ARP问题解决方案 (2).ppt

《ARP问题解决方案 (2).ppt》由会员分享，可在线阅读，更多相关《ARP问题解决方案 (2).ppt（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、锐捷高校锐捷高校ARP问题解决方案问题解决方案教育行业部教育行业部2008年年11月月提 纲ARP攻击基础1锐捷防ARP攻击解决方案3ARP攻击的常用防范措施2友商防ARP解决方法对比43什么是ARPARP（Address Resolution Protocol）简单的说，ARP就是IP和MAC的对应关系ARP原理ARP请求某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，进行数据传输如果未找到，则广播一个ARP请求报文ARP应答网上所有主机包括B都收到ARP请求，理想情况是只有主机B向主机A发回一个ARP响应报文，其中包含有B的MAC地址存在风险不幸的

2、是，网内所有的主机均可向A发回一个ARP响应报文，并且可以随意修改ARP响应报文中的IP和MAC3什么是ARP攻击ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞攻击者只要持续不断的发出伪造的ARP响应报文就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击ARP攻击的危害主要存在于局域网网络中如果局域网中有一个人感染ARP病毒，则感染该ARP病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障ARP攻击的主要现象上网速度慢网络上有大量ARP报文某一区域不能上网或

3、时通时断同样配置只有某一台机器不能上网正在使用某一类应用的PC依次掉线或时通时断不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框，等等ARP攻击的主要形式ARP欺骗攻击欺骗攻击欺骗主机攻击冒充网关攻击欺骗网关攻击中间人攻击ARP泛洪攻击泛洪攻击 消耗带宽攻击拒绝服务攻击ARP溢出攻击 ARP扫描攻击扫描攻击IP地址冲突地址冲突单播型的IP地址冲突 广播型的IP地址冲突虚拟主机攻击虚拟主机攻击欺骗主机攻击PC B攻击者：攻击者：发送发送ARP欺骗欺骗网关网关MAC A192.168.10.3 MAC C192.168.10.2 MAC B发送发送ARP响应，告诉：响应

4、，告诉：对应的对应的MAC是是MAC CARP表刷新对应的是表刷新对应的是MAC C:MACC主机外出的发送到主机外出的发送到网关的流量实际发网关的流量实际发送给攻击者送给攻击者MAC CPC B攻击者：攻击者：发送发送ARP欺骗欺骗发送发送ARP响应，告诉：响应，告诉：对应的对应的MAC是是MAC CARP表刷新，对应的是表刷新，对应的是MAC C：192.168.10.2 MAC C网关返回的给网关返回的给pc B的流量被网关转的流量被网关转发给攻击者发给攻击者网关网关MAC A192.168.10.3 MAC C192.168.10.2 MAC BPC B上网的流量，上网的流量，通过默认

5、网关发送通过默认网关发送给网关给网关欺骗网关攻击发送发送ARP响应，告诉：响应，告诉：对应的对应的MAC是是MAC CPC B攻击者：攻击者：发送发送ARP欺骗欺骗MAC AMAC CMAC B发送发送ARP响应，告诉：响应，告诉：对应的对应的MAC是是MAC CARP表刷新，对应表刷新，对应的是的是MAC C发送到网关的流量发送到网关的流量均发到攻击者均发到攻击者MAC CARP表刷新，对应表刷新，对应的是的是MAC C中间人攻击攻击者再把流攻击者再把流量转发给真正量转发给真正的网关的网关MAC A主机主机DMac:MAC D主机主机CMac:MAC C主机主机BMac:MAC B主机主机A

6、Mac:MAC A网关网关EMac：E3、网关、网关E被错误被错误 ARP表充满，表充满，导致无法更新维护正常导致无法更新维护正常ARP表表IPMAC192.168.10.1MAC A192.168.10.2MAC B192.168.10.3MAC C192.168.10.4MAC D192.168.10.NMAC N1、发送大量、发送大量ARP请求报文请求报文2、网关、网关E的的CPU利用率上升，难利用率上升，难以响应正常服务请求。以响应正常服务请求。2、发送大量虚假的、发送大量虚假的ARP响应报文响应报文ARP泛洪攻击1、消耗网络带宽资源。、消耗网络带宽资源。ARP扫扫描往往是进一步攻击的

7、前奏。描往往是进一步攻击的前奏。ARP泛洪攻击攻击主机持续把伪造的MAC-IP映射对发给受攻击主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含：通过不断发送伪造的ARP广播数据包使得交换交换机忙于处理广播数据包而耗尽网络带宽令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断用虚假的地址信息占满主机的ARP高速缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP溢出攻击主机ARP缓存溢出交换机CAM表溢出ARP泛洪攻击不是以盗取用户数据为目的，它是以破坏网络为目的，属于损人不利己的行为提 纲 ARP

8、攻击基础1锐捷防ARP攻击解决方案3ARP攻击的常用防范措施2友商防ARP解决方法对比4ARP防御的网络设备网关网关接入交换机接入交换机192.168.1.1192.168.1.2192.168.1.3192.168.1.4192.168.1.5ARP欺骗发生在PC主机到网关，包括的网元有：客户端 接入交换机 网关PC主机主机;PC主机主机;PC主机主机;PC主机主机;客户端ARP防御手段1主机手动绑定ARP 表优点最节省成本的方式 缺点 配置麻烦，主机需要通信的目标很多，不可能一个一个都绑定容易失效，这种方法进行的绑定，一拔掉网线或者关机、注销就全部失效了，如果想继续使用，就需要重新绑定只能

9、进行主机端的防御，如果网关遭欺骗则无能为力主机端手动绑定也是只能实现部分防御，需要与其他方法结合来完善原理每个主机都不停地发送免费ARP Response广播，来告诉别人自己的IP和MAC的绑定关系优点硬件无关性缺点如果攻击广播报文频率提升，ARP问题重现主机ARP 表更新频繁，容易掉线客户端ARP防御手段2主机安装ARP防御软件交换机ARP防御手段ARP欺骗防御16绑定用户正确的IP和MAC地址检查ARP报文中的IP和MAC第一步第一步：第二步第二步：ARP报文报文Sender IPSend MAC符合符合N丢弃丢弃Y通过通过关键是如何建立真实的关键是如何建立真实的IP-MAC表表 交换机功

10、能支持在端口设置安全地址支持在端口做ARP CHECK优点成本低缺点工作量大，维护不方便防范范围有限（到端口）无法适应DHCP环境交换机防御ARP 欺骗1接入交换机手动绑定IP/MAC网关安全交换机在端口检查ARP报文，丢弃不符合端口绑定信息的ARP报文优点自动化实现ARP绑定部署简单缺点适合于动态IP环境，如在静态IP环境则回归手动绑定的原始状态网关安全交换机DHCP 服务器DHCP请求DHCP响应DHCP Snooping建立ARP数据库交换机防御ARP 欺骗2动态ARP检查DAI交换机支持功能支持DHCP SNOOPING功能支持动态ARP检查（DAI）功能PC B攻击者：攻击者：发送发

11、送ARP欺骗欺骗网关网关MAC A192.168.10.3 MAC C192.168.10.2 MAC B发送发送ARP响应，告诉：响应，告诉：对应的对应的MAC是是MAC CARP表项重网关对应的依旧是表项重网关对应的依旧是MAC A:MAC A交换机非上联接口打开防网交换机非上联接口打开防网关关ARP欺骗功能，过滤用户欺骗功能，过滤用户对网关对网关ip的非法的非法arp响应响应下联口有对指定网关下联口有对指定网关的的arp响应，响应，deny！交换机防御ARP 欺骗3接入交换机手动绑定网关优点：操作简单缺点：只能防冒充网关攻击，防范范围有限（到端口）交换机功能支持防网关欺骗功能作用防冒充网

12、关攻击交换机支持功能支持802.1x优点认证过程中自动绑定IP-MAC动/静态IP环境皆可缺点防范范围受限（到端口）网关安全交换机802.1x服务器1x认证请求用户的IP/MAC信息IP授权交换机防御ARP 欺骗4结合802.1x技术PC B攻击者：攻击者：发送发送ARP欺骗欺骗发送发送ARP响应，响应，告诉：对应的告诉：对应的MAC是是MAC C网关绑定主机正确的网关绑定主机正确的ipmac关系：关系：Ip Bmac BIp Cmac CIp Nmac N网关网关MAC A192.168.10.3 MAC C192.168.10.2 MAC BPC B上网上网的流量，通的流量，通过默认网关过

13、默认网关发送给网关发送给网关用户的用户的arp信息已经在网关的信息已经在网关的arp表项中，网关不再学习已表项中，网关不再学习已存在表项的信息存在表项的信息网关返回给网关返回给PC B的流量被网关正确的流量被网关正确地发送给地发送给PC B网关防御ARP 欺骗手段网关绑定主机IP/MAC优点：成本低缺点：工作量大维护不方便；只能防欺骗网关攻击，不适应DHCP环境作用防欺骗网关攻击交换机ARP防御手段ARP泛洪攻击防御交换机支持功能支持ARP流限速支持在端口下限速或者在全局下限速网关安全交换机DHCP 服务器DHCP请求DHCP响应DHCP Snooping建立ARP数据库提 纲 ARP攻击基础

14、1锐捷防ARP攻击解决方案3ARP攻击的常用防范措施2友商防ARP解决方法对比4利用交换机防御ARP攻击方案静态IP环境在接入交换机端口控制主机发送ARP欺骗报文在交换机端口设置安全地址在端口打开arp check，只允许合法ARP报文通过防主机欺骗和网关欺骗攻击锐捷S21/S23/S26/S29/S32/S37/S5760/S76/S86支持在接入交换机端口下过滤假冒网关的ARP应答在下联端口设置anti-arp-spoofing，丢弃冒充网关的ARP报文防冒充网关攻击S21/S23/S26/S32/S37/S5760支持在网关交换机上绑定各主机的ARP表项（可选）在交换机上进行ARP攻击流

15、限速开启ARP抗攻击（arp-guard）识别、隔离和清除ARP攻击进行ARP限速防ARP泛洪攻击（含ARP DOS攻击）、ARP扫描攻击S23/S26/S29/S32/S37/S57/S76/S86支持利用交换机防御ARP攻击方案动态IP环境在交换机上开启DHCP SNOOPING建立ARP数据库在网关和接入交换机上开启动态ARP检查DAI依据ARP数据库过滤ARP报文防主机欺骗攻击和网关欺骗攻击限制端口ARP报文数量，防ARP泛洪攻击S21/S23/S26/S29/S32/S37/S57/S76/S86支持在交换机上进行ARP攻击流限速开启ARP抗攻击（arp-guard）识别、隔离和清除

16、ARP攻击进行ARP限速防ARP泛洪攻击（含ARP DOS攻击）、ARP扫描攻击S23/S26/S29/S32/S37/S57/S76/S86支持SMP防ARP方案：ARP三重立体防御解决方案可信ARP列表用户IP&MAC绑定信息网关IP&MAC信息SAMSMP.eduS8610S5760S5750接入层汇聚层核心层S2126GS2126GS2126GS2126GARP欺骗攻击欺骗网关攻击欺骗主机攻击仿冒网关攻击中间人攻击ARP泛洪攻击 消耗带宽攻击拒绝服务攻击ARP溢出攻击 IP地址冲突单播型的IP地址冲突 广播型的IP地址冲突ARP扫描攻击虚拟主机攻击ARP三重立体防御客户端防御S2621

17、26G运行SU的用户PCSAMSMP.eduInternetRG-S8614攻击者我是网关我是网关绑定有绑定有SMP.edu下发的网关下发的网关IP/MAC信息信息ARP三重立体防御交换机非法报文过滤S262126G用户用户 BSAMSMP.eduInternetRG-S8614攻击者我是用户我是用户 B端口绑定有端口绑定有SMP.edu下发的用户下发的用户A的的IP/MAC绑定信息绑定信息运行SU的用户PC用户用户 AARP三重立体防御网关防御S262126G用户用户 BSAMSMP.eduInternetRG-S8614攻击者我是用户我是用户 B网关绑定有网关绑定有SMP.edu下下发的用

18、户发的用户B的可信任的可信任ARP表项：表项：MAC IP 端口端口运行SU的用户PCSMP防ARP方案：网关SU两重防御网关SUSMA.edu防御ARP仿冒网关攻击欺骗网关攻击中间人攻击交换机防御ARPARP泛洪攻击不能防御主机欺骗主机攻击可信ARP列表网关IP&MAC信息SAMSMP.eduS8610S5760S5750接入层汇聚层核心层友商设备友商设备友商设备友商设备SMP防ARP方案：接入交换机SU两重防御网关SUSMA.edu防御ARP欺骗主机攻击仿冒网关攻击中间人攻击交换机防御ARPARP泛洪攻击不能防御欺骗网关攻击网关IP&MAC信息SAMSMP.eduS8610接入层汇聚层核心

19、层友商设备友商设备S2126GS2126GS2126GS2126G用户IP&MAC绑定信息提 纲 ARP攻击基础1锐捷防ARP攻击解决方案3ARP攻击的常用防范措施2友商防ARP解决方法对比4Cisco防ARP方法交换机防ARP安全端口DAI，配合DHCP SNOOPING利用DHCP SNOOPING建立的ARP数据库，过滤ARP包防主机欺骗攻击和网关欺骗攻击限制端口ARP报文数量，防ARP泛洪攻击IP Source Guard，配合DHCP SNOOPING，基于端口识别ARP报文是否是ARP欺骗H3C防ARP方法交换机防ARPARP CHECK允许合法ARP报文通过防主机欺骗和网关欺骗攻

20、击ARP DETECTION利用DHCP SNOOPING建立的ARP数据库，过滤ARP报文防主机欺骗攻击和网关欺骗攻击限制端口ARP报文数量，防ARP泛洪攻击核心交换机支持“授权ARP”建立不被攻击者改动的ARP表9055/7500/5600/5500/5510/5000/3600ARP源抑制限制ARP攻击流，防泛洪攻击ARP源地址检查识别ARP报文是否是ARP欺骗支持“一键绑定”E126A/S3100/S3600/S5000/S5100，快速配置静态ARPCAMS下传网关IP+MAC绑定到客户端在网关建立用户IP+MAC的授权ARP表神码防ARP方法交换机访问管理AM类似安全地址arp c

21、heck，防欺骗主机和欺骗网关攻击ARP Guard功能类似anti-arp-spoofing，防冒充网关攻击DHCP SNOOPING建立ARP数据库，实现端口地址动态绑定Anti-arpscanARP限速，防ARP泛洪攻击、防ARP扫描攻击DCBI静态地址环境，DCBI下发用户IP+MAC到客户端动态地址环境，接入交换机上传用户IP+MAC到DCBI防ARP方案厂商对比表防防ARPARP功能功能锐捷锐捷H3CH3C神码神码CiscoCisco作用作用端口安全地址安全地址端口绑定AM功能安全端口防欺骗主机和欺骗网关攻击端口ARP包检查ARP-CHECKARP CHECK无建立ARP数据库DH

22、CP SNOOPINGDHCP SNOOPINGDHCP SNOOPINGDHCP SNOOPING防欺骗主机和欺骗网关攻击，防泛洪攻击动态ARP包检查DAIARP Detection无DAI防网关ARP欺骗Anti-arp-spoofing无ARP Guard无防冒充网关攻击ARP防攻击ARP-Guard无无无识别、隔离和清楚ARP攻击源，防泛洪攻击，防扫描攻击ARP流限速NFPP，DAIARP源抑制，ARP DetectionAnti-arpscan无防泛洪攻击ARP源地址检查无ARP源地址检查无ARP源地址检查判断ARP源地址的真实性，防ARP欺骗特色ARP表可信ARP表授权ARP无无建立不被攻击者更改的ARP表，防ARP欺骗全局安全系统GSN实现三重立体防ARPCAMS实现网关和客户端两层，交换机通过ARP SNOOPING学习用户IP+MAC静态地址，DCBI把用户IP+MAC下发交换机；动态地址，交换机把用户IP+MAC发给DCBI无通过网关、接入交换机、用户端三层实现全局自动防ARP其它交换机支持“一键绑定”实现快速静态ARP绑定谢谢 谢！谢！