ARP（Address Resolution Protocol，地址解析協(xié)議）用于將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層地址。IP地址只是主機在網(wǎng)絡(luò)層中的地址，如果要將網(wǎng)絡(luò)層中數(shù)據(jù)包傳送給目的主機，必須知道目的主機的數(shù)據(jù)鏈路層地址（比如以太網(wǎng)絡(luò)MAC地址）。因此必須將IP地址解析為數(shù)據(jù)鏈路層地址。

ARP協(xié)議用于將IP地址解析為MAC地址，并在主機內(nèi)部維護一張ARP表，記錄最近與本主機通信的其它主機的MAC地址與IP地址的對應(yīng)關(guān)系。當(dāng)主機需要與陌生主機通信時，首先進行ARP地址解析，ARP地址解析過程如圖所示：

1) A在自己的ARP表中查詢是否存在主機B的IP地址和MAC地址的對應(yīng)條目。若存在，直接向主機B發(fā)送數(shù)據(jù)。若不存在，則A向整個局域網(wǎng)中廣播一份稱為“ARP請求”的數(shù)據(jù)鏈路幀，這個請求包含發(fā)送端（即主機A）的IP地址和MAC地址以及接收端（即主機B）的IP地址。

2) 局域網(wǎng)的每個主機接收到主機A廣播的ARP請求后，目的主機B識別出這是發(fā)送端在詢問它的IP地址，于是給主機A發(fā)出一個ARP應(yīng)答。這個應(yīng)答包含了主機B的MAC地址。

3) 主機A接收到主機B發(fā)出的ARP應(yīng)答后，就將主機B的IP地址與MAC地址的對應(yīng)條目添加自己的ARP表中，以便后續(xù)報文的轉(zhuǎn)發(fā)。

掃描綁定功能即通過交換機向局域網(wǎng)或VLAN發(fā)送指定IP段的ARP請求報文，當(dāng)收到相應(yīng)的ARP應(yīng)答報文時，將分析ARP應(yīng)答報文來獲得四元信息。由此可見，通過掃描綁定功能可以很方便的將局域網(wǎng)用戶的四元信息進行綁定。

DHCP偵聽

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和網(wǎng)絡(luò)復(fù)雜度的提高，經(jīng)常出現(xiàn)計算機的數(shù)量超過可供分配的IP地址的情況。同時隨著便攜機及無線網(wǎng)絡(luò)的廣泛使用，計算機的位置也經(jīng)常變化，相應(yīng)的IP地址也必須經(jīng)常更新，從而導(dǎo)致網(wǎng)絡(luò)配置越來越復(fù)雜。DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）是在BOOTP協(xié)議基礎(chǔ)上進行了優(yōu)化和擴展而產(chǎn)生的一種網(wǎng)絡(luò)配置協(xié)議，并有效解決了上面這些問題。

DHCP工作原理

DHCP采用“客戶端/服務(wù)器”通信模式，由客戶端向服務(wù)器提出配置申請，服務(wù)器返回為客戶端分配的IP地址等配置信息，以實現(xiàn)網(wǎng)絡(luò)資源的動態(tài)配置。通常一臺服務(wù)器可以為多臺客戶端分配IP，如圖所示：

針對DHCP客戶端的需求不同，DHCP服務(wù)器提供三種IP地址分配策略：

1) 手工分配地址：由管理員為少數(shù)特定客戶端（如WWW服務(wù)器等）靜態(tài)綁定IP地址。通過DHCP將固定IP地址分配給客戶端。

2) 自動分配地址：DHCP服務(wù)器為客戶端分配租期為無限長的IP地址。

3) 動態(tài)分配地址：DHCP服務(wù)器為客戶端分配具有一定有效期限的IP地址，當(dāng)使用期限到期后，客戶端需要重新申請地址。

絕大多數(shù)客戶端均通過動態(tài)分配地址的方式獲取IP地址，其獲取IP地址的過程如下圖所示：

1) 發(fā)現(xiàn)階段，客戶端以廣播方式發(fā)送DHCP-DISCOVER報文尋找DHCP服務(wù)器。

2) 提供階段，DHCP服務(wù)器接收到客戶端發(fā)送的DHCP-DISCOVER報文后，根據(jù)IP地址分配的優(yōu)先次序從地址池中選出一個IP地址，與其它參數(shù)一起通過DHCP-OFFER報文發(fā)送給客戶端（發(fā)送方式根據(jù)客戶端發(fā)送的DHCP-DISCOVER報文中的flag字段決定，具體請見DHCP報文格式的介紹）。

3) 選擇階段，如果有多臺DHCP服務(wù)器向該客戶端發(fā)來DHCP-OFFER報文，客戶端只接受第一個收到的DHCP-OFFER報文，然后以廣播方式發(fā)送DHCP-REQUEST報文，該報文中包含DHCP服務(wù)器在DHCP-OFFER報文中分配的IP地址。

4) 確認階段，DHCP服務(wù)器收到DHCP客戶端發(fā)來的DHCP-REQUEST報文后，只有DHCP客戶端選擇的服務(wù)器會進行如下操作：如果確認地址分配給該客戶端，則返回DHCP-ACK報文；否則將返回DHCP-NAK報文，表明地址不能分配給該客戶端。

Option 82

DHCP報文格式基于BOOTP的報文格式，共有8種類型的報文，每種報文的格式相同。DHCP和BOOTP消息的不同主要體現(xiàn)在選項（Option）字段，并利用Option字段來實現(xiàn)功能擴展。例如DHCP可以利用Option字段傳遞控制信息和網(wǎng)絡(luò)配置參數(shù)，實現(xiàn)地址的動態(tài)分配，為客戶端提供更加豐富的網(wǎng)絡(luò)配置信息。更多DHCP Option選項的介紹，請參見RFC 2132。

Option 82選項記錄了DHCP客戶端的位置信息，交換機接收到DHCP客戶端發(fā)送給DHCP服務(wù)器的請求報文后，在該報文中添加Option 82，并轉(zhuǎn)發(fā)給DHCP服務(wù)器。管理員可以從Option 82中獲得DHCP客戶端的位置信息，以便定位DHCP客戶端，實現(xiàn)對客戶端的安全和計費等控制。支持Option 82的服務(wù)器還可以根據(jù)該選項的信息制訂IP地址和其它參數(shù)的分配策略，提供更加靈活的地址分配方案。

Option 82最多可以包含255個子選項。若定義了Option 82，則至少要定義一個子選項。目前本交換機支持兩個子選項：Circuit ID（電路ID子選項）和Remote ID（遠程ID子選項）。由于Option 82的內(nèi)容沒有統(tǒng)一規(guī)定，不同廠商通常根據(jù)需要進行填充。目前本交換機對子選項的填充內(nèi)容如下，電路ID子選項的填充內(nèi)容是接收到DHCP客戶端請求報文的端口所屬VLAN的編號以及端口號，遠程ID子選項的填充內(nèi)容是接收到DHCP客戶端請求報文的DHCP Snooping設(shè)備的MAC地址。

DHCP服務(wù)欺騙攻擊

在DHCP工作過程中，通常服務(wù)器和客戶端沒有認證機制，如果網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器，不僅會給網(wǎng)絡(luò)造成混亂，也對網(wǎng)絡(luò)安全造成很大威脅。這種網(wǎng)絡(luò)中出現(xiàn)非法的DHCP服務(wù)器，通常分為兩種情況：

1) 用戶不小心配置的DHCP服務(wù)器，由此引起的網(wǎng)絡(luò)混亂非常常見。

2) 黑客將正常的DHCP服務(wù)器中的IP地址耗盡，然后冒充合法的DHCP服務(wù)器，為客戶端分配IP地址等配置參數(shù)。例如黑客利用冒充的DHCP服務(wù)器，為用戶分配一個經(jīng)過修改的DNS服務(wù)器地址，在用戶毫無察覺的情況下被引導(dǎo)至預(yù)先配置好的假的金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶的帳戶和密碼，如圖所示。

DHCP偵聽是運行在交換機上的一種DHCP安全特性。通過設(shè)置DHCP服務(wù)器的連接端口為授信端口，只處理授信端口發(fā)來的DHCP響應(yīng)報文；通過監(jiān)聽DHCP報文，記錄用戶從DHCP服務(wù)器獲取局域網(wǎng)用戶的四元信息，進行綁定后與ARP攻擊防護、IP源防護等安全功能配合使用；同時也可以過濾不可信任的DHCP信息，防止局域網(wǎng)中發(fā)生DHCP服務(wù)欺騙攻擊，提高網(wǎng)絡(luò)的安全性。

ARP防護

根據(jù)所述的ARP地址解析過程可知，利用ARP協(xié)議，可以實現(xiàn)相同網(wǎng)段內(nèi)的主機之間正常通信或者通過網(wǎng)關(guān)與外網(wǎng)進行通信。但由于ARP協(xié)議是基于網(wǎng)絡(luò)中的所有主機或者網(wǎng)關(guān)都為可信任的前提制定的，因此在實際復(fù)雜的網(wǎng)絡(luò)中，此過程存在大量的安全隱患，從而導(dǎo)致針對ARP協(xié)議的欺騙攻擊非常常見。網(wǎng)關(guān)仿冒、欺騙網(wǎng)關(guān)、欺騙終端用戶和ARP泛洪攻擊均是在學(xué)校等大型網(wǎng)絡(luò)中常見的ARP攻擊，以下簡單介紹這幾種常見攻擊：

網(wǎng)關(guān)仿冒

攻擊者發(fā)送錯誤的網(wǎng)關(guān)MAC給受害者，而網(wǎng)絡(luò)中的受害者收到這些ARP響應(yīng)報文時，自動更新ARP表，導(dǎo)致不能正常訪問網(wǎng)絡(luò)。如圖所示。

如圖，攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報文給局域網(wǎng)中的正常用戶，相應(yīng)的局域網(wǎng)用戶收到此報文后更新自己的ARP表項。當(dāng)局域網(wǎng)中正常用戶要與網(wǎng)關(guān)進行通信時，將數(shù)據(jù)包封裝上錯誤的目的MAC地址，導(dǎo)致通信中斷。

欺騙網(wǎng)關(guān)

攻擊者發(fā)送錯誤的終端用戶的IP/MAC的對應(yīng)關(guān)系給網(wǎng)關(guān)，導(dǎo)致網(wǎng)關(guān)無法和合法終端用戶正常通信。如圖所示。

如圖，攻擊者發(fā)送偽造的用戶A的ARP報文給網(wǎng)關(guān)，網(wǎng)關(guān)收到此報文后更新自己的ARP表項，當(dāng)網(wǎng)關(guān)與局域網(wǎng)中用戶A進行通信時，將數(shù)據(jù)包封裝上錯誤的目的MAC地址，導(dǎo)致通信中斷。

欺騙終端用戶

攻擊者發(fā)送錯誤的終端用戶/服務(wù)器的IP/MAC的對應(yīng)關(guān)系給受害的終端用戶，導(dǎo)致同網(wǎng)段內(nèi)兩個終端用戶之間無法正常通信。如圖所示。

如圖，攻擊者發(fā)送偽造的用戶A的ARP報文給用戶B，用戶B收到此報文后更新自己的ARP表項，當(dāng)用戶B與用戶A進行通信時，將數(shù)據(jù)包封裝上錯誤的目的MAC地址，導(dǎo)致通信中斷。

中間人攻擊

攻擊者不斷向局域網(wǎng)中計算機發(fā)送錯誤的ARP報文，使受害主機一直維護錯誤的ARP表項。當(dāng)局域網(wǎng)主機互相通信時，將數(shù)據(jù)包發(fā)給攻擊者，再由攻擊者將數(shù)據(jù)包進行處理后轉(zhuǎn)發(fā)。在這個過程中，攻擊者竊聽了通信雙方的數(shù)據(jù)，而通信雙方對此并不知情。這就是中間人攻擊。如圖所示。

假設(shè)同一個局域網(wǎng)內(nèi)，有3臺主機通過交換機相連：

A主機：IP地址為192.168.0.101，MAC地址為00-00-00-11-11-11；

B主機：IP地址為192.168.0.102，MAC地址為00-00-00-22-22-22；

攻擊者：IP地址為192.168.0.103，MAC地址為00-00-00-33-33-33。

1. 首先，攻擊者向主機A和主機B發(fā)送偽造的ARP應(yīng)答報文。

2. A主機和B主機收到此ARP應(yīng)答后，更新各自的ARP表。

3. A主機和B主機通信時，將數(shù)據(jù)包發(fā)送給錯誤的MAC地址，即攻擊者。

4. 攻擊者竊聽了通信數(shù)據(jù)后，將數(shù)據(jù)包處理后再轉(zhuǎn)發(fā)到正確的MAC地址，使A主機和B主機保持正常的通信。

5. 攻擊者連續(xù)不斷地向A主機和B主機發(fā)送偽造的ARP響應(yīng)報文，使二者的始終維護錯誤的ARP表。

在A主機和B主機看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達對方的，但在攻擊者看來，其擔(dān)當(dāng)?shù)木褪恰暗谌摺钡慕巧＿@種嗅探方法，也被稱作“中間人”的方法。

ARP泛洪攻擊

攻擊者偽造大量不同ARP報文在同網(wǎng)段內(nèi)進行廣播，消耗網(wǎng)絡(luò)帶寬資源，造成網(wǎng)絡(luò)速度急劇降低；同時，網(wǎng)關(guān)學(xué)習(xí)此類ARP報文，并更新ARP表，導(dǎo)致ARP表項被占滿，無法學(xué)習(xí)合法用戶的ARP表，導(dǎo)致合法用戶無法訪問外網(wǎng)。

在本交換機中，通過四元綁定功能在用戶接入交換機時即對用戶的四元信息進行綁定；而在ARP防護功能中則利用在交換機中綁定的四元信息對ARP報文進行檢查，過濾非法ARP報文。通過上述兩步可以很好的對局域網(wǎng)中ARP攻擊進行防御。