《ARP攻击防御典型配置桉例》由会员分享,可在线阅读,更多相关《ARP攻击防御典型配置桉例(29页珍藏版)》请在金锄头文库上搜索。
1、H3C 低端以太网交换机典型配置案例 ARP 攻击防御目 录i目 录第 1 章 ARP 攻击防御功能介绍.1-11.1 ARP 攻击简介 .1-11.2 ARP 攻击防御 .1-41.2.1 DHCP Snooping 功能.1-41.2.2 IP 静态绑定功能 .1-51.2.3 ARP 入侵检测功能 .1-51.2.4 ARP 报文限速功能 .1-51.2.5 CAMS 下发网关配置功能 .1-61.3 ARP 攻击防御配置指南.1-61.4 支持 ARP 攻击防御功能的产品列表.1-8第 2 章 ARP 攻击防御配置举例.2-12.1 DHCP 监控模式下的 ARP 攻击防御配置举例 .
2、2-12.1.1 组网需求.2-12.1.2 组网图.2-22.1.3 配置思路.2-22.1.4 配置步骤.2-22.1.5 注意事项.2-62.2 认证模式下的 ARP 攻击防御配置举例 .2-72.2.1 组网需求.2-72.2.2 组网图.2-72.2.3 配置思路.2-82.2.4 配置步骤.2-82.2.5 注意事项.2-19H3C 低端以太网交换机典型配置案例 防 ARP 攻击摘 要ii防 ARP 攻击配置举例关键词:关键词:ARP、DHCP Snooping摘摘 要:本文主要介绍如何利用以太网交换机要:本文主要介绍如何利用以太网交换机 DHCP 监控模式下的防监控模式下的防 A
3、RP 攻击功能,防止校园攻击功能,防止校园网中常见的网中常见的“仿冒网关仿冒网关”、“欺骗网关欺骗网关”、“欺骗终端用户欺骗终端用户”、ARP 泛洪等攻击形式。泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。置。缩略语:缩略语:ARP(Address Resolution Protocol,地址解析协议),地址解析协议)MITM(Man-In-The-Middle,中间人攻击),中间人攻击)H3C 低端以太网交换机典型配置案例 ARP 攻击防御第 1 章 ARP 攻击防御功能
4、介绍1-1第第 1 章章 ARP 攻击防御功能介绍攻击防御功能介绍近来,许多校园网络都出现了 ARP 攻击现象。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C 公司根据 ARP 攻击的特点,提出了“全面防御,模块定制”的 ARP 攻击防御理念,并给出了两种解决方案。(1)DHCP 监控模式下的 ARP 攻击防御解决方案这种方式适合动态分配 IP 地址的网络场景,需要接入交换机支持 DHCP Snooping功能。通过全网部署,可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP 中间人攻击”、“ARP 泛洪攻击”等校园网中常见的 ARP 攻击方式;且不需要终端
5、用户安装额外的客户端软件,简化了网络配置。(2)认证方式下的 ARP 攻击防御解决方案这种方式适合网络中动态分配 IP 地址和静态分配 IP 地址共存的网络场景,且只能防御“仿冒网关”的 ARP 攻击方式。它不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过认证协议(802.1x)登录网络,认证服务器(如 CAMS服务器)会识别客户端,并下发网关的 IP/MAC 对应关系给客户端,来防御“仿冒网关”攻击。1.1 ARP 攻击简介按照 ARP 协议的设计,一个主机即使收到的 ARP 应答并非自身请求得到的,也会将其 IP 地址和 MAC 地址的对应关系添加到自身的 ARP 映射表中。这样
6、可以减少网络上过多的 ARP 数据通信,但也为“ARP 欺骗”创造了条件。校园网中,常见的 ARP 攻击有如下几中形式。(1)仿冒网关攻击者伪造 ARP 报文,发送源 IP 地址为网关 IP 地址,源 MAC 地址为伪造的MAC 地址的 ARP 报文给被攻击的主机,使这些主机更新自身 ARP 表中网关 IP 地址与 MAC 地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的 MAC 地址,导致该用户无法正常访问外网。H3C 低端以太网交换机典型配置案例 ARP 攻击防御第 1 章 ARP 攻击防御功能介绍1-2GatewaySwitch攻攻击击者者Host A网网关关的的MAC
7、更更新新了了图 1-1 “仿冒网关”攻击示意图(2)欺骗网关攻击者伪造 ARP 报文,发送源 IP 地址为同网段内某一合法用户的 IP 地址,源MAC 地址为伪造的 MAC 地址的 ARP 报文给网关;使网关更新自身 ARP 表中原合法用户的 IP 地址与 MAC 地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的 MAC 地址,导致该用户无法正常访问外网。GatewaySwitch攻攻击击者者Host AHost A的的MAC更更新新了了图 1-2 “欺骗网关”攻击示意图(3)欺骗终端用户攻击者伪造 ARP 报文,发送源 IP 地址为同网段内某一合法用户的 IP 地址,
8、源MAC 地址为伪造的 MAC 地址的 ARP 报文给同网段内另一台合法主机;使后者更新自身 ARP 表中原合法用户的 IP 地址与 MAC 地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的 MAC 地址,同网段内的用户无法正常互访。H3C 低端以太网交换机典型配置案例 ARP 攻击防御第 1 章 ARP 攻击防御功能介绍1-3GatewaySwitchHost AHost C攻攻击击者者Host A的的MAC更更新新了了图 1-3 “欺骗终端用户”攻击示意图(4)“中间人”攻击ARP “中间人”攻击,又称为 ARP 双向欺骗。如图 1-4 所示,Host A 和 Host C通过 Switch 进行通信。此时,如果有恶意攻击者(Host B)想探听 Host A 和Host C 之间的通信,它可以分别给这两台主机发送伪造的 ARP 应答报文,使 Host A 和 Host C 用 MAC_B 更新自身 ARP 映射表中与对方 IP 地址相应的表项。此后,Host A 和 Host C 之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即 Host B 担当了“中间人”的角色,可
