|
關(guān)鍵詞:ARP ARP攻擊
摘 要:本文介紹了H3C公司ARP攻擊防御解決方案的思路���。同時(shí)闡述了ARP攻擊防御解決方案的技術(shù)細(xì)節(jié)和特點(diǎn)。
縮略語清單:
|
Abbreviations縮略語 |
Full spelling 英文全名 |
Chinese explanation 中文解釋 |
|
ARP |
Address Resolution Protocol |
地址解析協(xié)議 |
|
iMC服務(wù)器 |
|
AAA服務(wù)器(認(rèn)證�����、授權(quán)��、計(jì)費(fèi)服務(wù)器) |
|
iNode客戶端 |
|
安裝在網(wǎng)絡(luò)終端設(shè)備(用戶PC)上的軟件��,用來發(fā)起認(rèn)證請(qǐng)求 |
|
DHCP Snooping |
|
DHCP監(jiān)聽��,記錄通過二層設(shè)備申請(qǐng)到IP地址的用戶信息��。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
近來����, ARP攻擊問題日漸突出。嚴(yán)重者甚至造成大面積網(wǎng)絡(luò)不能正常訪問外網(wǎng)����,學(xué)校深受其害���。H3C公司根據(jù)ARP攻擊的特點(diǎn),給出了有效的防ARP攻擊解決方案��。要解決ARP攻擊問題���,首先必須了解ARP欺騙攻擊的類型和原理�,以便于更好的防范和避免ARP攻擊的帶來的危害�。
ARP協(xié)議是用來提供一臺(tái)主機(jī)通過廣播一個(gè)ARP請(qǐng)求來獲取相同網(wǎng)段中另外一臺(tái)主機(jī)或者網(wǎng)關(guān)的MAC的協(xié)議。以相同網(wǎng)段中的兩臺(tái)主機(jī)A�����、B來舉例����,其ARP協(xié)議運(yùn)行的主要交互機(jī)制如下:
1 如果A需要向B發(fā)起通信,A首先會(huì)在自己的ARP緩存表項(xiàng)中查看有無B的ARP表項(xiàng)�����。如果沒有��,則進(jìn)行下面的步驟:
2 A在局域網(wǎng)上廣播一個(gè)ARP請(qǐng)求,查詢B的IP地址所對(duì)應(yīng)的MAC地址;
3 本局域網(wǎng)上的所有主機(jī)都會(huì)收到該ARP請(qǐng)求;
4 所有收到ARP請(qǐng)求的主機(jī)都學(xué)習(xí)A所對(duì)應(yīng)的ARP表項(xiàng);如果B收到該請(qǐng)求�����,則發(fā)送一個(gè)ARP應(yīng)答給A,告知A自己的MAC地址;
5 主機(jī)A收到B的ARP應(yīng)答后,會(huì)在自己的 ARP緩存中寫入主機(jī)B的ARP表項(xiàng).
如上所述�����,利用ARP協(xié)議���,可以實(shí)現(xiàn)相同網(wǎng)段內(nèi)的主機(jī)之間正常通信或者通過網(wǎng)關(guān)與外網(wǎng)進(jìn)行通信。但由于ARP協(xié)議是基于網(wǎng)絡(luò)中的所有主機(jī)或者網(wǎng)關(guān)都為可信任的前提制定�。導(dǎo)致在ARP協(xié)議中沒有認(rèn)證的機(jī)制,從而導(dǎo)致針對(duì)ARP協(xié)議的欺騙攻擊非常容易�。
目前ARP攻擊中有如下三種類型。我們根據(jù)影響范圍和出現(xiàn)頻率分別介紹如下:
ARP病毒通過發(fā)送錯(cuò)誤的網(wǎng)關(guān)MAC對(duì)應(yīng)關(guān)系給其他受害者�,導(dǎo)致其他終端用戶不能正常訪問網(wǎng)關(guān)。這種攻擊形式在校園網(wǎng)中非常常見��。見下圖:
圖1 網(wǎng)關(guān)仿冒攻擊示意圖
如上圖所示��,攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報(bào)文�,欺騙同網(wǎng)段內(nèi)的其它主機(jī)。從而網(wǎng)絡(luò)中主機(jī)訪問網(wǎng)關(guān)的流量�����,被重定向到一個(gè)錯(cuò)誤的MAC地址,導(dǎo)致該用戶無法正常訪問外網(wǎng)��。
攻擊者發(fā)送錯(cuò)誤的終端用戶的IP+MAC的對(duì)應(yīng)關(guān)系給網(wǎng)關(guān)����,導(dǎo)致網(wǎng)關(guān)無法和合法終端用戶正常通信。這種攻擊在校園網(wǎng)中也有發(fā)生����,但概率和“網(wǎng)關(guān)仿冒”攻擊類型相比,相對(duì)較少��。見下圖:
圖2 欺騙網(wǎng)關(guān)攻擊示意圖
如上圖�,攻擊者偽造虛假的ARP報(bào)文,欺騙網(wǎng)關(guān)相同網(wǎng)段內(nèi)的某一合法用戶的MAC地址已經(jīng)更新���。網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址�,導(dǎo)致該用戶無法正常訪問外網(wǎng)��。
這種攻擊類型���,攻擊者發(fā)送錯(cuò)誤的終端用戶/服務(wù)器的IP+MAC的對(duì)應(yīng)關(guān)系給受害的終端用戶�����,導(dǎo)致同網(wǎng)段內(nèi)兩個(gè)終端用戶之間無法正常通信�����。這種攻擊在校園網(wǎng)中也有發(fā)生���,但概率和“網(wǎng)關(guān)仿冒”攻擊類型相比�,相對(duì)較少�。見下圖:
圖3 欺騙終端攻擊示意圖
如上圖,攻擊者偽造虛假的ARP報(bào)文���,欺騙相同網(wǎng)段內(nèi)的其他主機(jī)該網(wǎng)段內(nèi)某一合法用戶的MAC地址已經(jīng)更新。導(dǎo)致該網(wǎng)段內(nèi)其他主機(jī)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址����,導(dǎo)致該用戶無法正常訪問外網(wǎng)。
這種攻擊類型����,攻擊者偽造大量不同ARP報(bào)文在同網(wǎng)段內(nèi)進(jìn)行廣播,導(dǎo)致網(wǎng)關(guān)ARP表項(xiàng)被占滿���,合法用戶的ARP表項(xiàng)無法正常學(xué)習(xí)�����,導(dǎo)致合法用戶無法正常訪問外網(wǎng)��。主要是一種對(duì)局域網(wǎng)資源消耗的攻擊手段���。這種攻擊在校園網(wǎng)中也有發(fā)生����,但概率和上述三類欺騙性ARP攻擊類型相比����,相對(duì)較少。如下圖:
圖4 ARP泛洪攻擊示意圖
通過對(duì)上述的ARP攻擊類型的介紹��。我們可以很容易發(fā)現(xiàn)當(dāng)前ARP攻擊防御的關(guān)鍵所在:如何獲取到合法用戶和網(wǎng)關(guān)的IP-MAC對(duì)應(yīng)關(guān)系�����,并如何利用該對(duì)應(yīng)關(guān)系對(duì)ARP報(bào)文進(jìn)行檢查���,過濾掉非法ARP報(bào)文�����。H3C公司有兩條思路來解決這一關(guān)鍵問題����,即認(rèn)證模式和DHCP監(jiān)控模式。分別對(duì)用戶認(rèn)證的過程和IP地址申請(qǐng)過程的監(jiān)控���,獲取到合法用戶的IP-MAC對(duì)應(yīng)關(guān)系����,從而解決不同環(huán)境下的ARP防攻擊問題���。
通過增強(qiáng)用戶的認(rèn)證機(jī)制來獲取上線用戶的IP-MAC對(duì)應(yīng)關(guān)系�����,并且利用認(rèn)證的手段來確認(rèn)當(dāng)前用戶的合法性。從而有效的解決難以獲取合法用戶的IP-MAC對(duì)應(yīng)關(guān)系的問題����。同時(shí)通過事先在認(rèn)證服務(wù)器上配置網(wǎng)關(guān)的IP-MAC對(duì)應(yīng)關(guān)系的方式來集中管理網(wǎng)絡(luò)中存在的網(wǎng)關(guān)的IP-MAC信息。當(dāng)合法用戶上線時(shí)��,可以利用上述的兩個(gè)關(guān)鍵信息對(duì)網(wǎng)絡(luò)中存在的虛假ARP報(bào)文以過濾或者綁定合法的ARP信息,從而有效的防御ARP欺騙行為����。H3C的防御手段充分的考慮了方案實(shí)施的適應(yīng)性要求,對(duì)虛假ARP報(bào)文加以過濾或者綁定合法ARP信息的功能可以根據(jù)網(wǎng)絡(luò)的條件分開使用����。具體模式如下圖所示:
圖5 認(rèn)證模式示意圖
在用戶進(jìn)行802.1X認(rèn)證的過程中,通過iMC服務(wù)器下發(fā)預(yù)定的網(wǎng)關(guān)IP-MAC映射到iNode客戶端�,iNode客戶端在用戶PC上針對(duì)所有網(wǎng)卡查找匹配的網(wǎng)關(guān),并將匹配網(wǎng)關(guān)的IP-MAC映射關(guān)系在PC上形成靜態(tài)ARP綁定�,從而有效防止針對(duì)主機(jī)的網(wǎng)關(guān)仿冒ARP攻擊。如下所示圖:
圖6 認(rèn)證模式之終端防護(hù)示意圖
H3C iNode客戶端����,通過同iMC服務(wù)器配合,由管理員在iMC上設(shè)置正確的網(wǎng)關(guān)IP����、MAC對(duì)應(yīng)列表,并傳送至客戶端��,客戶端無論當(dāng)前ARP緩存是何種狀態(tài)�����,均按照iMC系統(tǒng)下發(fā)的IP、MAC列表更新本地的ARP緩存�,并周期性更新,保證用戶主機(jī)網(wǎng)關(guān)MAC地址的正確性���,從而保證用戶主機(jī)報(bào)文發(fā)往正確的設(shè)備�。詳細(xì)處理流程如下:
圖7 iNode設(shè)置本地ARP流程
i. iMC服務(wù)器上�,由管理員預(yù)先設(shè)置正確的網(wǎng)關(guān)IP-MAC映射列表;待iNode客戶端的認(rèn)證請(qǐng)求成功通過����,iMC服務(wù)器通過Radius報(bào)文將預(yù)設(shè)的網(wǎng)關(guān)IP-MAC列表下發(fā)到客戶PC的接入交換機(jī)上,再由接入交換機(jī)透傳給客戶PC上的iNode客戶端����。
ii. iNode客戶端收到iMC服務(wù)器下發(fā)的網(wǎng)關(guān)IP-MAC映射列表后,在客戶PC上針對(duì)所有網(wǎng)卡查找匹配的網(wǎng)關(guān)(客戶PC存在多個(gè)網(wǎng)卡的情況下�,iNode只匹配每個(gè)網(wǎng)卡的default gateway),然后依據(jù)iMC服務(wù)器下發(fā)的網(wǎng)關(guān)映射列表將匹配網(wǎng)關(guān)的IP-MAC映射在客戶PC上形成靜態(tài)ARP表項(xiàng)并更新本地ARP緩存��,從而保證客戶PC的數(shù)據(jù)報(bào)文發(fā)往正確的網(wǎng)關(guān)設(shè)備�����;
iii. 為防止用戶再次上線過程中網(wǎng)關(guān)ARP信息被篡改�,iNode客戶端會(huì)根據(jù)iMC服務(wù)器下發(fā)的正確的網(wǎng)關(guān)IP-MAC映射信息周期性的更新本地ARP緩存。
在用戶進(jìn)行802.1X認(rèn)證的過程中�,通過擴(kuò)展802.1X協(xié)議報(bào)文,在eapol的response報(bào)文(code=1����、type=2)中攜帶用戶PC的IP地址(iNode客戶端需選定“上傳IP地址”選項(xiàng),且推薦客戶PC上手工配置IP地址及網(wǎng)關(guān))���,接入交換機(jī)通過監(jiān)聽802.1X認(rèn)證過程的協(xié)議報(bào)文�,將用戶PC的IP地址�����、MAC地址和接入端口形成綁定關(guān)系�,在接入交換機(jī)上建立IP-MAC-Port映射表項(xiàng),并據(jù)此對(duì)用戶發(fā)送的ARP/IP報(bào)文進(jìn)行檢測�,從而有效防止用戶的非法ARP/IP報(bào)文進(jìn)入網(wǎng)絡(luò)。如下所示圖:
圖8 認(rèn)證模式之接入綁定示意圖
i. 首先��,H3C iNode客戶端通過802.1X協(xié)議向iMC服務(wù)器發(fā)起認(rèn)證����,并在802.1X協(xié)議的Response報(bào)文中攜帶客戶PC的IP地址。
ii. 接入交換機(jī)監(jiān)聽客戶PC上傳的802.1X認(rèn)證報(bào)文,從客戶PC回應(yīng)的Response報(bào)文(code=1��、type=2)中提取客戶PC的IP�、MAC,待客戶認(rèn)證成功���,將其與客戶PC的接入端口進(jìn)行綁定��,建立IP-MAC-Port映射表項(xiàng)(周期性更新和老化)����。根據(jù)這一表項(xiàng)�,交換機(jī)對(duì)客戶PC上行的ARP/IP報(bào)文進(jìn)行檢測,過濾源IP/MAC不匹配表項(xiàng)的數(shù)據(jù)報(bào)文��,從而防止非法的攻擊報(bào)文進(jìn)入網(wǎng)絡(luò)����。
接入交換機(jī)通過監(jiān)控用戶的正常動(dòng)態(tài)IP地址獲取過程,獲取正常用戶的IP-MAC對(duì)應(yīng)關(guān)系在接入交換機(jī)上綁定����。接入交換機(jī)過濾掉所有不匹配綁定關(guān)系的ARP報(bào)文,來防止接入的用戶主機(jī)進(jìn)行ARP欺騙攻擊����。這種防攻擊手段能夠有效防御本文所描述的所有攻擊類型(詳見1.2)。業(yè)務(wù)流程如下圖:
圖9 DHCP SNOOPING模式示意圖
1. ARP入侵檢測機(jī)制
為了防止ARP中間人攻擊�����,H3C接入交換機(jī)支持對(duì)收到的ARP報(bào)文判斷合法性��。這是如何做到的呢��?H3C接入交換機(jī)可以動(dòng)態(tài)獲?。矗?/span>DHCP snooping表項(xiàng))或者靜態(tài)配置合法用戶的IP-MAC對(duì)應(yīng)關(guān)系��。并且在收到用戶發(fā)送到ARP報(bào)文時(shí)�,可以檢查報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與所獲取的合法用戶IP-MAC對(duì)應(yīng)關(guān)系表項(xiàng)是否匹配來判斷該報(bào)文是否為合法ARP報(bào)文。通過過濾掉所有非法ARP報(bào)文的方式來實(shí)現(xiàn)�����,所有ARP欺騙攻擊�����。如下圖:
圖10 ARP入侵檢測功能示意圖
當(dāng)用戶為動(dòng)態(tài)IP地址分配環(huán)境時(shí)�����。接入交換機(jī)可以通過監(jiān)控用戶的IP地址申請(qǐng)過程,從而自動(dòng)學(xué)習(xí)到合法用戶的IP-MAC對(duì)應(yīng)關(guān)系���。并依據(jù)該表項(xiàng)實(shí)現(xiàn)對(duì)合法ARP報(bào)文的確認(rèn)和非法ARP報(bào)文的過濾��。
那么這些動(dòng)態(tài)表項(xiàng)是如何形成的呢�?當(dāng)開啟DHCP Snooping功能后�����,H3C接入交換機(jī)采取監(jiān)聽DHCP-REQUEST廣播報(bào)文和DHCP-ACK單播報(bào)文的方法來記錄用戶獲取的IP地址等信息�。目前,H3C接入交換機(jī)的DHCP Snooping表項(xiàng)主要記錄的信息包括:分配給客戶端的IP地址���、客戶端的MAC地址����、VLAN信息�、端口信息、租約信息�,如圖4 所示。
圖11 DHCP Snooping表項(xiàng)示意圖
為了對(duì)已經(jīng)無用的DHCP Snooping動(dòng)態(tài)表項(xiàng)進(jìn)行定期進(jìn)行老化刪除�����,以節(jié)省系統(tǒng)的資源,和減少安全隱患��,H3C接入交換機(jī)支持根據(jù)客戶端IP地址的租約對(duì)DHCP Snooping表項(xiàng)進(jìn)行老化���。具體實(shí)現(xiàn)過程為:當(dāng)DHCP Snooping至少記錄了一條正式表項(xiàng)時(shí),交換機(jī)會(huì)啟動(dòng)20秒的租約定時(shí)器����,即每隔20秒輪詢一次DHCP Snooping表項(xiàng),通過表項(xiàng)記錄的租約時(shí)間�����、系統(tǒng)當(dāng)前時(shí)間與表項(xiàng)添加時(shí)間的差值來判斷該表項(xiàng)是否已經(jīng)過期�����。若記錄的表項(xiàng)租約時(shí)間小于系統(tǒng)當(dāng)前時(shí)間與表項(xiàng)添加時(shí)間的差值�����,則說明該表項(xiàng)已經(jīng)過期�����,將刪除該條表項(xiàng),從而實(shí)現(xiàn)DHCP Snooping動(dòng)態(tài)表項(xiàng)的老化��。
需要注意的是:當(dāng)DHCP服務(wù)器端的租約設(shè)置為無限期或者很長時(shí)���,會(huì)出現(xiàn)老化不及時(shí)的現(xiàn)象����。
3. 靜態(tài)IP地址分配環(huán)境的工作機(jī)制
DHCP Snooping方式下�,DHCP Snooping表只記錄了通過DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息。對(duì)于不能通過動(dòng)態(tài)IP地址獲取的部分主機(jī)以及打印機(jī)等服務(wù)器來說�����,DHCP snooping沒有自動(dòng)辦法獲取到這部分用戶的合法IP-MAC對(duì)應(yīng)關(guān)系��,因此不能自動(dòng)加以綁定�。為了解決這個(gè)問題,H3C的交換機(jī)也支持手工配置合法用戶的IP-MAC對(duì)應(yīng)關(guān)系�����,形成靜態(tài)合法用戶的IP-MAC表項(xiàng)�����。,如果用戶手工配置了固定IP地址�,其IP地址、MAC地址等信息將不會(huì)被DHCP Snooping表記錄����,因此不能通過基于DHCP Snooping表項(xiàng)的ARP入侵檢測,導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)��。
即:用戶的IP地址����、MAC地址及連接該用戶的端口之間的綁定關(guān)系���。靜態(tài)配置的IP-MAC表項(xiàng)擁有和動(dòng)態(tài)學(xué)習(xí)的DHCP Snooping表項(xiàng)的同樣功能����。接入交換機(jī)可以依據(jù)配置的靜態(tài)表項(xiàng)實(shí)現(xiàn)對(duì)合法ARP報(bào)文的確認(rèn)�,和非法ARP報(bào)文的過濾。從而可以很好的解決靜態(tài)IP地址分配環(huán)境下的部署問題����。
4. ARP信任端口設(shè)置
在實(shí)際組網(wǎng)中�����,交換機(jī)的上行口會(huì)接收其他設(shè)備的請(qǐng)求和應(yīng)答的ARP報(bào)文�����,這些ARP報(bào)文的源IP地址和源MAC地址并沒有在DHCP Snooping表項(xiàng)或者靜態(tài)綁定表中����。為了解決上行端口接收的ARP請(qǐng)求和應(yīng)答報(bào)文能夠通過ARP入侵檢測問題���,交換機(jī)支持通過配置ARP信任端口��,靈活控制ARP報(bào)文檢測功能�����。對(duì)于來自信任端口的所有ARP報(bào)文不進(jìn)行檢測�,對(duì)其它端口的ARP報(bào)文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測��。
5. DHCP信任端口設(shè)置
系統(tǒng)默認(rèn)所有接口下過濾DHCP Ack和Offer報(bào)文����,以防止非法DHCP服務(wù)器對(duì)網(wǎng)絡(luò)的影響����,但這樣就會(huì)過濾掉交換機(jī)上行接口接收到的合法DHCP服務(wù)器回應(yīng)的Ack和Offer報(bào)文�����。為了解決這一問題��,交換機(jī)支持配置DHCP Snooping信任端口����,對(duì)于來自信任端口的所有DHCP報(bào)文不進(jìn)行檢測,而其他非信任端口則只允許DHCP Discover和Request報(bào)文進(jìn)入�。
6. ARP限速功能
H3C低端以太網(wǎng)交換機(jī)還支持端口ARP報(bào)文限速功能����,來避免此類攻擊對(duì)局域網(wǎng)造成的沖擊。
開啟某個(gè)端口的ARP報(bào)文限速功能后��,交換機(jī)對(duì)每秒內(nèi)該端口接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)��,如果每秒收到的ARP報(bào)文數(shù)量超過設(shè)定值��,則認(rèn)為該端口處于超速狀態(tài)(即受到ARP報(bào)文攻擊)。此時(shí)��,交換機(jī)將關(guān)閉該端口����,使其不再接收任何報(bào)文,從而避免大量ARP報(bào)文攻擊設(shè)備�。同時(shí),設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能����,對(duì)于配置了ARP限速功能的端口,在其因超速而被交換機(jī)關(guān)閉后�,經(jīng)過一段時(shí)間可以自動(dòng)恢復(fù)為開啟狀態(tài)。
按照ARP協(xié)議的設(shè)計(jì)���,網(wǎng)絡(luò)設(shè)備收到目的IP地址是本接口IP地址的ARP報(bào)文(無論此ARP報(bào)文是否為自身請(qǐng)求得到的)��,都會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中�。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信���,但也為“ARP欺騙”創(chuàng)造了條件����。
實(shí)際網(wǎng)絡(luò)環(huán)境,特別是校園網(wǎng)中��,最常見的ARP攻擊方式是“仿冒網(wǎng)關(guān)”攻擊�。即:攻擊者偽造ARP報(bào)文,發(fā)送源IP地址為網(wǎng)關(guān)IP地址�����,源MAC地址為偽造的MAC地址的ARP報(bào)文給被攻擊的主機(jī)�,使這些主機(jī)更新自身ARP表中網(wǎng)關(guān)IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來�,主機(jī)訪問網(wǎng)關(guān)的流量,被重定向到一個(gè)錯(cuò)誤的MAC地址��,導(dǎo)致該用戶無法正常訪問外網(wǎng)��。
圖12 網(wǎng)關(guān)仿冒攻擊示意圖
為了防御“仿冒網(wǎng)關(guān)”的ARP攻擊��,H3C以太網(wǎng)交換機(jī)支持基于網(wǎng)關(guān)IP/MAC的ARP報(bào)文過濾功能:
將接入交換機(jī)下行端口(通常與用戶直接相連的端口)和網(wǎng)關(guān)IP進(jìn)行綁定���。綁定后,該端口接收的源IP地址為網(wǎng)關(guān)IP地址的ARP報(bào)文將被丟棄�����,其他ARP報(bào)文允許通過。
將接入交換機(jī)級(jí)聯(lián)端口或上行端口和網(wǎng)關(guān)IP地址����、網(wǎng)關(guān)MAC地址進(jìn)行綁定。綁定后����,該端口接收的源IP地址為指定的網(wǎng)關(guān)IP地址,源MAC地址為非指定的網(wǎng)關(guān)MAC地址的ARP報(bào)文將被丟棄��,其他ARP報(bào)文允許通過���。
惡意用戶可能通過工具軟件����,偽造網(wǎng)絡(luò)中其他設(shè)備(或主機(jī))的源IP或源MAC地址的ARP報(bào)文����,進(jìn)行發(fā)送,從而導(dǎo)致途徑網(wǎng)絡(luò)設(shè)備上的ARP表項(xiàng)刷新到錯(cuò)誤的端口上���,網(wǎng)絡(luò)流量中斷����。
為了防御這一類ARP攻擊,增強(qiáng)網(wǎng)絡(luò)健壯性�,H3C以太網(wǎng)交換機(jī)作為網(wǎng)關(guān)設(shè)備時(shí),支持配置ARP報(bào)文源MAC一致性檢查功能����。通過檢查ARP報(bào)文中的源MAC地址和以太網(wǎng)報(bào)文頭中的源MAC地址是否一致,來校驗(yàn)其是否為偽造的ARP報(bào)文��。
如果一致����,則該ARP報(bào)文通過一致性檢查,交換機(jī)進(jìn)行正常的表項(xiàng)學(xué)習(xí)����;
如果不一致,則認(rèn)為該ARP報(bào)文是偽造報(bào)文�,交換機(jī)不學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的學(xué)習(xí),也不根據(jù)該報(bào)文刷新ARP表項(xiàng)��。
圖13 DHCP監(jiān)控模式典型組網(wǎng)
l 在接入交換機(jī)上開啟DHCP snooping功能�����,并配置與DHCP服務(wù)器相連的端口為DHCP snooping信任端口�。
l 在接入交換機(jī)上為靜態(tài)IP地址分配模式的主機(jī)或者服務(wù)器配置對(duì)應(yīng)的IP靜態(tài)綁定表項(xiàng)。
l 在接入交換機(jī)對(duì)應(yīng)VLAN上開啟ARP入侵檢測功能�,并配置該交換機(jī)的上行口為ARP信任端口。
l 在接入交換機(jī)的直接連接客戶端的端口上配置ARP報(bào)文限速功能����,同時(shí)全局開啟因ARP報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能。
圖14 認(rèn)證模式典型組網(wǎng)
1. 步驟一:開啟dot1x認(rèn)證設(shè)備ARP攻擊防御功能
首先在設(shè)備上部署普通的dot1x認(rèn)證之外��,在用戶接入VLAN內(nèi)部署ARP報(bào)文檢查即可過濾非法ARP報(bào)文���。同時(shí)可以在認(rèn)證設(shè)備上開啟ARP限速功能���。
2. 步驟二:在iMC上選擇配置用戶網(wǎng)關(guān)
圖15 選擇配置用戶網(wǎng)關(guān)示意圖
3. 步驟三:在iMC上配置網(wǎng)關(guān)綁定關(guān)系
圖16 配置網(wǎng)關(guān)綁定關(guān)系示意圖
4. 步驟四:選擇立即生效
圖17 選擇立即生效示意圖
5. 步驟五:用戶正常上線
H3C推出的ARP攻擊防御解決方案,可以很好的緩解和解決校園網(wǎng)的ARP攻擊問題��。同時(shí)擁有很強(qiáng)的適應(yīng)性�,有利于現(xiàn)有校園網(wǎng)的設(shè)備利舊問題。
|
