DHCP和BOOTP消息的不同主要體現(xiàn)在選項(xiàng)（Option）字段，并利用Option字段來實(shí)現(xiàn)功能擴(kuò)展。例如DHCP可以利用Option字段傳遞控制信息和網(wǎng)絡(luò)配置參數(shù)，實(shí)現(xiàn)地址的動態(tài)分配，為客戶端提供更加豐富的網(wǎng)絡(luò)配置信息。更多DHCP Option選項(xiàng)的介紹，請參見RFC 2132。

Option 82選項(xiàng)記錄了DHCP客戶端的位置信息，交換機(jī)接收到DHCP客戶端發(fā)送給DHCP服務(wù)器的請求報(bào)文后，在該報(bào)文中添加Option 82，并轉(zhuǎn)發(fā)給DHCP服務(wù)器。管理員可以從Option 82中獲得DHCP客戶端的位置信息，以便定位DHCP客戶端，實(shí)現(xiàn)對客戶端的安全和計(jì)費(fèi)等控制。支持Option 82的服務(wù)器還可以根據(jù)該選項(xiàng)的信息制訂IP地址和其它參數(shù)的分配策略，提供更加靈活的地址分配方案。

Option 82最多可以包含255個(gè)子選項(xiàng)。若定義了Option 82，則至少要定義一個(gè)子選項(xiàng)。目前本交換機(jī)支持兩個(gè)子選項(xiàng)：Circuit ID（電路ID子選項(xiàng)）和Remote ID（遠(yuǎn)程ID子選項(xiàng)）。由于Option 82的內(nèi)容沒有統(tǒng)一規(guī)定，不同廠商通常根據(jù)需要進(jìn)行填充。目前本交換機(jī)對子選項(xiàng)的填充內(nèi)容如下，電路ID子選項(xiàng)的填充內(nèi)容是接收到DHCP客戶端請求報(bào)文的端口所屬VLAN的編號以及端口號，遠(yuǎn)程ID子選項(xiàng)的填充內(nèi)容是接收到DHCP客戶端請求報(bào)文的DHCP Snooping設(shè)備的MAC地址。

DHCP服務(wù)欺騙攻擊

在DHCP工作過程中，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器，不僅會給網(wǎng)絡(luò)造成混亂，也對網(wǎng)絡(luò)安全造成很大威脅。這種網(wǎng)絡(luò)中出現(xiàn)非法的DHCP服務(wù)器，通常分為兩種情況：

1) 用戶不小心配置的DHCP服務(wù)器，由此引起的網(wǎng)絡(luò)混亂非常常見。

2) 黑客將正常的DHCP服務(wù)器中的IP地址耗盡，然后冒充合法的DHCP服務(wù)器，為客戶端分配IP地址等配置參數(shù)。例如黑客利用冒充的DHCP服務(wù)器，為用戶分配一個(gè)經(jīng)過修改的DNS服務(wù)器地址，在用戶毫無察覺的情況下被引導(dǎo)至預(yù)先配置好的假的金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶的帳戶和密碼，如圖所示。

DHCP偵聽是運(yùn)行在交換機(jī)上的一種DHCP安全特性。通過設(shè)置DHCP服務(wù)器的連接端口為授信端口，只處理授信端口發(fā)來的DHCP響應(yīng)報(bào)文；通過監(jiān)聽DHCP報(bào)文，記錄用戶從DHCP服務(wù)器獲取局域網(wǎng)用戶的四元信息，進(jìn)行綁定后與ARP攻擊防護(hù)、IP源防護(hù)等安全功能配合使用；同時(shí)也可以過濾不可信任的DHCP信息，防止局域網(wǎng)中發(fā)生DHCP服務(wù)欺騙攻擊，提高網(wǎng)絡(luò)的安全性。

ARP防護(hù)

根據(jù)所述的ARP地址解析過程可知，利用ARP協(xié)議，可以實(shí)現(xiàn)相同網(wǎng)段內(nèi)的主機(jī)之間正常通信或者通過網(wǎng)關(guān)與外網(wǎng)進(jìn)行通信。但由于ARP協(xié)議是基于網(wǎng)絡(luò)中的所有主機(jī)或者網(wǎng)關(guān)都為可信任的前提制定的，因此在實(shí)際復(fù)雜的網(wǎng)絡(luò)中，此過程存在大量的安全隱患，從而導(dǎo)致針對ARP協(xié)議的欺騙攻擊非常常見。網(wǎng)關(guān)仿冒、欺騙網(wǎng)關(guān)、欺騙終端用戶和ARP泛洪攻擊均是在學(xué)校等大型網(wǎng)絡(luò)中常見的ARP攻擊，以下簡單介紹這幾種常見攻擊：

網(wǎng)關(guān)仿冒

攻擊者發(fā)送錯(cuò)誤的網(wǎng)關(guān)MAC給受害者，而網(wǎng)絡(luò)中的受害者收到這些ARP響應(yīng)報(bào)文時(shí)，自動更新ARP表，導(dǎo)致不能正常訪問網(wǎng)絡(luò)。如圖所示。

如圖，攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報(bào)文給局域網(wǎng)中的正常用戶，相應(yīng)的局域網(wǎng)用戶收到此報(bào)文后更新自己的ARP表項(xiàng)。當(dāng)局域網(wǎng)中正常用戶要與網(wǎng)關(guān)進(jìn)行通信時(shí)，將數(shù)據(jù)包封裝上錯(cuò)誤的目的MAC地址，導(dǎo)致通信中斷。

欺騙網(wǎng)關(guān)

攻擊者發(fā)送錯(cuò)誤的終端用戶的IP/MAC的對應(yīng)關(guān)系給網(wǎng)關(guān)，導(dǎo)致網(wǎng)關(guān)無法和合法終端用戶正常通信。如圖所示。

如圖，攻擊者發(fā)送偽造的用戶A的ARP報(bào)文給網(wǎng)關(guān)，網(wǎng)關(guān)收到此報(bào)文后更新自己的ARP表項(xiàng)，當(dāng)網(wǎng)關(guān)與局域網(wǎng)中用戶A進(jìn)行通信時(shí)，將數(shù)據(jù)包封裝上錯(cuò)誤的目的MAC地址，導(dǎo)致通信中斷。

欺騙終端用戶

攻擊者發(fā)送錯(cuò)誤的終端用戶/服務(wù)器的IP/MAC的對應(yīng)關(guān)系給受害的終端用戶，導(dǎo)致同網(wǎng)段內(nèi)兩個(gè)終端用戶之間無法正常通信。如圖所示。

如圖，攻擊者發(fā)送偽造的用戶A的ARP報(bào)文給用戶B，用戶B收到此報(bào)文后更新自己的ARP表項(xiàng)，當(dāng)用戶B與用戶A進(jìn)行通信時(shí)，將數(shù)據(jù)包封裝上錯(cuò)誤的目的MAC地址，導(dǎo)致通信中斷。

中間人攻擊

攻擊者不斷向局域網(wǎng)中計(jì)算機(jī)發(fā)送錯(cuò)誤的ARP報(bào)文，使受害主機(jī)一直維護(hù)錯(cuò)誤的ARP表項(xiàng)。當(dāng)局域網(wǎng)主機(jī)互相通信時(shí)，將數(shù)據(jù)包發(fā)給攻擊者，再由攻擊者將數(shù)據(jù)包進(jìn)行處理后轉(zhuǎn)發(fā)。在這個(gè)過程中，攻擊者竊聽了通信雙方的數(shù)據(jù)，而通信雙方對此并不知情。這就是中間人攻擊。如圖所示。

假設(shè)同一個(gè)局域網(wǎng)內(nèi)，有3臺主機(jī)通過交換機(jī)相連：

A主機(jī)：IP地址為192.168.0.101，MAC地址為00-00-00-11-11-11；

B主機(jī)：IP地址為192.168.0.102，MAC地址為00-00-00-22-22-22；

攻擊者：IP地址為192.168.0.103，MAC地址為00-00-00-33-33-33。

1. 首先，攻擊者向主機(jī)A和主機(jī)B發(fā)送偽造的ARP應(yīng)答報(bào)文。

2. A主機(jī)和B主機(jī)收到此ARP應(yīng)答后，更新各自的ARP表。

3. A主機(jī)和B主機(jī)通信時(shí)，將數(shù)據(jù)包發(fā)送給錯(cuò)誤的MAC地址，即攻擊者。

4. 攻擊者竊聽了通信數(shù)據(jù)后，將數(shù)據(jù)包處理后再轉(zhuǎn)發(fā)到正確的MAC地址，使A主機(jī)和B主機(jī)保持正常的通信。

5. 攻擊者連續(xù)不斷地向A主機(jī)和B主機(jī)發(fā)送偽造的ARP響應(yīng)報(bào)文，使二者的始終維護(hù)錯(cuò)誤的ARP表。

在A主機(jī)和B主機(jī)看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對方的，但在攻擊者看來，其擔(dān)當(dāng)?shù)木褪?ldquo;第三者”的角色。這種嗅探方法，也被稱作“中間人”的方法。

ARP泛洪攻擊

攻擊者偽造大量不同ARP報(bào)文在同網(wǎng)段內(nèi)進(jìn)行廣播，消耗網(wǎng)絡(luò)帶寬資源，造成網(wǎng)絡(luò)速度急劇降低；同時(shí)，網(wǎng)關(guān)學(xué)習(xí)此類ARP報(bào)文，并更新ARP表，導(dǎo)致ARP表項(xiàng)被占滿，無法學(xué)習(xí)合法用戶的ARP表，導(dǎo)致合法用戶無法訪問外網(wǎng)。

在本交換機(jī)中，通過四元綁定功能在用戶接入交換機(jī)時(shí)即對用戶的四元信息進(jìn)行綁定；而在ARP防護(hù)功能中則利用在交換機(jī)中綁定的四元信息對ARP報(bào)文進(jìn)行檢查，過濾非法ARP報(bào)文。通過上述兩步可以很好的對局域網(wǎng)中ARP攻擊進(jìn)行防御。