《DCN-TS16ARP欺骗与DCN防御手段(v11)精编版》由会员分享,可在线阅读,更多相关《DCN-TS16ARP欺骗与DCN防御手段(v11)精编版(53页珍藏版)》请在金锄头文库上搜索。
1、DCN-TS16 ARP欺骗与DCN防御手段,Version 1.0,学习目标,学完本课程,您应该能够: 深刻理解ARP协议原理及其攻击手段 深刻理解相应的防御手段及其原理 Arp Guard Dhcp Snooping Binding ARP Binding UserControl Binding Dot1x Anti-Arpscan 熟练掌握相关协议的配置、特点及其针对点 掌握相关协议的分析及TroubleShooting,2,课程内容,第一章 ARP协议原理及其攻击手段 第二章 DCN防御手段及原理 第三章 DCN防御协议配置 第四章 典型配置案例,3,ARP协议介绍,ARP,全称Add
2、ress Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。 IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。,4,ARP的工作原理,ARP的工作原理: 1. 首先,每台主机都会在自己的ARP
3、缓冲区 (ARP Cache)中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。 2. 当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有就直接将数据包发送到这个MAC地址;如果没有,就向本网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 3. 网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列
4、表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址; 4. 源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。,5,RARP的工作原理,RARP的工作原理: 1. 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址; 2. 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP
5、地址; 3. 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用; 4. 如果不存在,RARP服务器对此不做任何的响应; 5. 源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。,6,ARP报文结构,7,ARP协议报文-Request,8,ARP协议报文-Reply,9,ARP协议报文-Gratuitous,10,常见的ARP攻击手段,ARP扫描 网关欺骗 单播Request方式 单播Reply方式 广播Request方式 主机欺骗 单播Request方式 单播Reply方式 广播Re
6、quest方式,11,ARP攻击手段ARP扫描,12,ARP攻击手段-网关(主机)欺骗/单播Request,13,ARP攻击手段-网关(主机)欺骗/单播Reply,14,ARP攻击手段-网关欺骗-广播Request,15,课程内容,第一章 ARP协议原理及其攻击手段 第二章 DCN防御手段及原理 第三章 DCN防御协议配置 第四章 典型配置案例,16,Arp-Guard-介绍,ARP 协议的设计存在严重的安全漏洞,任何网络设备都可以发送ARP 报文通告IP 地址和MAC 地址的映射关系。这就为ARP 欺骗提供了可乘之机,攻击者发送ARP request报文或者ARP reply 报文通告错误的
7、IP 地址和MAC 地址映射关系,导致网络通讯故障。 ARP Guard 功能常用于保护网关不被攻击,如果要保护网络内的所有接入PC不受ARP欺骗攻击,需要在端口配置大量受保护的ARP Guard 地址,这将占用大量芯片FFP 表项资源,可能会因此影响到其它应用功能,并不适合。,17,Arp-Guard-原理,主要攻击形式(如上图): ARP 欺骗的危害主要表项为两种形式:1、PC4 发送ARP 报文通告PC2 的IP 地址映射为自己的MAC 地址,将导致本应该发送给PC2 的IP 报文全部发送到了PC4,这样PC4 就可以监听、截获PC2 的报文;2、PC4 发送ARP 报文通告PC2 的I
8、P 地址映射为非法的MAC 地址,将导致PC2 无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP 欺骗,将导致整个网络瘫痪。 防御手段: 我们利用交换机的过滤表项保护重要网络设备的ARP 表项不能被其它设备假冒。基本原理就是利用交换机的过滤表项,检测从端口输入的所有ARP 报文,如果ARP 报文的源IP 地址是受到保护的IP 地址,就直接丢弃报文,不再转发。,L3交换机,PC1,PC2,PC3,PC4,PC5,PC6,H,U,B,A,B,C,D,18,DHCP Snooping-介绍(1),防伪装DHCP Server: DHCP Snooping 最初的应用是为了防止用户
9、私设DHCP 服务器,通过启用DHCP Snooping,将交换机上各端口定义为Trust接口和Untrust接口,在Untrust接口判断是否有DHCP Server才能发送的DHCPOFFER、DHCPACK、DHCPNAK报文,如果截获到这些报文,将发出警告并做出相应反应(shutdown该接口或者下发blockhole)。 防DHCP 过载攻击: DHCP Snooping 要对信任端口和非信任端口做DHCP 收包限速,防止过多的DHCP 报文攻击CPU,实现了防止DHCP过载攻击,防止过多的DHCP报文耗尽CPU资源。 记录DHCP 绑定数据: DHCP Snooping 在转发DH
10、CP 报文的同时,记录DHCP SERVER 分配的绑定数据,并可以把绑定数据上载到指定的服务器进行备份。 添加绑定ARP: DHCP Snooping 捕获到绑定数据之后,可以根据绑定数据中的参数添加静态绑定ARP,这样可以防止交换机的ARP表项 欺骗。,19,DHCP Snooping-介绍(2),添加信任用户: DHCP Snooping 捕获到绑定数据之后,可以根据绑定数据中的参数添加添加信任用户表项,这样这些用户就可以不经过DOT1X 认证而访问所有资源。 自动恢复: 交换机shutdown 端口或者下发blockhole 一段时间后,交换机应主动恢复该端口或源Mac的通讯,同时通过
11、syslog 发送信息到Log Server。 LOG 功能: 交换机检测发现异常收包时;或者自动恢复时,应自动发送syslog 信息到Log Server。,20,DHCP Snooping原理,实现机制:DHCP Snooping 通过动态监控客户端从DHCP 服务器获取地址的过程(或者手工静态绑定),将客户端的IP、MAC关联到具体的交换机端口,并将该绑定关系下发给驱动,只有符合该绑定关系的ARP报文交换机才会转发,从而实现防ARP攻击。 注意事项: 必须保证手工静态绑定及第一次动态获取IP、MAC的正确性和有效性 不能阻止以符合绑定关系的IP、MAC为源的网段扫描,请注意结合Anti-
12、Arpscan使用,21,Anti-Arpscan-介绍,ARP 扫描是一种常见的网络攻击方式。为了探测网段内的所有活动主机,攻击源将会产生大量的ARP 报文在网段内广播,这些广播报文极大的消耗了网络的带宽资源;攻击源甚至有可能通过伪造的ARP 报文而在网络内实施大流量攻击,使网络带宽消耗殆尽而瘫痪。而且ARP 扫描通常是其他更加严重的攻击方式的前奏,如病毒自动感染,或者继而进行端口扫描、漏洞扫描以实施如信息窃取、畸形报文攻击,拒绝服务攻击等。 由于ARP 扫描给网络的安全和稳定带来了极大的威胁,所以防ARP 扫描功能将具有重大意义。DCN系列交换机防ARP 扫描的整体思路是若发现网段内存在具
13、有ARP 扫描特征的主机或端口,将切断攻击源头,保障网络的安全。,22,Anti-Arpscan-原理,实现机制:有两种方式来防ARP 扫描:基于端口和基于IP。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量,若超过了预先设定的阈值,则会down 掉此端口。基于IP 的ARP 扫描则计算一段时间内从网段内某IP 收到的ARP 报文的数量,若超过了预先设置的阈值,则禁止来自此IP 的任何流量,而不是down 掉与此IP 相连的端口。此两种防ARP 扫描功能可以同时启用。端口或IP 被禁掉后,可以通过自动恢复功能自动恢复其状态。 注意事项: 为了提高交换机的效率,可以配
14、置受信任的端口和IP,交换机不检测来自受信任的端口或IP 的ARP 报文,这样可以有效地减少交换机的负担。 如果PC1伪造PC2发起网段扫描,Anti-Arpscan(基于IP方式)可能会将PC2给封掉,所以,请注意结合其他ARP防御手段一起使用。,23,课程内容,第一章 ARP协议原理及其攻击手段 第二章 DCN防御手段及原理 第三章 DCN防御协议配置 第四章 典型配置案例,24,Arp-Guard配置命令,arp-guard ip 命令:arp-guard ip no arp-guard ip 功能:添加ARP Guard 地址。 参数:为受到保护的以点分十进制形式表示的IP 地址。 命
15、令模式:端口配置模式。 缺省情况:没有ARP Guard 地址。,25,DHCP Snooping配置任务,1. 启动DHCP Snooping 2. 启动DHCP Snooping 绑定功能 3. 启动DHCP Snooping 绑定ARP 功能(应用一) 4. 启动DHCP Snooping 绑定DOT1X 功能(应用二) 5. 启动DHCP Snooping 绑定USER 功能(应用三) 6. 添加静态表项功能(应用四) 7. 设置信任端口 8. 设置防御动作 9. 设置DHCP 报文速率限制,26,DHCP Snooping配置命令(1),ip dhcp snooping 命令:ip
16、dhcp snooping enable no ip dhcp snooping enable 功能:开启DHCP Snooping 功能。 参数:无。 命令模式:全局配置模式。 缺省情况:DHCP Snooping 默认关闭。,27,DHCP Snooping配置命令(2),ip dhcp snooping binding 命令:ip dhcp snooping binding enable no ip dhcp snooping binding enable 功能:开启DHCP Snooping 绑定功能。 参数:无。 命令模式:全局配置模式。 缺省情况:DHCP Snooping 绑定默认关闭。,28,DHCP Snooping配置命令(3),ip dhcp snooping binding arp 命令:ip dhcp snooping binding arp no ip dhcp snooping binding arp 功能:开启DHCP Snooping 绑定ARP 功
