ARP 被 NDP(邻居发现协议)取代。但我不知道具体原因。
- ARP 是否存在安全问题?
- 为什么ARP被NDP取代?
- ARP 有什么优点?
有人能用简单的术语解释一下吗?
答案1
ARP 是否存在安全问题?
是的。以下是一些:
ARP 欺骗。
虚假 ARP 消息通过 LAN 发送,导致攻击者的 MAC 地址与网络上合法计算机或服务器的 IP 地址相关联。
有关 ARP 欺骗/中毒的更多信息,请参阅下文。
MAC 泛滥。
跟踪哪些 MAC 地址位于哪些物理端口的转换表具有有限的内存量。这允许通过泛洪转换表来利用交换机。原始交换机不知道如何处理多余的数据,将“失败打开”并将所有网络帧广播到所有端口。
MAC 复制。
在 MAC 复制攻击中,交换机会误以为两个端口具有相同的 MAC 地址。由于数据将转发到两个端口,因此无需进行 IP 转发。
为什么ARP被NDP取代?
它为 IPv6 提供了改进和附加功能。
请参见下文了解 NDP 与协议地址解析协议 [ARP]、ICMP 路由器发现 [RDISC] 和 ICMP 重定向 [ICMPv4] 的比较。
NDP 如何防御 ARP 欺骗/中毒?
它使用安全邻居发现 (SEND) 协议。加密生成的地址可确保 NDP 消息的声明来源是声明地址的所有者。
IPv6 邻居发现协议 (NDP) 的功能之一是将网络层 (IP) 地址解析为链路层(例如以太网)地址,IPv4 中的地址解析协议 (ARP) 执行该功能。安全邻居发现 (SEND) 协议可防止有权访问广播段的攻击者滥用 NDP 或 ARP 来诱骗主机发送发往其他主机的攻击者流量,这种技术称为 ARP 中毒。
为了防止 ARP 中毒和其他针对 NDP 功能的攻击,应在无法阻止访问广播段的地方部署 SEND。
SEND 使用 RSA 密钥对生成加密生成的地址,如 RFC 3972 加密生成地址 (CGA) 中定义。这可确保 NDP 消息的声明来源是声明地址的所有者。
ARP 欺骗如何工作?
ARP 欺骗也称为 ARP 毒化路由 (APR) 或 ARP 缓存毒化。
ARP 欺骗是一种攻击,恶意行为者通过局域网发送伪造的 ARP(地址解析协议)消息。这会导致攻击者的 MAC 地址与网络上合法计算机或服务器的 IP 地址相关联。
一旦攻击者的 MAC 地址连接到真实的 IP 地址,攻击者将开始接收任何发往该 IP 地址的数据。
ARP 欺骗可使恶意方拦截、修改甚至停止传输中的数据。ARP 欺骗攻击只能发生在使用地址解析协议的局域网上。
来源:ARP欺骗
ARP 欺骗攻击如何工作?
ARP欺骗攻击的步骤通常包括:
攻击者打开 ARP 欺骗工具,并将该工具的 IP 地址设置为与目标的 IP 子网匹配。流行的 ARP 欺骗软件包括 Arpspoof、Cain & Abel、Arpoison 和 Ettercap。
攻击者使用ARP欺骗工具扫描目标子网中主机的IP和MAC地址。
攻击者选择目标并开始通过 LAN 发送包含攻击者的 MAC 地址和目标的 IP 地址的 ARP 数据包。
由于局域网上的其他主机缓存了伪造的 ARP 数据包,这些主机发送给受害者的数据将转而发送给攻击者。从这里开始,攻击者可以窃取数据或发起更复杂的后续攻击。
来源ARP欺骗
攻击者可能选择检查数据包(监视),同时将流量转发到实际的默认网关以避免被发现,在转发数据之前修改数据(中间人攻击),或者通过导致网络上的部分或全部数据包被丢弃来发起拒绝服务攻击。
来源:ARP欺骗
NDP 与 IPv4 的比较
IPv6 邻居发现协议对应于 IPv4 协议地址解析协议 [ARP]、ICMP 路由器发现 [RDISC] 和 ICMP 重定向 [ICMPv4] 的组合。
在 IPv4 中,没有针对邻居不可达检测的普遍认可的协议或机制,尽管主机要求文档 [HR-CL] 确实指定了一些用于死网关检测(邻居不可达检测要解决的问题的一个子集)的可能算法。
邻居发现协议比 IPv4 协议集提供了许多改进:
路由器发现是基本协议集的一部分;主机无需“窥探”路由协议。
路由器通告携带链路层地址;不需要额外的数据包交换来解析路由器的链路层地址。
路由器通告携带链接的前缀;无需单独的机制来配置“网络掩码”。
路由器通告启用地址自动配置。
路由器可以通告主机在链路上使用的 MTU,确保所有节点在缺少明确定义的 MTU 的链路上使用相同的 MTU 值。
地址解析多播“分布”在 1600 万 (2^24) 个多播地址上,大大减少了目标之外的节点上与地址解析相关的中断。而且,非 IPv6 机器根本不会受到中断。
重定向包含新的第一跳的链路层地址;接收重定向时不需要单独的地址解析。
多个前缀可以与同一链路相关联。默认情况下,主机从路由器通告中学习所有在链路上的前缀。但是,路由器可以配置为从路由器通告中省略部分或全部前缀。在这种情况下,主机会假设目的地不在链路上,并将流量发送到路由器。然后路由器可以根据需要发出重定向。
与 IPv4 不同,IPv6 重定向的接收者假定新的下一跳位于链路上。在 IPv4 中,主机会忽略根据链路的网络掩码指定不在链路上的下一跳的重定向。IPv6 重定向机制类似于 [SH-MEDIA] 中指定的 XRedirect 功能。它有望在非广播和共享媒体链路上发挥作用,在这些链路中,节点不希望或不可能知道链路上目的地的所有前缀。
邻居不可达性检测是基础功能的一部分,它可在路由器故障、链路部分故障或分割、或节点更改其链路层地址的情况下显著提高数据包传送的稳健性。例如,移动节点可以脱离链路,而不会因 ARP 缓存过期而失去任何连接。
与 ARP 不同,邻居发现可以检测半链路故障(使用邻居不可达检测)并避免向不存在双向连接的邻居发送流量。
与 IPv4 路由器发现不同,路由器通告消息不包含首选项字段。首选项字段对于处理不同“稳定性”的路由器不是必需的;邻居不可达性检测将检测死路由器并切换到正常工作的路由器。
使用链路本地地址来唯一地标识路由器(用于路由器通告和重定向消息)使得主机能够在站点重新编号以使用新的全局前缀的情况下维持路由器关联。
通过将跳数限制设置为 255,邻居发现可免受意外或故意发送 ND 消息的离线发送者的影响。在 IPv4 中,离线发送者可以发送 ICMP 重定向和路由器通告消息。
将地址解析放在 ICMP 层使得该协议比 ARP 更加独立于媒体,并且可以根据需要使用通用 IP 层身份验证和安全机制。
进一步阅读
答案2
新民主党具有比更多功能地址解析协议, 包括:
通过NDP,网络上的设备可以确定MAC/链路层地址(与ARP相同的功能)。
使用NDP,网络上的设备可以定位到达外部网络中另一台设备的路径,从而定位到目标设备的最佳路由器。
NDP 支持 IPv6 地址的自动配置。
它与ARP相比,机制上有区别:
ARP 使用广播消息,而 NDP 使用多播 ICMPv6 消息。
设备发送称为“邻居请求 ICMP 消息”的多播消息或国家标准目标设备以“邻居通告 ICMP 消息”或不适用。
NS 消息使用一个特殊的多播目标地址,称为请求节点多播地址表示所有 IPv6 地址的最后 24 位相同的主机。使用多播代替广播可减少网络上不必要的流量。
答案3
引入 NDP 来代替 ARP 主要是出于巩固 IP 控制协议的愿望。IPv4 拥有多种控制协议,例如 ICMP、IGMP 和 ARP/RARP。在 IPv6 中,NDP(ARP 的后继者)以及 MLD(IGMP 的后继者)被设计为 ICMPv6 的子协议,因此只有一个控制协议。这样做没有安全原因,ND 和 ARP 一样容易受到欺骗,而且 ND 的设计初衷并不安全。
在 IPv6 开发的早期,IPsec 被视为这通用安全措施,因此是强制性的。然而,这一要求已被降级为建议(RFC 6434,我认为主要是由于嵌入式设备和物联网,它们根本无法执行公钥计算,而且它们无论如何都会遇到各种 PKI 问题),并且不能很好地(礼貌地说)保护 ND。引入 SeND 是为了将安全性添加到 ND 中,但对于几乎所有以前在软件设计中尝试的追溯安全性而言,结果都不太理想。由于除了一些实验性的 SeND 之外,仍然没有 SeND 的实现,因此对于所有实际目的而言,SeND 都不存在。此外,有理由相信 SeND(至少是目前的形式)永远不会起飞。
相比之下,SAVI 看起来更有前景,但需要对交换基础设施进行更改,而且支持 SAVI 的设备价格并不低,因此也不会迅速普及。SAVI 的工作原理是,在站点内,应该“知道”哪些 HW 地址(即 MAC 地址)和 IP 地址之间的映射是合法的,因此应该能够识别和删除虚假的 NDP 消息。
最好的方法往往是最简单的方法,但经常被忽视:将大型 LAN 拆分成较小的 LAN,因为 ARP 和 ND 欺骗只对同一 LAN 中的目标有效。因此,只需将不可信设备放入其自己的 LAN 段(无需防火墙/过滤规则)即可大大减少攻击面。