جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

DAI چیست؟ آموزش راه اندازی Dynamic ARP Inspection

پروتکل ARP برای تبدیل آدرس IP به آدرس MAC مورد استفاده قرار می گیرد به طور مثال ، Host B می خواهد اطلاعاتی را برای Host A ارسال کند اما MAC آدرس Host A را ندارد به منظور پیدا کردن MAC آدرس Host A یک بسته Broadcast برای تمام دستگاه های آن broadcast domain ارسال می کند تا MAC آدرس مربوط به IP آدرس Host A را بدست آورد. تمام دستگاه های این broadcast domain این بسته را دریافت می کنند و Host A به آن پاسخ می دهد و MAC آدرس خود را اعلام می کند. احتمال حمله ARP spoofing و ARP cache poisoning وجود دارد چون این امکان وجود دارد

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

که به جای دستگاه مورد نظر مهاجم پاسخ ARP را با اطلاعات مورد نظر خود ارسال کند یا حتی ARP اجازه ارسال gratuitous ARP را می دهد که در آن MAC آدرس دستگاه اعلام می شود بدون اینکه درخواستی برای آن صادر شده باشد. بعد از این حمله ، تمام ترافیک دستگاهی که به آن حمله شده است از طریق دستگاه مهاجم جریان پیدا می کند یعنی ابتدا ترافیک به دست دستگاه مهاجم می رسد سپس از طریق دستگاه مهاجم به روتر ، دستگاه و ... ارسال می شود.حمله ARP cache poisoning می تواند ARP caches دستگاه های متصل به subnet مثل hosts ، switches و routers را آلوده کند و به این شکل ترافیک به یک دستگاه دیگر در subnet هدایت می شود. در تصویر زیر یک نمونه از این حمله نمایش داده شده است.

مکانیزم (Dynamic ARP Inspection (DAI و نحوی جلوگیری از حملات ARP spoofing و ARP poisoning


Host A و Host B و Host C به اینترفیس های سوئیچ متصل هستند و همه آنها در یک subnet قرار دارند. IP و MAC آدرس آنها در پرانتز مشخص شده است به طور مثال Host A از IP آدرس IA و MAC آدرس MA استفاده می کند. زمانی که Host A بخواهد با Host B در ارتباط برقرار کند یک درخواست ARP برای MAC آدرس مربوط به IP آدرس IB به صورت Broadcast ارسال می کند.

زمانی که سوئیچ و Host B این درخواست ARP را دریافت می کنند IP آدرس IA و MAC آدرس MA را به ARP cache خود اضافه می کنند و در اینجا IP آدرس IA به MAC آدرس MA منتسب می شود. زمانی که Host B پاسخ می دهد سوئیچ و Host A به ARP cache خود IP آدرس IB و MAC آدرس MB را اضافه می کنند.Host C می تواند با ارسال پاسخ ARP جعلی ARP caches سوئیچ را برای Host A و Host B آلوده کند و در این پاسخ IP آدرس IA یا IB به MAC ادرس MC منتسب می شود. دستگاهی که ARP cache آن آلوده شده است از MAC آدرس MC برای ارتباط با IP های IA و IB استفاده می کند.

به معناست که Host C جریان ترافیک را تغییر داده است Host C می داند که MAC آدرس مرتبط با IP آدرس های IA و IB چیست و می تواند این ترافیک را به سمت این Host ها با استفاده از MAC آدرس درست هدایت کند. به این شکل Host C خود را در بین جریان ترافیک انتقالی بین Host A و Host B قرار داده است و به عنوان یک حمله man in the middle شناخته می شود.DAI یک ویژگی امنیتی است که اعتبار بسته های ARP را در شبکه کنترل می کند.

DAI بسته های ARP که انتصاب IP به MAC آنها مشکل دارد را drop می کند. این قابلیت باعث می شود که شبکه در برابر برخی از حملات man-in-the-middle محافظت شود. DAI اعتبار بسته های ARP را براساس دیتابیس خود مورد بررسی قرار می دهد. که این دیتابیس DHCP Snooping می باشد. اگر قابلیت DHCP snooping فعال باشد این دیتابیس تشکیل می شود. اگر بسته ARP روی اینترفیس trusted دریافت شود بدون بررسی آنرا ارسال خواهد کرد اما روی اینترفیس ها untrusted تنها در صورتی که این بسته معتبر باشد ارسال خواهد شد. در مثال زیر تنظمیات لازم برای اجرای DAI برای کاهش اثرات این حملات نمایش داده شده است. فعال کردن DAI برای VLAN 10 :

SW(config)#ip arp inspection vlan 10

قرار دادن اینترفیس در حالت trust :

SW(config)#interface fastethernet 0/1
SW(config-if)#ip arp inspection trust

بررسی و کنترل تنظیمات :

SW#show ip arp inspection vlan 10
SW#show ip arp inspection interfaces

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات