《DAI(动态ARP监控技术)和IP Source Guard》由会员分享,可在线阅读,更多相关《DAI(动态ARP监控技术)和IP Source Guard(14页珍藏版)》请在金锄头文库上搜索。
1、DAI(动态ARP监控技术)和IP Source Guard一、ARP Poisoning(ARP 毒化技术)ARP Tnile in B1MAC C. C. C-C了,但是现在PC-B这个攻击者作了 ARP毒化的处理,它会伪装网关给PC-A 发送一个免费ARP毒化PC-A的ARP的映射表项,让PC-A的ARP映射表项AHP Tabic in Ain i i=M&r R R R R映射为这个时候PC-A上网的流量就会送给PC-B,然后PC-B代理交给服务器,同样PC-B还会作一个毒化ARP的映射去 毒化网关的ARP说10.1.1.2的MAC地址是B.B.B.B,这样网关回的包也会绕 到PC-B
2、,这样去回的包都要受攻击者来控制。毒化的过程 (1)ARP 这种解析是后到者优先,当你们正常合法的映射已经完成时,攻击者就会作一个免费ARP的Replies来毒化你们的ARP的缓存。(2 )免费ARP :免费ARP有好处,也有坏处的。免费 ARP 好处:比如我一个 PC 的地址设置为 1.1.1.1,当我开机的时候 可能会弹出一个报错,什么MAC地址跟我的IP址重叠,这是怎么发现的 呢?比如PC开机就会发送一个免费ARP,免费ARP的内容是请问1.1.1.1 的 MAC 地址是多少,自己问自己 IP 地址的 MAC 地址是多少,它不希望 任何人可以回应这个,如果没有人回应 MAC 地址就没有重
3、叠,如果有人 回应了说我是1.1.1.1我的MAC地址是什么什么,这时PC就会报一个错 说这个 MAC 地址它的 IP 地址和我的重叠了,这是免费 ARP 的好处。免费ARP的坏处:ARP这种解析是后到者优先,当你们正常合法的映射 已经完成时,攻击者就会作一个免费 ARP 的 Replies 来毒化你们的 ARP 的缓存。二、启用DAI动态ARP监控技术能够抵御这种ARP毒化攻击( 1)能保护 ARP 毒化的攻击(2) DAI技术需要使用DHCP Snooping的绑定表,就是利用这个绑定表 的资源来判断这个 ARP 是正确的,还是有问题的( 3)这个绑定表是通过来追踪整个 DHCP 一个过程
4、构建起来的,了解到 是合法 IP 和 MAC 地址的映射,这样我基于这个绑定表作 DAI 抵御 ARP 的欺骗。( 4)会丢掉那些有问题的免费 ARP 的包(5 )会抵御由于ARP毒化所造成中间人攻击( 6 )对 ARP 的包进行限速,抵御端口的扫描攻击关于 DAI(1) DAI 关联每一个接口为 Trust 或 Untrust被配置为DAI的trust接口,就是所有ARP都不校验(3) 被配置为DAI的Un trust接口,它对所有ARP的包要通过DAI校验, 校验每一个ARP的包是不是映射正确,映射正确过,映射不正确丢 掉(4) DHCP Snooping 这个绑定表是非常重要的,因为我们
5、如何来确认什么是正确的IP和MAC映射就基于这个绑定表的内容来确认。(5 )一般面向普通客户的接口被配置成Un trust,上的接口配置成trust.三、DAI的配置swiR1R2(1 )依然的配置IP DHCP Snooping,依然要在某些VLAN上启用。R1(config)#int f0/0R1(config-if)#no shR2(config)#int f0/0 /R2 的这个接口手工配置一个 IP 地址R2(config-if)#ip add 10.1.1.2 255.255.255.0R2(config-if)#no shR2(config-if)#endSW1(config)#
6、vlan 2SW1(config-vlan)#exitSW1(config)#int range f0/1 , f0/2SW1(config-if-range)#switch mode accessSW1(config-if-range)#switch access vlan 2SW1(config-if-range)#exitSW1(config)#int vlan 2SW1(config-if)#ip add 10.1.1.254 255.255.255.0SW1(config-if)#end在交换机上配置 DHCP 服务器SW(config)#service dhcp / 默认为启用 D
7、HCP 服务 SW(config)#ip dhcp pool VLAN2SW(dhcp-config)#network 10.1.1.0 255.255.255.0SW(dhcp-config)#default-router 10.1.1.254SW(dhcp-config)#end下面让 R1 模拟一台 PC 客户端 R1(config)#int f0/0 R1(config-if)#ip address dhcp R1(config-if)#endR1#show ip interface briefRlHsh ip inter brieInterfaceIP- FiddressD炉Meth
8、odStatusProtocolFastEthernet0/0VESDHCPUPupSenaiO/aAun 日wwigiietiVESlinnetrjdninistrativeldownhwnFastEthernet0/1VESunetidni nis+rativlydondowjt下面开始DHCP Snooping的配置SW(config)#ip dhcp snooping /全局激活SW(config)#ip dhcp snooping vlan 2/在via n2上启用这个技术,此时所于VLAN2的所有接口都是Un trust,这 个实验不需要设置trust,因为连接客户端PC的交换机本
9、身就是DHCP 服务器(2 )在有的DHCP Snooping,有了绑定表的基础上,再配置DAISW(config)#ip arp inspection vlan 2 /启用 ARP 的监控技术SW(config)#int f0/24/把上行接口配置 TrustSW(config-if)#ip arp inspection trust交换机之间链路配置DAI信任端口,用户端口则在默认的非信任端口SW#show ip dhcp snooping bingding这个DHCP Snooping绑定表中现在只有R1的绑定条目,R2是我手工配置的绑定表,所在不在 DHCP Snooping 绑定表中R
10、1#ping 10.1.1.2这个时候R1 PING R2也是不通的,通不了的愿意是解 析不了。AlHping 16.1 1.2Ivpe escape sequence to abort.Sending 5, 193-byte ICHP Echos to 10,14/2. tiweout is 2 seconds:Success rate is 0 percent (0/3)RlHsh arpastEtherneia/0R1M|Tesr SVB-krtr L OL:lb (! h0?: JISW_I)R I -4 -1 HCP_SM(|P r NR_DI- NV 1 Eniid RRPs 丹訂
11、 an F dfi/P, ulnn 2.(11)017 Sjm 7.2d2BZW.1.1.2/eaie.7351W/lfl.l.1.3/01:16707 DIG Hen Mar 1 1W911Test.SN*T龄I .卿uTeU.SU*Har 1XSU MI-4-DHCP SNOOPING DENV 1 Invalid RRPs 【Res) on FaO/2. ulan 2.tL6ftl7.5iw7 2d?8/lfl 1 L 2/0B16 7351.9288/10.1 I 1/01-.1.(5:09 UTC Men Mat 1 199311f帕r 1 01l16j12.529: %SLI (M
12、I-4 DHCP SHOUPLMG DLNV. 1 liwalid flRPs RI on Fa0/2, Idii 2 (Le17.5da 了一28/10 1 丄裁飾IB 7351 购酣 10丄1阳肮:11 DTC Hon Unr 1 1 対3】I但这个网络是通的,比如我 ping 网关,如下图所示|R 1H p i ng 101ype escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.254, tiweout is 2 seconds: d tM !Success rate is B0 pcrccnt (4/5
13、). round-trip in/avg/tnaK - 1/2/4 ms Rl|有些是就手工配置的IP地址,就是没有映射 怎么办呢?我们可以手工配置ARP 的映射,通过ARP的访问控制列表来现实。R2#show arp /R2 的 MAC 地址是 0017.5aa7.2d28SW(config)#arp access-list testSW(config-arp-nac)#permit ip host 10.1.1.2 mac host 0017.5aa7.2d28/这是手工配置的 ARP 访问控制列表,其实也就是作一个手工的映射。SW(config)#ip arp inspection filter test vlan 2 /相当于把这个手工的映射应用到 VLAN 2 上面。IlnUrnm 10 1 J 2RlHping 1H, 1.1.2h - I 雹!ll II 丨 r J : i- : LiR1#ping 10.1.1.2 这时 PING R2 就可以通了。Type escnDe sequence to abort,Internetl.fl.1.1.30018.13519280flRPflFastFtherne10/0Internet10.1.1.2549 0Olci.2fdc.f3tlAftP
