ARP防护解决方案总结

资源描述

《ARP防护解决方案总结》由会员分享，可在线阅读，更多相关《ARP防护解决方案总结（63页珍藏版）》请在金锄头文库上搜索。

1、ARP 防护解决方案总结一、思科解决方案（接入层为思科三层交换机） 1.1 技术介绍1.1.1 DHCP SNOOPING 采用 DHCP 管理的常见问题采用 DHCP server 可以自动为用户设置网络IP 地址、掩码、网关、 DNS 、WI NS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP 管理使用上也存在着一些另网管人员比较问题，常见的有: 1. DHCP server 的冒充。 2. DHCP server 的 DOS 攻击。3. 有些用户随便指定地址，造成网络地址冲突。4. 由于 DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台 DH

2、CP 服务器将会给网络照成混乱。5. 由于不小心配置了 DHCP 服务器引起的网络混乱也非常常见。黑客利用类似 Goobler 的工具可以发出大量带有不同源MAC 地址的 DHCP 请求，直到 DHCP 服务器对应网段的所有地址被占用，此类攻击既可以造成DOS 的破坏，也可和 DHCP 服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。DHCP服务器欺诈可能是故意的，也可能是无意启动DHCP 服务器功能，恶意用户发放错误的 IP 地址、 DNS 服务器信息或默认网关信息，以此来实现流量的截取。一个“ 不可靠 ” 的 DHCP 服务器通常被用来与攻击者协作，对网络实施 “ 中间

3、人” M ITM(Man-In-The-Middle)攻击。中间人攻击是一种攻击者利用正常的协议处理行为来更改两个终端之间的正常通信数据流而形成的一种攻击技术。首先一个黑客会广播许多含有欺骗性MAC 地址的 DHCP 请求( 动态主机配置请求 ) ，从而耗尽合法 DHCP 服务器上的地址空间，一旦其空间地址被耗尽，这个“ 不可靠 ” 的 DHCP 服务器就开始向 “ 用户” 的 DHCP 请求进行应答了，这些应答信息中将包括DNS 服务器和一个默认网关的信息，这些信息就被用来实施一个MITM中间人攻击。黑客也可以利用冒充的DHCP 服务器，为用户分配一个经过修改的DNS Se

4、rver，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。DHCP Snooping 技术概述DHCP Snooping 技术是 DHCP 安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP 信息，这些信息是指来自不信任区域的DHCP 信息。通过截取一个虚拟局域网内的DHCP 信息，交换机可以在用户和DHCP 服务器之间担任就像小型安全防火墙这样的角色，“ DHCP 监听” 功能基于动态地址分配建立了一个 DHCP 绑定表，并将该表存贮在交换机里。在没有 DHCP 的环境中，如数据中心，

5、绑定条目可能被静态定义，每个 DHCP 绑定条目包含客户端地址(一个静态地址或者一个从 DHCP 服务器上获取的地址 ) 、客户端 MAC 地址、端口、 VLAN ID、租借时间、绑定类型 ( 静态的或者动态的 ) 。如下表所示 : switch#sh ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface - - - - - - - 00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEther net1/0/7 这张

6、表不仅解决了 DHCP 用户的 IP 和端口跟踪定位问题，为用户管理提供方便，而且还供给动态 ARP检测(DAI) 和 IP Source Guard使用。基本防范为了防止这种类型的攻击，Catalyst DHCP 侦听(DHCP Snooping)功能可有效阻止此类攻击，当打开此功能，所有用户端口除非特别设置，被认为不可信任端口，不应该作出任何DHCP 响应，因此欺诈 DHCP 响应包被交换机阻断，合法的D HCP 服务器端口或上连端口应被设置为信任端口。Catalyst DHCP侦听(DHCP Snooping)对于下边介绍的其他阻止ARP欺骗和 IP /MAC地址的欺骗是必

7、需的。首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP 报文进行截获和嗅探， DROP 掉来自这些端口的非正常DHCP 响应应报文，如下图所示 : 在每个交换机上，基本配置示例如下表: IOS 全局命令 : ip dhcp snooping vlan 100,200 /*定义哪些 VLAN 启用 DHCP 嗅探ip dhcp snooping 接口命令 : ip dhcp snooping trust no ip dhcp snooping trust (Default) ip dhcp snooping limit rate 10 (pps) /*一定程度上防止DHCP

8、拒绝服务攻击*/ 手工添加 DHCP 绑定表 : ip dhcp snooping binding 000b.db1d.6ccd vlan 10 1.1.1.1 interface g i1/1 expiry 1000 导出 DHCP 绑定表到 TFTP服务器 : ip dhcp snooping database tftp:/10.1.1.1/directory/file 需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh、slot0 、ftp 、tftp) 或导出到指定 TFTP服务器上，否则交换机重启后DHCP 绑定表丢失，对于已经申请到 IP 地址的设备在租用

9、期内，不会再次发起 DHCP 请求，如果此时交换机己经配置了下面所讲到的DAI 和 IP Source Guard技术，这些用户将不能访问网络。高级防范对于类似 Gobbler 的 DHCP 服务的 DOS 攻击可以利用前面的Port Security限制源 MAC 地址数目加以阻止，对于有些用户随便指定地址，造成网络地址冲突也可以利用后面提到的DAI 和 IP Source Guard技术。有些复杂的 DHCP 攻击工具可以产生单一源MAC 地址、变化 DHCP Payload信息的 DHCP 请求，当打开 DHCP 侦听功能，交换机对非信任端口的DHCP 请求进行源 MA

10、C 地址和 DHCP Payload信息的比较，如不匹配就阻断此请求。1.1.2 Dynamic ARP Inspection ARP欺骗攻击原理ARP 是用来实现 MAC 地址和 IP 地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MAC 广播方式发送 ARP 请求，拥有此 IP 地址的工作站给予 ARP应答，送回自己的IP 和 MAC 地址。 ARP 协议同时支持一种无请求ARP 功能，局域网段上的所有工作站收到主动ARP广播，会将发送者的 MAC 地址和其宣布的 IP 地址保存，覆盖以前cache 的同一 IP 地址和对应的 MAC 地址，主动式 ARP合法的用途是用

11、来以备份的工作站替换失败的工作站。由于 ARP无任何身份真实校验机制，黑客程序发送误导的主动式ARP 使网络流量重指经过恶意攻击者的计算机，变成某个局域网段IP 会话的中间人，达到窃取甚至篡改正常传输的功效。黑客程序发送的主动式ARP采用发送方私有MAC 地址而非广播地址，通讯接收方根本不会知道自己的IP 地址被取代。为了保持ARP 欺骗的持续有效，黑客程序每隔 30 秒重发此私有主动式ARP 。黑客工具如 ettercap 、dsniff和 arpspoof 都能实现 ARP哄骗功能。像 ettercap可提供一个用户界面，在对本地网段所有工作站的扫描后， ettercap显示

12、所有工作站源地址和目的地址，选择ARP哄骗命令后，除数据包的截取外，内置的智能sniffer功能还可以针对不同IP 会话获取 password 信息。防范方法这些攻击都可以通过动态ARP检查(DAI，Dynamic ARP Inspection)来防止，它可以帮助保证接入交换机只传递“ 合法的” 的 ARP请求和应答信息。 DHCP Snoo ping 监听绑定表包括IP 地址与 MAC 地址的绑定信息并将其与特定的交换机端口相关联，动态 ARP 检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的 ARP请求和应答 ( 主动式 ARP和非主动

13、式 ARP) ，确保应答来自真正的ARP 所有者。 Catalyst交换机通过检查端口纪录的DHCP 绑定信息和 ARP应答的 IP 地址决定是否真正的ARP所有者，不合法的ARP 包将被删除。DAI 配置针对 VLAN ，对于同一 VLAN内的接口可以开启DAI也可以关闭，如果 ARP包从一个可信任的接口接受到，就不需要做任何检查，如果ARP包在一个不可信任的接口上接受到，该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样， DHCP Snooping对于 DAI 来说也成为必不可少的，DAI是动态使用的，相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP 的服

14、务器个别机器可以采用静态添加DHCP 绑定表或 ARP access-list实现。另外，通过 DAI 可以控制某个端口的ARP请求报文频率。一旦 ARP请求频率的频率超过预先设定的阈值，立即关闭该端口。该功能可以阻止网络扫描工具的使用，同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。同样的，在交换机上，配置示例如下IOS 全局命令 : ip dhcp snooping vlan 100,200 no ip dhcp snooping information option ip dhcp snooping ip arp inspection vlan 100,200

15、/*定义对哪些 VLAN 进行 ARP 报文检测 */ ip arp inspection log-buffer entries 1024 ip arp inspection log-buffer logs 1024 interval 10 IOS 接口命令 : ip dhcp snooping trust ip arp inspection trust /*定义哪些接口是信任接口，通常是网络设备接口， TRUNK 接口等 */ ip arp inspection limit rate 15 (pps) /*定义接口每秒 ARP 报文数量 */ 对于没有使用 DHCP 设备可以采用下面办法

16、: arp access-list static-arp permit ip host 10.66.227.5 mac host 0009.6b88.d387 ip arp inspection filter static-arp vlan 201 配置 DAI 后的效果在配置 DAI 技术的接口上，用户端不能采用指定地址将接入网络。由于 DAI 检查 DHCP snooping 绑定表中的 IP 和 MAC 对应关系，无法实施中间人攻击，攻击工具失效。下表为实施中间人攻击是交换机的警告: 3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16,vlan 1.(000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 由于对

展开阅读全文