H3C ARP攻击防御典型配置案例
- 格式:doc
- 大小:1.94 MB
- 文档页数:30
ARP攻击防御目录目录第1章 ARP攻击防御功能介绍 ................................................................................................... 1-11.1 ARP攻击简介.................................................................................................................... 1-11.2 ARP攻击防御.................................................................................................................... 1-41.2.1 DHCP Snooping功能............................................................................................. 1-41.2.2 IP静态绑定功能...................................................................................................... 1-51.2.3 ARP入侵检测功能.................................................................................................. 1-51.2.4 ARP报文限速功能.................................................................................................. 1-61.2.5 CAMS下发网关配置功能....................................................................................... 1-61.3 ARP攻击防御配置指南..................................................................................................... 1-71.4 支持ARP攻击防御功能的产品列表.................................................................................. 1-8第2章 ARP攻击防御配置举例 ................................................................................................... 2-12.1 DHCP监控模式下的ARP攻击防御配置举例................................................................... 2-12.1.1 组网需求................................................................................................................. 2-12.1.2 组网图..................................................................................................................... 2-22.1.3 配置思路................................................................................................................. 2-22.1.4 配置步骤................................................................................................................. 2-22.1.5 注意事项................................................................................................................. 2-62.2 认证模式下的ARP攻击防御配置举例.............................................................................. 2-72.2.1 组网需求................................................................................................................. 2-72.2.2 组网图..................................................................................................................... 2-72.2.3 配置思路................................................................................................................. 2-82.2.4 配置步骤................................................................................................................. 2-82.2.5 注意事项............................................................................................................... 2-19防ARP攻击摘要防ARP攻击配置举例关键词:ARP、DHCP Snooping摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。
同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
缩略语:ARP(Address Resolution Protocol,地址解析协议)MITM(Man-In-The-Middle,中间人攻击)第1章 ARP攻击防御功能介绍近来,许多校园网络都出现了ARP攻击现象。
严重者甚至造成大面积网络不能正常访问外网,学校深受其害。
H3C公司根据ARP攻击的特点,提出了“全面防御,模块定制”的ARP攻击防御理念,并给出了两种解决方案。
(1) DHCP监控模式下的ARP攻击防御解决方案这种方式适合动态分配IP地址的网络场景,需要接入交换机支持DHCP Snooping功能。
通过全网部署,可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。
(2) 认证方式下的ARP攻击防御解决方案这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景,且只能防御“仿冒网关”的ARP攻击方式。
它不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过认证协议(802.1x)登录网络,认证服务器(如CAMS服务器)会识别客户端,并下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”攻击。
1.1 ARP攻击简介按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。
这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
校园网中,常见的ARP攻击有如下几中形式。
(1) 仿冒网关攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。
这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-1“仿冒网关”攻击示意图(2) 欺骗网关攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC 地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-2“欺骗网关”攻击示意图(3) 欺骗终端用户攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC 地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
图1-3“欺骗终端用户”攻击示意图(4) “中间人”攻击ARP “中间人”攻击,又称为ARP双向欺骗。
如图1-4所示,Host A和Host C通过Switch进行通信。
此时,如果有恶意攻击者(Host B)想探听Host A和Host C 之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。
此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。
这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。