收藏
下载资源

BCM芯片系列交换机防ARP攻击解决方案

上传人:飞*** 文档编号:44249208 上传时间:2018-06-09 格式:DOC 页数:4 大小:30.50KB
返回 下载 相关 举报
BCM芯片系列交换机防ARP攻击解决方案_第1页
第1页 / 共4页
BCM芯片系列交换机防ARP攻击解决方案_第2页
第2页 / 共4页
BCM芯片系列交换机防ARP攻击解决方案_第3页
第3页 / 共4页
BCM芯片系列交换机防ARP攻击解决方案_第4页
第4页 / 共4页
亲,该文档总共4页,全部预览完了,如果喜欢就下载吧!
资源描述

《BCM芯片系列交换机防ARP攻击解决方案》由会员分享,可在线阅读,更多相关《BCM芯片系列交换机防ARP攻击解决方案(4页珍藏版)》请在金锄头文库上搜索。

1、BCMBCM 芯片交换机防芯片交换机防 ARPARP 攻击解决方案攻击解决方案优肯系列交换机防优肯系列交换机防 ARPARP 攻击解决方案攻击解决方案近年来,随着网络的普及,网络病毒泛滥,基于病毒的 ARP 攻击也愈演愈烈,对于单 位管理人员和网络管理员对这类病毒攻击更是恨之入骨、苦不堪言。为了能更好的对付 ARPARP 攻击攻击,我们先简单了解一下它。ARP 协议是用来提供一台主机通过广播一个 ARP 请求来获取相同网段中另外一台主机 或者网关的 MAC 的协议。以相同网段中的两台主机 A、B 来举例,其 ARP 协议运行的主要交 互机制如下:1如果 A 需要向 B 发起通信,A 首先会在自

2、己的 ARP 缓存表项中查看有无 B 的 ARP 表 项。如果没有,则进行下面的步骤:2A 在局域网上广播一个 ARP 请求,查询 B 的 IP 地址所对应的 MAC 地址;3本局域网上的所有主机都会收到该 ARP 请求;4所有收到 ARP 请求的主机都学习 A 所对应的 ARP 表项;如果 B 收到该请求,则发送 一个 ARP 应答给 A,告知 A 自己的 MAC 地址;5主机 A 收到 B 的 ARP 应答后,会在自己的 ARP 缓存中写入主机 B 的 ARP 表项.如上所述,利用 ARP 协议,可以实现相同网段内的主机之间正常通信或者通过网关与 外网进行通信。但由于 ARP 协议是基于网

3、络中的所有主机或者网关都为可信任的前提制定。 导致在 ARP 协议中没有认证的机制,从而导致针对 ARP 协议的欺骗攻击非常容易。对于 ARP 攻击,可以简单分为两类:1、ARP 欺骗攻击,又分为 ARP 仿冒网关攻击和 ARP 仿冒主机攻击。2、ARP 泛洪(Flood)攻击,也可以称为 ARP 扫描攻击。对于这两类攻击,攻击程序都是通过构造非法的 ARP 报文,修改报文中的源 IP 地址与 (或)源 MAC 地址,不同之处在于前者用自己的 MAC 地址进行欺骗,后者则大量发送虚假的 ARP 报文,拥塞网络。针对传播广泛、日益泛滥的 ARP 攻击问题,BMC 凭借深厚技术积累,推出具有增强的

4、 安全特性全系列交换机,从用户接入到网络汇聚、核心,提供完整全面安全体系架构,从 而更加有效的防御 ARP 攻击。1 1、 接入层防范接入层防范接入交换机是最接近用户侧的网络设备,也最适于通过它进行相关网络攻击防护。通 过对接入交换机的适当设置,我们可以将很多网络威胁隔离在交换机的每端口内,而不至 于对整网产生危害。(1)、AM 功能AM(access management)又名访问管理,它利用收到数据报文的信息(源 IP 地址或者源 IP+源 MAC)与配置硬件地址池(AM pool)相比较,如果找到则转发,否则丢弃。AM pool 是一个地址列表,每一个地址表项对应于一个用户。每一个地址表

5、项包括了 地址信息及其对应的端口。地址信息可以有两种:IP 地址(ip-pool),指定该端口上用户的源 IP 地址信息。MAC-IP 地址(mac-ip pool),指定该端口上用户的源 MAC 地址和源 IP 地址信息。当 AM 使能的时候,AM 模块会拒绝所有的 IP 报文通过(只允许 IP 地址池内的成员源地 址通过)。我们可以在交换机端口创建一个 MAC+IP 地址绑定,放到地址池中。当端口下联主机 发送的 IP 报文(包含 ARP 报文)中,所含的源 IP+源 MAC 不符合地址池中的绑定关系,此报文就将被丢弃。、功能特点:配置简单,除了可以防御 ARP 攻击,还可以防御 IP 扫

6、描等攻击。适用于信息点不多、 规模不大的静态地址环境下。(2)、ARP Guard 功能基本原理就是利用交换机的过滤表项,检测从端口输入的所有 ARP 报文,如果 ARP 报 文的源 IP 地址是受到保护的 IP 地址(网关或服务器),就直接丢弃报文,不再转发,从而 避免非法 PC 冒充网关或服务器进行 ARP 欺骗。功能特点:配置简单、快速部署,适用于 ARP 仿冒网关攻击防护。(3)、DHCP Snooping 功能实现原理:接入层交换机监控用户动态申请 IP 地址的全过程,记录用户的 IP、MAC 和 端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法 ARP 报文的传播。功

7、能特点:被动侦听,自动绑定,对信息点数量没有要求,适用于 IP 地址动态分配环境下广泛实 施。(4)、端口 ARP 限速功能BMC 系列交换机防 ARP 扫描的整体思路是若发现网段内存在具有 ARP 扫描特征的主机 或端口,将切断攻击源头,保障网络的安全。有两种方式来防 ARP 扫描:基于端口和基于 IP。基于端口的 ARP 扫描会计算一段时 间内从某个端口接收到的 ARP 报文的数量,若超过了预先设定的阈值,则会 down 掉此端 口。基于 IP 的 ARP 扫描则计算一段时间内从网段内某 IP 收到的 ARP 报文的数量,若超过 了预先设置的阈值,则禁止来自此 IP 的任何流量,而不是 d

8、own 与此 IP 相连的端口。此 两种防 ARP 扫描功能可以同时启用。端口或 IP 被禁掉后,可以通过自动恢复功能自动恢 复其状态。功能特点:全局使能,无须在端口模式下配置,配置简单。适用于对 ARP 扫描或者 flood 攻击防 御,建议和交换机其它功能一起使用。2 2、汇聚层防御、汇聚层防御很多用户的网络经过多次升级、扩充,部署的接入交换机的品牌多、型号多。而其中 不可网管、不支持 ACL 的交换机数量也不在少数。所以在保护用户现有投资、不升级接入 交换机的前提下,全网防御 ARP 病毒攻击,成为了 BMC 产品的关注点。下面我们介绍一种 通过 BMC 汇聚交换机实现全网防御 ARP

9、攻击的解决方案。(1)、端口隔离功能介绍端口隔离是一个基于端口的独立功能,作用于端口和端口之间,隔离相互之间的流量, 常用的方式是用户端口间相互隔离,每个用户端口仅能和上联端口通信。利用端口隔离的 特性,可以实现 VLAN 内部的端口隔离,从而节省 VLAN 资源,增加网络的安全性,现在大 多数接入交换机都具备此功能。(2)、Local ARP Proxy 功能介绍Local ARP proxy:本地 ARP 代理功能。是指在一个 VLAN 内,通过使用一台三层交换 机(一般为汇聚交换机),来作为指定的设备对另一设备作出 ARP 请求的应答,实现限制 ARP 报文在同一 VLAN 内的转发,从

10、而引导数据流量通过交换机进行三层转发。该功能通常需要和其他的安全功能配合使用,例如在汇聚交换机上配置 local arp proxy,而在下连的二层交换机上配置端口隔离功能,这样将会引导所有的 IP 流量通过汇 聚交换机上进行三层转发,二层交换机下联主机不能相互 ARP 欺骗。(3)、防御 ARP 攻击原理如下图所示,端口 Eth0/0/2 和 Eth0/0/3 在 Vlan100 内,接入交换机开启端口隔离功 能,主机 A 和主机 B 二层流量不可达。网关地址为 192.168.1.1,汇聚交换机启用 Local ARP proxy 功能。1. 接入交换机启用端口隔离功能;汇聚交换机启用 A

11、RP Local Proxy 功能和端口 ARP 限速功能;2. 动态 IP 环境中,汇聚交换机通过 DHCP Snooping 检测 ARP;静态 IP 环境中,可以 使用 BMC 专有的 DHCP Snooping 绑定工具,对汇聚交换机 ARP 表项进行初始化(静态地址环 境下,还需要结合关闭交换机 arp 自动更新或者自动学习);3. 由于主机 A 没有主机 B 的 MAC 地址,因此主机 A 发送 ARP Request 并广播出去;4. 在启动 ARP Local Proxy 的情况下,交换机向主机 A 发送 ARP Reply 报文(填充自 己的 MAC 地址);5. 主机 A

12、收到该 ARP Reply 之后,创建 ARP 表项,发送 IP 报文,封装的以太网帧头 的目的 MAC 为交换机的 MAC;6. 当交换机收到该 IP 报文之后,交换机查询路由表(创建路由缓存),并下发硬件表 项;7. 当交换机有主机 B 的 ARP 表项情况下,直接封装以太网头部并发送报文(目的 MAC 为主机 B);如果交换机没有主机 B 的 ARP 表项,那么会请求主机 B 的 ARP,然后发送 IP 报 文。(4)、方案说明对接入交换机要求低,只需要支持端口隔离功能即可;而且动态 IP 地址环境下配置简 单,易于管理、实现。3 3、802.1X802.1X 认证防御认证防御BMC 交

13、换机全面支持 802.1X 的认证机制,配合 Radius 服务器实施 IP+MAC+端口号三重 绑定,可以实现完美的 ARP 攻击防御。1、主机 IP 地址静态配置时,终端发给 802.1x 认证,Radius 验证通过后,将该用户 的 IP、MAC 等绑定信息自动下发给接入交换机。2、动态分配 IP 地址时,接入交换机启用 DHCP Snooping 侦听主机分配到的 IP 地址, 并将此 IP 地址,以及对应的 MAC 地址、交换机端口发送给 Radius 服务器。方案特点:静态、动态 IP 地址混杂模式下,可以完美解决内网 ARP 攻击问题,并且人工配置量小, 适用于信息点众多的大型办

14、公网络。BMC ARP 防御思路总结接入层防御在接入层交换机上开启 DHCP snooping 功能,并配置与 DHCP 服务器相连的端口为 DHCP snooping 信任端口。在接入层交换机上为静态 IP 地址分配模式的主机或者服务器配置对应的 IP 静态绑 定表项。在接入层交换机对应 VLAN 上开启 ARP 入侵检测功能,并配置该交换机的上行口为 ARP 信任端口。在接入层交换机的直接连接客户端的端口上配置 ARP 报文限速功能,同时全局开启 因 ARP 报文超速而被关闭的端口的状态自动恢复功能。汇聚层防御在接入层交换机上配置端口隔离功能在汇聚层交换机上开启 Local ARP Proxy 功能,隔离接入端口之间的 ARP 报文在汇聚层交换机上开启端口 ARP 限速功能,防御 ARP Flood 攻击认证模式防御在接入交换机上开启 802.1X 认证,并配置 Radius 服务器端在接入交换机上开启 DHCP Snooping,并配置信任端口在 Radius 上,手工设置 IP+MAC+Port 三重绑定

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号