|
關(guān)鍵詞:ARP ARP攻擊
摘 要:本文介紹了H3C公司ARP攻擊防御解決方案的思路����。同時(shí)闡述了ARP攻擊防御解決方案的技術(shù)細(xì)節(jié)和特點(diǎn)���。
縮略語(yǔ)清單:
|
Abbreviations縮略語(yǔ) |
Full spelling 英文全名 |
Chinese explanation 中文解釋 |
|
ARP |
Address Resolution Protocol |
地址解析協(xié)議 |
|
iMC服務(wù)器 |
|
AAA服務(wù)器(認(rèn)證����、授權(quán)��、計(jì)費(fèi)服務(wù)器) |
|
iNode客戶端 |
|
安裝在網(wǎng)絡(luò)終端設(shè)備(用戶PC)上的軟件��,用來(lái)發(fā)起認(rèn)證請(qǐng)求 |
|
DHCP Snooping |
|
DHCP監(jiān)聽(tīng)�,記錄通過(guò)二層設(shè)備申請(qǐng)到IP地址的用戶信息���。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
近來(lái)���, ARP攻擊問(wèn)題日漸突出�。嚴(yán)重者甚至造成大面積網(wǎng)絡(luò)不能正常訪問(wèn)外網(wǎng)�����,學(xué)校深受其害。H3C公司根據(jù)ARP攻擊的特點(diǎn)��,給出了有效的防ARP攻擊解決方案���。要解決ARP攻擊問(wèn)題��,首先必須了解ARP欺騙攻擊的類(lèi)型和原理,以便于更好的防范和避免ARP攻擊的帶來(lái)的危害����。
ARP協(xié)議是用來(lái)提供一臺(tái)主機(jī)通過(guò)廣播一個(gè)ARP請(qǐng)求來(lái)獲取相同網(wǎng)段中另外一臺(tái)主機(jī)或者網(wǎng)關(guān)的MAC的協(xié)議��。以相同網(wǎng)段中的兩臺(tái)主機(jī)A、B來(lái)舉例����,其ARP協(xié)議運(yùn)行的主要交互機(jī)制如下:
1 如果A需要向B發(fā)起通信,A首先會(huì)在自己的ARP緩存表項(xiàng)中查看有無(wú)B的ARP表項(xiàng)�。如果沒(méi)有,則進(jìn)行下面的步驟:
2 A在局域網(wǎng)上廣播一個(gè)ARP請(qǐng)求�����,查詢B的IP地址所對(duì)應(yīng)的MAC地址;
3 本局域網(wǎng)上的所有主機(jī)都會(huì)收到該ARP請(qǐng)求;
4 所有收到ARP請(qǐng)求的主機(jī)都學(xué)習(xí)A所對(duì)應(yīng)的ARP表項(xiàng);如果B收到該請(qǐng)求,則發(fā)送一個(gè)ARP應(yīng)答給A,告知A自己的MAC地址;
5 主機(jī)A收到B的ARP應(yīng)答后,會(huì)在自己的 ARP緩存中寫(xiě)入主機(jī)B的ARP表項(xiàng).
如上所述��,利用ARP協(xié)議���,可以實(shí)現(xiàn)相同網(wǎng)段內(nèi)的主機(jī)之間正常通信或者通過(guò)網(wǎng)關(guān)與外網(wǎng)進(jìn)行通信����。但由于ARP協(xié)議是基于網(wǎng)絡(luò)中的所有主機(jī)或者網(wǎng)關(guān)都為可信任的前提制定。導(dǎo)致在ARP協(xié)議中沒(méi)有認(rèn)證的機(jī)制�,從而導(dǎo)致針對(duì)ARP協(xié)議的欺騙攻擊非常容易����。
目前ARP攻擊中有如下三種類(lèi)型�����。我們根據(jù)影響范圍和出現(xiàn)頻率分別介紹如下:
ARP病毒通過(guò)發(fā)送錯(cuò)誤的網(wǎng)關(guān)MAC對(duì)應(yīng)關(guān)系給其他受害者�,導(dǎo)致其他終端用戶不能正常訪問(wèn)網(wǎng)關(guān)���。這種攻擊形式在校園網(wǎng)中非常常見(jiàn)�。見(jiàn)下圖:
圖1 網(wǎng)關(guān)仿冒攻擊示意圖
如上圖所示,攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報(bào)文��,欺騙同網(wǎng)段內(nèi)的其它主機(jī)��。從而網(wǎng)絡(luò)中主機(jī)訪問(wèn)網(wǎng)關(guān)的流量�,被重定向到一個(gè)錯(cuò)誤的MAC地址�,導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)���。
攻擊者發(fā)送錯(cuò)誤的終端用戶的IP+MAC的對(duì)應(yīng)關(guān)系給網(wǎng)關(guān),導(dǎo)致網(wǎng)關(guān)無(wú)法和合法終端用戶正常通信���。這種攻擊在校園網(wǎng)中也有發(fā)生,但概率和“網(wǎng)關(guān)仿冒”攻擊類(lèi)型相比�,相對(duì)較少����。見(jiàn)下圖:
圖2 欺騙網(wǎng)關(guān)攻擊示意圖
如上圖,攻擊者偽造虛假的ARP報(bào)文����,欺騙網(wǎng)關(guān)相同網(wǎng)段內(nèi)的某一合法用戶的MAC地址已經(jīng)更新����。網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址��,導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)�。
這種攻擊類(lèi)型��,攻擊者發(fā)送錯(cuò)誤的終端用戶/服務(wù)器的IP+MAC的對(duì)應(yīng)關(guān)系給受害的終端用戶��,導(dǎo)致同網(wǎng)段內(nèi)兩個(gè)終端用戶之間無(wú)法正常通信�。這種攻擊在校園網(wǎng)中也有發(fā)生,但概率和“網(wǎng)關(guān)仿冒”攻擊類(lèi)型相比,相對(duì)較少���。見(jiàn)下圖:
圖3 欺騙終端攻擊示意圖
如上圖����,攻擊者偽造虛假的ARP報(bào)文���,欺騙相同網(wǎng)段內(nèi)的其他主機(jī)該網(wǎng)段內(nèi)某一合法用戶的MAC地址已經(jīng)更新�。導(dǎo)致該網(wǎng)段內(nèi)其他主機(jī)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址,導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)。
這種攻擊類(lèi)型,攻擊者偽造大量不同ARP報(bào)文在同網(wǎng)段內(nèi)進(jìn)行廣播�����,導(dǎo)致網(wǎng)關(guān)ARP表項(xiàng)被占滿��,合法用戶的ARP表項(xiàng)無(wú)法正常學(xué)習(xí)�����,導(dǎo)致合法用戶無(wú)法正常訪問(wèn)外網(wǎng)�。主要是一種對(duì)局域網(wǎng)資源消耗的攻擊手段。這種攻擊在校園網(wǎng)中也有發(fā)生�,但概率和上述三類(lèi)欺騙性ARP攻擊類(lèi)型相比�����,相對(duì)較少����。如下圖:
圖4 ARP泛洪攻擊示意圖
通過(guò)對(duì)上述的ARP攻擊類(lèi)型的介紹����。我們可以很容易發(fā)現(xiàn)當(dāng)前ARP攻擊防御的關(guān)鍵所在:如何獲取到合法用戶和網(wǎng)關(guān)的IP-MAC對(duì)應(yīng)關(guān)系,并如何利用該對(duì)應(yīng)關(guān)系對(duì)ARP報(bào)文進(jìn)行檢查����,過(guò)濾掉非法ARP報(bào)文����。H3C公司有兩條思路來(lái)解決這一關(guān)鍵問(wèn)題���,即認(rèn)證模式和DHCP監(jiān)控模式�����。分別對(duì)用戶認(rèn)證的過(guò)程和IP地址申請(qǐng)過(guò)程的監(jiān)控���,獲取到合法用戶的IP-MAC對(duì)應(yīng)關(guān)系,從而解決不同環(huán)境下的ARP防攻擊問(wèn)題。
通過(guò)增強(qiáng)用戶的認(rèn)證機(jī)制來(lái)獲取上線用戶的IP-MAC對(duì)應(yīng)關(guān)系���,并且利用認(rèn)證的手段來(lái)確認(rèn)當(dāng)前用戶的合法性����。從而有效的解決難以獲取合法用戶的IP-MAC對(duì)應(yīng)關(guān)系的問(wèn)題����。同時(shí)通過(guò)事先在認(rèn)證服務(wù)器上配置網(wǎng)關(guān)的IP-MAC對(duì)應(yīng)關(guān)系的方式來(lái)集中管理網(wǎng)絡(luò)中存在的網(wǎng)關(guān)的IP-MAC信息。當(dāng)合法用戶上線時(shí)����,可以利用上述的兩個(gè)關(guān)鍵信息對(duì)網(wǎng)絡(luò)中存在的虛假ARP報(bào)文以過(guò)濾或者綁定合法的ARP信息,從而有效的防御ARP欺騙行為�����。H3C的防御手段充分的考慮了方案實(shí)施的適應(yīng)性要求��,對(duì)虛假ARP報(bào)文加以過(guò)濾或者綁定合法ARP信息的功能可以根據(jù)網(wǎng)絡(luò)的條件分開(kāi)使用。具體模式如下圖所示:
圖5 認(rèn)證模式示意圖
在用戶進(jìn)行802.1X認(rèn)證的過(guò)程中,通過(guò)iMC服務(wù)器下發(fā)預(yù)定的網(wǎng)關(guān)IP-MAC映射到iNode客戶端����,iNode客戶端在用戶PC上針對(duì)所有網(wǎng)卡查找匹配的網(wǎng)關(guān),并將匹配網(wǎng)關(guān)的IP-MAC映射關(guān)系在PC上形成靜態(tài)ARP綁定���,從而有效防止針對(duì)主機(jī)的網(wǎng)關(guān)仿冒ARP攻擊���。如下所示圖:
圖6 認(rèn)證模式之終端防護(hù)示意圖
H3C iNode客戶端����,通過(guò)同iMC服務(wù)器配合���,由管理員在iMC上設(shè)置正確的網(wǎng)關(guān)IP、MAC對(duì)應(yīng)列表���,并傳送至客戶端�����,客戶端無(wú)論當(dāng)前ARP緩存是何種狀態(tài),均按照iMC系統(tǒng)下發(fā)的IP�、MAC列表更新本地的ARP緩存,并周期性更新���,保證用戶主機(jī)網(wǎng)關(guān)MAC地址的正確性�,從而保證用戶主機(jī)報(bào)文發(fā)往正確的設(shè)備。詳細(xì)處理流程如下:
圖7 iNode設(shè)置本地ARP流程
i. iMC服務(wù)器上,由管理員預(yù)先設(shè)置正確的網(wǎng)關(guān)IP-MAC映射列表���;待iNode客戶端的認(rèn)證請(qǐng)求成功通過(guò)�,iMC服務(wù)器通過(guò)Radius報(bào)文將預(yù)設(shè)的網(wǎng)關(guān)IP-MAC列表下發(fā)到客戶PC的接入交換機(jī)上,再由接入交換機(jī)透?jìng)鹘o客戶PC上的iNode客戶端�����。
ii. iNode客戶端收到iMC服務(wù)器下發(fā)的網(wǎng)關(guān)IP-MAC映射列表后���,在客戶PC上針對(duì)所有網(wǎng)卡查找匹配的網(wǎng)關(guān)(客戶PC存在多個(gè)網(wǎng)卡的情況下����,iNode只匹配每個(gè)網(wǎng)卡的default gateway)��,然后依據(jù)iMC服務(wù)器下發(fā)的網(wǎng)關(guān)映射列表將匹配網(wǎng)關(guān)的IP-MAC映射在客戶PC上形成靜態(tài)ARP表項(xiàng)并更新本地ARP緩存����,從而保證客戶PC的數(shù)據(jù)報(bào)文發(fā)往正確的網(wǎng)關(guān)設(shè)備��;
iii. 為防止用戶再次上線過(guò)程中網(wǎng)關(guān)ARP信息被篡改��,iNode客戶端會(huì)根據(jù)iMC服務(wù)器下發(fā)的正確的網(wǎng)關(guān)IP-MAC映射信息周期性的更新本地ARP緩存���。
在用戶進(jìn)行802.1X認(rèn)證的過(guò)程中�,通過(guò)擴(kuò)展802.1X協(xié)議報(bào)文���,在eapol的response報(bào)文(code=1、type=2)中攜帶用戶PC的IP地址(iNode客戶端需選定“上傳IP地址”選項(xiàng)���,且推薦客戶PC上手工配置IP地址及網(wǎng)關(guān))�����,接入交換機(jī)通過(guò)監(jiān)聽(tīng)802.1X認(rèn)證過(guò)程的協(xié)議報(bào)文�����,將用戶PC的IP地址����、MAC地址和接入端口形成綁定關(guān)系,在接入交換機(jī)上建立IP-MAC-Port映射表項(xiàng)����,并據(jù)此對(duì)用戶發(fā)送的ARP/IP報(bào)文進(jìn)行檢測(cè),從而有效防止用戶的非法ARP/IP報(bào)文進(jìn)入網(wǎng)絡(luò)。如下所示圖:
圖8 認(rèn)證模式之接入綁定示意圖
i. 首先�����,H3C iNode客戶端通過(guò)802.1X協(xié)議向iMC服務(wù)器發(fā)起認(rèn)證�����,并在802.1X協(xié)議的Response報(bào)文中攜帶客戶PC的IP地址����。
ii. 接入交換機(jī)監(jiān)聽(tīng)客戶PC上傳的802.1X認(rèn)證報(bào)文,從客戶PC回應(yīng)的Response報(bào)文(code=1、type=2)中提取客戶PC的IP��、MAC����,待客戶認(rèn)證成功�����,將其與客戶PC的接入端口進(jìn)行綁定�,建立IP-MAC-Port映射表項(xiàng)(周期性更新和老化)���。根據(jù)這一表項(xiàng)����,交換機(jī)對(duì)客戶PC上行的ARP/IP報(bào)文進(jìn)行檢測(cè)��,過(guò)濾源IP/MAC不匹配表項(xiàng)的數(shù)據(jù)報(bào)文�,從而防止非法的攻擊報(bào)文進(jìn)入網(wǎng)絡(luò)�。
接入交換機(jī)通過(guò)監(jiān)控用戶的正常動(dòng)態(tài)IP地址獲取過(guò)程�����,獲取正常用戶的IP-MAC對(duì)應(yīng)關(guān)系在接入交換機(jī)上綁定����。接入交換機(jī)過(guò)濾掉所有不匹配綁定關(guān)系的ARP報(bào)文,來(lái)防止接入的用戶主機(jī)進(jìn)行ARP欺騙攻擊��。這種防攻擊手段能夠有效防御本文所描述的所有攻擊類(lèi)型(詳見(jiàn)1.2)�。業(yè)務(wù)流程如下圖:
圖9 DHCP SNOOPING模式示意圖
1. ARP入侵檢測(cè)機(jī)制
為了防止ARP中間人攻擊���,H3C接入交換機(jī)支持對(duì)收到的ARP報(bào)文判斷合法性�����。這是如何做到的呢���?H3C接入交換機(jī)可以動(dòng)態(tài)獲?。?��,DHCP snooping表項(xiàng))或者靜態(tài)配置合法用戶的IP-MAC對(duì)應(yīng)關(guān)系。并且在收到用戶發(fā)送到ARP報(bào)文時(shí)�,可以檢查報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與所獲取的合法用戶IP-MAC對(duì)應(yīng)關(guān)系表項(xiàng)是否匹配來(lái)判斷該報(bào)文是否為合法ARP報(bào)文����。通過(guò)過(guò)濾掉所有非法ARP報(bào)文的方式來(lái)實(shí)現(xiàn),所有ARP欺騙攻擊��。如下圖:
圖10 ARP入侵檢測(cè)功能示意圖
當(dāng)用戶為動(dòng)態(tài)IP地址分配環(huán)境時(shí)。接入交換機(jī)可以通過(guò)監(jiān)控用戶的IP地址申請(qǐng)過(guò)程,從而自動(dòng)學(xué)習(xí)到合法用戶的IP-MAC對(duì)應(yīng)關(guān)系���。并依據(jù)該表項(xiàng)實(shí)現(xiàn)對(duì)合法ARP報(bào)文的確認(rèn)和非法ARP報(bào)文的過(guò)濾。
那么這些動(dòng)態(tài)表項(xiàng)是如何形成的呢?當(dāng)開(kāi)啟DHCP Snooping功能后�,H3C接入交換機(jī)采取監(jiān)聽(tīng)DHCP-REQUEST廣播報(bào)文和DHCP-ACK單播報(bào)文的方法來(lái)記錄用戶獲取的IP地址等信息�����。目前����,H3C接入交換機(jī)的DHCP Snooping表項(xiàng)主要記錄的信息包括:分配給客戶端的IP地址、客戶端的MAC地址�����、VLAN信息���、端口信息�����、租約信息,如圖4 所示����。
圖11 DHCP Snooping表項(xiàng)示意圖
為了對(duì)已經(jīng)無(wú)用的DHCP Snooping動(dòng)態(tài)表項(xiàng)進(jìn)行定期進(jìn)行老化刪除,以節(jié)省系統(tǒng)的資源���,和減少安全隱患����,H3C接入交換機(jī)支持根據(jù)客戶端IP地址的租約對(duì)DHCP Snooping表項(xiàng)進(jìn)行老化���。具體實(shí)現(xiàn)過(guò)程為:當(dāng)DHCP Snooping至少記錄了一條正式表項(xiàng)時(shí)����,交換機(jī)會(huì)啟動(dòng)20秒的租約定時(shí)器,即每隔20秒輪詢一次DHCP Snooping表項(xiàng),通過(guò)表項(xiàng)記錄的租約時(shí)間、系統(tǒng)當(dāng)前時(shí)間與表項(xiàng)添加時(shí)間的差值來(lái)判斷該表項(xiàng)是否已經(jīng)過(guò)期。若記錄的表項(xiàng)租約時(shí)間小于系統(tǒng)當(dāng)前時(shí)間與表項(xiàng)添加時(shí)間的差值�����,則說(shuō)明該表項(xiàng)已經(jīng)過(guò)期����,將刪除該條表項(xiàng)���,從而實(shí)現(xiàn)DHCP Snooping動(dòng)態(tài)表項(xiàng)的老化。
需要注意的是:當(dāng)DHCP服務(wù)器端的租約設(shè)置為無(wú)限期或者很長(zhǎng)時(shí),會(huì)出現(xiàn)老化不及時(shí)的現(xiàn)象。
3. 靜態(tài)IP地址分配環(huán)境的工作機(jī)制
DHCP Snooping方式下,DHCP Snooping表只記錄了通過(guò)DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息。對(duì)于不能通過(guò)動(dòng)態(tài)IP地址獲取的部分主機(jī)以及打印機(jī)等服務(wù)器來(lái)說(shuō),DHCP snooping沒(méi)有自動(dòng)辦法獲取到這部分用戶的合法IP-MAC對(duì)應(yīng)關(guān)系,因此不能自動(dòng)加以綁定���。為了解決這個(gè)問(wèn)題,H3C的交換機(jī)也支持手工配置合法用戶的IP-MAC對(duì)應(yīng)關(guān)系�����,形成靜態(tài)合法用戶的IP-MAC表項(xiàng)���。��,如果用戶手工配置了固定IP地址����,其IP地址���、MAC地址等信息將不會(huì)被DHCP Snooping表記錄,因此不能通過(guò)基于DHCP Snooping表項(xiàng)的ARP入侵檢測(cè),導(dǎo)致用戶無(wú)法正常訪問(wèn)外部網(wǎng)絡(luò)���。
即:用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系�。靜態(tài)配置的IP-MAC表項(xiàng)擁有和動(dòng)態(tài)學(xué)習(xí)的DHCP Snooping表項(xiàng)的同樣功能�����。接入交換機(jī)可以依據(jù)配置的靜態(tài)表項(xiàng)實(shí)現(xiàn)對(duì)合法ARP報(bào)文的確認(rèn)����,和非法ARP報(bào)文的過(guò)濾�。從而可以很好的解決靜態(tài)IP地址分配環(huán)境下的部署問(wèn)題��。
4. ARP信任端口設(shè)置
在實(shí)際組網(wǎng)中�����,交換機(jī)的上行口會(huì)接收其他設(shè)備的請(qǐng)求和應(yīng)答的ARP報(bào)文��,這些ARP報(bào)文的源IP地址和源MAC地址并沒(méi)有在DHCP Snooping表項(xiàng)或者靜態(tài)綁定表中�。為了解決上行端口接收的ARP請(qǐng)求和應(yīng)答報(bào)文能夠通過(guò)ARP入侵檢測(cè)問(wèn)題��,交換機(jī)支持通過(guò)配置ARP信任端口�����,靈活控制ARP報(bào)文檢測(cè)功能。對(duì)于來(lái)自信任端口的所有ARP報(bào)文不進(jìn)行檢測(cè)�,對(duì)其它端口的ARP報(bào)文通過(guò)查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測(cè)。
5. DHCP信任端口設(shè)置
系統(tǒng)默認(rèn)所有接口下過(guò)濾DHCP Ack和Offer報(bào)文�����,以防止非法DHCP服務(wù)器對(duì)網(wǎng)絡(luò)的影響,但這樣就會(huì)過(guò)濾掉交換機(jī)上行接口接收到的合法DHCP服務(wù)器回應(yīng)的Ack和Offer報(bào)文����。為了解決這一問(wèn)題���,交換機(jī)支持配置DHCP Snooping信任端口�����,對(duì)于來(lái)自信任端口的所有DHCP報(bào)文不進(jìn)行檢測(cè)����,而其他非信任端口則只允許DHCP Discover和Request報(bào)文進(jìn)入���。
6. ARP限速功能
H3C低端以太網(wǎng)交換機(jī)還支持端口ARP報(bào)文限速功能��,來(lái)避免此類(lèi)攻擊對(duì)局域網(wǎng)造成的沖擊���。
開(kāi)啟某個(gè)端口的ARP報(bào)文限速功能后�����,交換機(jī)對(duì)每秒內(nèi)該端口接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)��,如果每秒收到的ARP報(bào)文數(shù)量超過(guò)設(shè)定值,則認(rèn)為該端口處于超速狀態(tài)(即受到ARP報(bào)文攻擊)���。此時(shí)����,交換機(jī)將關(guān)閉該端口����,使其不再接收任何報(bào)文,從而避免大量ARP報(bào)文攻擊設(shè)備。同時(shí)�����,設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能�����,對(duì)于配置了ARP限速功能的端口�,在其因超速而被交換機(jī)關(guān)閉后,經(jīng)過(guò)一段時(shí)間可以自動(dòng)恢復(fù)為開(kāi)啟狀態(tài)����。
按照ARP協(xié)議的設(shè)計(jì),網(wǎng)絡(luò)設(shè)備收到目的IP地址是本接口IP地址的ARP報(bào)文(無(wú)論此ARP報(bào)文是否為自身請(qǐng)求得到的)���,都會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中����。這樣可以減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信���,但也為“ARP欺騙”創(chuàng)造了條件���。
實(shí)際網(wǎng)絡(luò)環(huán)境,特別是校園網(wǎng)中���,最常見(jiàn)的ARP攻擊方式是“仿冒網(wǎng)關(guān)”攻擊����。即:攻擊者偽造ARP報(bào)文����,發(fā)送源IP地址為網(wǎng)關(guān)IP地址���,源MAC地址為偽造的MAC地址的ARP報(bào)文給被攻擊的主機(jī),使這些主機(jī)更新自身ARP表中網(wǎng)關(guān)IP地址與MAC地址的對(duì)應(yīng)關(guān)系����。這樣一來(lái),主機(jī)訪問(wèn)網(wǎng)關(guān)的流量�����,被重定向到一個(gè)錯(cuò)誤的MAC地址�����,導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)���。
圖12 網(wǎng)關(guān)仿冒攻擊示意圖
為了防御“仿冒網(wǎng)關(guān)”的ARP攻擊�����,H3C以太網(wǎng)交換機(jī)支持基于網(wǎng)關(guān)IP/MAC的ARP報(bào)文過(guò)濾功能:
將接入交換機(jī)下行端口(通常與用戶直接相連的端口)和網(wǎng)關(guān)IP進(jìn)行綁定����。綁定后�����,該端口接收的源IP地址為網(wǎng)關(guān)IP地址的ARP報(bào)文將被丟棄�����,其他ARP報(bào)文允許通過(guò)�。
將接入交換機(jī)級(jí)聯(lián)端口或上行端口和網(wǎng)關(guān)IP地址、網(wǎng)關(guān)MAC地址進(jìn)行綁定���。綁定后��,該端口接收的源IP地址為指定的網(wǎng)關(guān)IP地址�����,源MAC地址為非指定的網(wǎng)關(guān)MAC地址的ARP報(bào)文將被丟棄���,其他ARP報(bào)文允許通過(guò)。
惡意用戶可能通過(guò)工具軟件�����,偽造網(wǎng)絡(luò)中其他設(shè)備(或主機(jī))的源IP或源MAC地址的ARP報(bào)文,進(jìn)行發(fā)送���,從而導(dǎo)致途徑網(wǎng)絡(luò)設(shè)備上的ARP表項(xiàng)刷新到錯(cuò)誤的端口上��,網(wǎng)絡(luò)流量中斷�����。
為了防御這一類(lèi)ARP攻擊�����,增強(qiáng)網(wǎng)絡(luò)健壯性����,H3C以太網(wǎng)交換機(jī)作為網(wǎng)關(guān)設(shè)備時(shí)����,支持配置ARP報(bào)文源MAC一致性檢查功能。通過(guò)檢查ARP報(bào)文中的源MAC地址和以太網(wǎng)報(bào)文頭中的源MAC地址是否一致���,來(lái)校驗(yàn)其是否為偽造的ARP報(bào)文�。
如果一致,則該ARP報(bào)文通過(guò)一致性檢查�,交換機(jī)進(jìn)行正常的表項(xiàng)學(xué)習(xí);
如果不一致�,則認(rèn)為該ARP報(bào)文是偽造報(bào)文,交換機(jī)不學(xué)習(xí)動(dòng)態(tài)ARP表項(xiàng)的學(xué)習(xí)�,也不根據(jù)該報(bào)文刷新ARP表項(xiàng)��。
圖13 DHCP監(jiān)控模式典型組網(wǎng)
l 在接入交換機(jī)上開(kāi)啟DHCP snooping功能��,并配置與DHCP服務(wù)器相連的端口為DHCP snooping信任端口�����。
l 在接入交換機(jī)上為靜態(tài)IP地址分配模式的主機(jī)或者服務(wù)器配置對(duì)應(yīng)的IP靜態(tài)綁定表項(xiàng)���。
l 在接入交換機(jī)對(duì)應(yīng)VLAN上開(kāi)啟ARP入侵檢測(cè)功能�,并配置該交換機(jī)的上行口為ARP信任端口���。
l 在接入交換機(jī)的直接連接客戶端的端口上配置ARP報(bào)文限速功能�,同時(shí)全局開(kāi)啟因ARP報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能�。
圖14 認(rèn)證模式典型組網(wǎng)
1. 步驟一:開(kāi)啟dot1x認(rèn)證設(shè)備ARP攻擊防御功能
首先在設(shè)備上部署普通的dot1x認(rèn)證之外,在用戶接入VLAN內(nèi)部署ARP報(bào)文檢查即可過(guò)濾非法ARP報(bào)文���。同時(shí)可以在認(rèn)證設(shè)備上開(kāi)啟ARP限速功能����。
2. 步驟二:在iMC上選擇配置用戶網(wǎng)關(guān)
圖15 選擇配置用戶網(wǎng)關(guān)示意圖
3. 步驟三:在iMC上配置網(wǎng)關(guān)綁定關(guān)系
圖16 配置網(wǎng)關(guān)綁定關(guān)系示意圖
4. 步驟四:選擇立即生效
圖17 選擇立即生效示意圖
5. 步驟五:用戶正常上線
H3C推出的ARP攻擊防御解決方案,可以很好的緩解和解決校園網(wǎng)的ARP攻擊問(wèn)題����。同時(shí)擁有很強(qiáng)的適應(yīng)性,有利于現(xiàn)有校園網(wǎng)的設(shè)備利舊問(wèn)題����。
|
