Cisco資格認(rèn)證:關(guān)于取代ARP的設(shè)想

字號:

ARP病毒的危害大家都知道了。根本原因就是:
    1、ARP請求是廣播的,大家都能聽到,這使ARP病毒知道了合適的入侵時機(jī)。
    2、默認(rèn)的ARP更新規(guī)則,就是凡是聽到應(yīng)答包就更新,這在當(dāng)初無疑是一個高效的做法,但是也是ARP病毒主動修改對方ARP表的根源。
    3、ARP的更新中沒有認(rèn)證信息,這使的接收到應(yīng)答包的機(jī)器只要能夠解析其中的字段,就能更新自己的MAC表。
    新的協(xié)議的思想:我們暫且吧這個協(xié)議叫做MAP(mac address protocol)協(xié)議:
    1、開發(fā)一個二層的協(xié)議,禁止掉ARP協(xié)議,但是不修改原來的協(xié)議棧,用MAP協(xié)議來更新ARP表格中的靜態(tài)條目來達(dá)到目的,這樣不用對原協(xié)議棧進(jìn)行修改。
    2、MAP協(xié)議采取手工指定主MAP服務(wù)器和備份MAP服務(wù)器的方法。不進(jìn)行自動MAP服務(wù)器選舉及發(fā)現(xiàn),因?yàn)榘l(fā)現(xiàn)過程需要廣播,并且自動選舉會遭到惡意的干擾。手工指定MAC服務(wù)器,限度的減少了監(jiān)聽的可能。
    3、MAP有服務(wù)端和客戶端2部分,服務(wù)端負(fù)責(zé)維護(hù)整個網(wǎng)絡(luò)的MAC和IP對表格,客戶端從服務(wù)器取得表格,并更新自己的MAC地址表。
    4、MAP協(xié)議要有認(rèn)證手段,可以是用戶名+密碼,甚至可以加入一些動態(tài)的變量,譬如客戶機(jī)在MAP服務(wù)器的注冊時間等,這樣即使泄露了用戶名和密碼也不可能干預(yù)到認(rèn)證過程,因?yàn)椴幻鞔_客戶機(jī)的注冊時間。而注冊時間是不需要在包中發(fā)布的。
    5、MAP服務(wù)器和客戶間要保持保活信息,服務(wù)器定期發(fā)質(zhì)詢包證明自己的存在,客戶收到質(zhì)詢返回應(yīng)答證明自己的存活。
    6、更新:更新MAC地址表時??荚?大提示考慮到對帶寬的影響,要采用觸發(fā)更新,平時服務(wù)器和客戶端之間保持?;钚畔?,當(dāng)服務(wù)器的MAC地址表發(fā)生變化是,服務(wù)器發(fā)出更新信息,客戶端確認(rèn)更新信息,并根據(jù)自己的MAC表的情況來選擇更新,更新時發(fā)送整個MAC地址表來增加協(xié)議的穩(wěn)定性及新機(jī)器加入時保證能夠獲得完整的MAC表格。
    7、幾種必須要的消息格式:1)服務(wù)器質(zhì)詢信息:用于詢問客戶端的存在;2)客戶端應(yīng)答信息,用于證明自己還活著,或者確認(rèn)更新;3)服務(wù)器MAC地址更新消息:該消息為觸發(fā)更新,包括整個網(wǎng)絡(luò)的MAC地址表。4)協(xié)商消息:用于MAP服務(wù)器和客戶端之間協(xié)商一些參數(shù),譬如認(rèn)證方式,質(zhì)詢定時器,一些標(biāo)志等;5)請求消息:客戶端請求加入到MAP服務(wù)器;以上消息中均帶為加密消息,密鑰為認(rèn)證過程中協(xié)商。
    8、幾個重要的動作過程:
    1)當(dāng)服務(wù)器啟動時,它監(jiān)聽客戶端的請求消息,當(dāng)請求消息到達(dá)時和客戶端協(xié)商參數(shù),并更新自己的MAC地址表及整個網(wǎng)絡(luò)的地址表;定期的發(fā)送質(zhì)詢信息來發(fā)現(xiàn)客戶端的存在。2)當(dāng)一臺客戶機(jī)加入到MAP服務(wù)器時,先想服務(wù)器發(fā)送請求消息,然后協(xié)商工作參數(shù),左后更新自己的MAC地址表。
    3)當(dāng)一臺客戶機(jī)離線,或者線路斷掉時。服務(wù)器的質(zhì)詢消息無法得到回應(yīng),當(dāng)重試并且超時一段時間后,服務(wù)器認(rèn)為客戶端不存在了。則發(fā)送MAC更新消息更新地址表。
    4)當(dāng)服務(wù)器宕機(jī)時,這個時候要有備份服務(wù)器的存在,備份服務(wù)器和主MAP服務(wù)器保持同步,關(guān)鍵是認(rèn)證信息及MAC表的同步,平時不發(fā)出任何和MAP有關(guān)的消息,當(dāng)發(fā)現(xiàn)主MAP服務(wù)器宕機(jī)時,代替主服務(wù)器的工作。
    5)當(dāng)服務(wù)器收到莫名其妙的應(yīng)答消息時,譬如服務(wù)器發(fā)出了更新廣播包,本來MAC地址表中沒有這個MAC,卻收到了這個MAC發(fā)來的應(yīng)答表。這時候服務(wù)器要發(fā)送協(xié)商消息,來和客戶端重新協(xié)商認(rèn)證等過程,保證惡意的攻擊。