锐捷防arp欺骗解决方案 锐捷网络 网络解决方案第一品牌公司

《锐捷防arp欺骗解决方案 锐捷网络 网络解决方案第一品牌公司》由会员分享，可在线阅读，更多相关《锐捷防arp欺骗解决方案 锐捷网络 网络解决方案第一品牌公司（53页珍藏版）》请在金锄头文库上搜索。

1、锐捷防ARP欺骗解决方案,技术培训中心 2009-09,修订记录,2,学习目标,掌握ARP协议及ARP欺骗原理 掌握锐捷网络防ARP欺骗解决方案的应用场合 掌握锐捷网络防ARP欺骗解决方案的配置,3,课程内容,第一章：ARP协议原理 第二章：ARP欺骗攻击概述 第三章：常见ARP欺骗“应付”手段 第四章：锐捷网络ARP欺骗解决方案,4,ARP协议原理,ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。根据TCP/IP层次模型，在以太网中，一个主机要和另一个主机进行直接通信，必须知道目标主机的MAC地址。 在现实环境中，一般采用IP地址标示通信的对象，

2、而ARP的功能就是将IP翻译成对应的MAC地址。 IP：姓名 MAC：姓名对应的手机号 ARP表：电话号码簿,5,ARP过程,6,正常的ARP通讯过程只需广播ARP Request和单播ARP Replay两个过程，简单的说就是一问一答：,ARP request,ARP reply,PC1,PC2,IP:192.168.0.1 MAC:00d0.f800.0001,IP:192.168.0.2 MAC:00d0.f800.0002,PC3,PCN,课程内容,第一章：ARP协议原理 第二章：ARP欺骗攻击概述 第三章：常见ARP欺骗“应付”手段 第四章：锐捷网络ARP欺骗解决方案,7,正常情况下

3、的ARP表,8,网关,PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,PC与设备之间相互通信后形成的ARP表,ARP Request报文更新ARP表的条件 ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表,ARP表变化-ARP Request,9,网关,PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.25

4、4 001a.a908.9f0b,Cheat（ARP Request）,ARP表变化-ARP Reply,10,网关,PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,Cheat（ARP Reply）,ARP Reply报文更新ARP表的条件 ARP报文中Target IP为自己 当前ARP表中已存在Sender IP的表项 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表,ARP表变化- Gratuitous ARP,11,网关,PC2

5、,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,Cheat（ Gratuitous ARP）,Gratuitous ARP报文更新ARP表的条件 Gratuitous ARP是一种特殊的ARP Request/Replay报文，即Sender IP与Target IP一致 ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表,理解invalid ARP表项,Invalid ARP表项 ARP表中的MAC地址为

6、全零（Windows主机）或“No completed”（网络设备） 产生原因 发送ARP Request后，为接收ARP Reply做准备 大量存在的原因 同网段扫描（主机） 跨网段扫描（网络设备）,12,IP地址发生冲突的条件 收到Gratuitous ARP报文，且Sender/Target IP与当前IP一致，但Sender MAC与当前MAC不同 当针对主机或网络设备发送上述报文时，即为IP冲突攻击,主机或网络设备怎样判断IP冲突,13,网关,PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.1 00d0.f800.0002,Gratuitou

7、s ARP,Gratuitous ARP,ARP欺骗攻击分类-主机型,主机型ARP欺骗 欺骗者主机冒充网关设备对其他主机进行欺骗,14,网关,欺骗者,嗨，我是网关,PC 1,ARP欺骗攻击分类-网关型,网关型ARP欺骗 欺骗者主机冒充其他主机对网关设备进行欺骗,15,网关,欺骗者,嗨，我是PC1,PC 1,ARP欺骗攻击目的,为什么产生ARP欺骗攻击？ 表象：网络通讯中断 真实目的：截获网络通讯数据,16,PC1,网关,主机型,网关型,欺骗者,ARP欺骗攻击缘何泛滥,屡禁不止的ARP欺骗 ARP欺骗的目的是截获数据，例如银行卡、游戏帐户等，巨大的经济利益驱动了ARP欺骗的发展 ARP欺骗实现原

8、理简单，变种极多，通过病毒网页或木马程序即可传播，杀毒软件的更新不能及时跟上病毒的变种 ARP欺骗是由于协议缺陷造成的，业界鲜有良好的解决方案,17,判断ARP欺骗攻击-主机,怎样判断是否受到了ARP欺骗攻击？ 网络时断时续或网速特别慢 在命令行提示符下执行“arp d”命令就能好上一会 在命令行提示符下执行“arp a”命令查看网关对应的MAC地址发生了改变,18,判断ARP欺骗攻击-网关设备,网关设备怎样判断是否受到了ARP欺骗攻击？ ARP表中同一个MAC对应许多IP地址,19,课程内容,第一章：ARP协议原理 第二章：ARP欺骗攻击概述 第三章：常见ARP欺骗“应付”手段 第四章：锐捷

9、网络ARP欺骗解决方案,20,1、常见ARP欺骗“应付”手段-双向绑定,手工设置静态ARP表项 静态ARP优先级高于动态ARP表项 分别在网关设备与用户主机上配置静态ARP表项 工作维护量大，网关设备、用户都需要进行操作,21,可有效解决ARP欺骗,2、常见ARP欺骗“应付”手段-ARP防火墙,ARP防火墙 软件定期向网关发送Gratuitous ARP，以通告自己正确的ARP信息 发送频率过高严重占用网络带宽 发送频率过低则达不到防范目的 惹祸的ARP防火墙（摘录自部分著名院校网络中心通知） 中国科技大学：对于异常多arp请求，请禁用xx防火墙的arp攻击防御功能 中山大学：当打开xx防火墙

10、的arp防护功能时,防火墙会以每秒1000个arp包的向外广播,询问同一个地址 四川大学：装xx防火墙的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断,22,不能解决ARP欺骗,3、常见ARP欺骗“应付”手段-Cisco方案,DAI + PVLAN DAI为动态ARP检测，网关通过DHCP Snooping确保网关ARP表的正确性，即防止了网关型ARP欺骗的发生 PVLAN的isolate vlan方式将主机之间的通讯隔离，防止了主机型ARP欺骗的发生 网关设备与接入设备必须同时支持相应的功能，同时主机之间将不能互访，致使很多局域网通讯失效。,23,支持DAI功能的网关

11、设备,支持PVLAN的接入设备,可有效解决ARP欺骗,附：port-security能防范ARP吗,port-security处理流程 当一个未带IP头部的报文（二层）经过port-security端口时，校验其DLC的MAC部分与配置的安全MAC是否一致 当一个带IP头部（三层）的报文经过port-security端口时 校验其DLC的MAC是否与配置的安全MAC一致 校验其IP是否与配置的安全IP一致 port-security处理ARP报文流程 ARP报文不带IP头部 port-security校验其DLC的MAC是否与配置的安全MAC一致,24,port-security不能解决ARP

12、欺骗,课程内容,第一章：ARP协议原理 第二章：ARP欺骗攻击概述 第三章：常见ARP欺骗“应付”手段 第四章：锐捷网络ARP欺骗解决方案,25,锐捷网络完美解决ARP欺骗,锐捷网络坚持走自主研发的发展道路，在整个业界对ARP欺骗感到比较头疼时，率先推出了一系列成熟的ARP欺骗解决方案。 配置难吗？ 多数方案只需几条命令 成本高吗？ 锐捷低端接入S21系列交换机即可。S21自推出已经有六年之久，通过不断更新软件版本实现新的功能，严格保护用户的投资。,26,S21系列交换机诞生于六年前,两个概念,安全地址 主机真实的IP与MAC地址 在主机发送ARP报文前获得 ARP报文校验 检查ARP报文中S

13、enders MAC与安全地址中的MAC是否一致，否则丢弃 检查ARP报文中Senders IP与安全地址中的IP是否一致，否则丢弃,27,防ARP欺骗原理,28,流程图,安全地址获取,丢弃,转发,ARP报文校验,ARP报文S/T字段是否与安全地址一致,ARP报文,是,否,安全地址的获取是防ARP欺骗的前提，ARP报文校验是防ARP欺骗的手段,安全地址,定义 主机的真实信息 IP+MAC地址组成 获取方式 手工指定 port-security 自动获取 DHCP Snooping Dot1x认证,29,安全地址的处理,什么是ACE 交换机端口形成的硬件资源表项 通过硬件对报文的转发进行判断 端

14、口策略 未配置安全地址时 permit any any any any 配置安全地址后 permit mac1 ip1 any any permit mac2 ip2 any any permit macN ipN any any deny any any any any,30,ACE,丢弃,转发,0/1比特位,ARP-check 原理： 提取ACE中IP+MAC对的信息 在原有ACE（过滤IP+MAC）的基础上形成新的ACE（过滤ARP） 应用后端口策略 permit mac1 ip1 any any permit arp 源MAC1 源IP1 any any deny any any an

15、y any 注意事项：ARP-check功能开启后，如果ACE中不存在安全地址，则所有的ARP报文将被丢弃,ARP报文校验方式一（ARP-check）,31,交换机端口,ACE,丢弃,转发,0/1比特位,ARP报文校验二（DAI）,DAI 原理： 提取DHCP Snooping表中的IP+MAC信息 通过CPU过滤源MAC/源IP不在Snooping表中的ARP报文 注意事项：DAI功能开启开启后，如果DHCP Snooping表为空，则所有的ARP报文将被丢弃,32,交换机端口,CPU,丢弃,转发,0/1比特位,1.1、port-security + ARP-check方案概述,原理 通过p

16、ort-security功能将用户正确的IP与MAC写入交换机端口ACE 使用ARP-check功能校验ARP报文的正确性 应用场景 用户使用静态IP地址 无安全认证措施 缺点 需要收集所有用户的IP、MAC，将其配置到端口上 当用户接入端口发生变化时，需重新设置安全地址,33,网络拓扑 主要配置（10.x平台）,1.2、port-security + ARP-check方案实施,34,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,Fa 0/1,Fa 0/2,interface FastEthernet 0/1 switchport port-security mac-address 00d0.0000.0001 ip-address 192.168.0.1 switchport port-security arp-check auto ! interface FastEthernet 0/2 sw