ARP病毒防御方法分析报告资料.ppt

* ARP病毒防御方法分析报告 报告人： 日期：2008年7月22日 * 报 告 内 容 一、ARP病毒攻击方式、常见故障及安全威胁 二、三层交换机的解决方案 三、二层交换机、三层交换机联合解决方案 四、PC端的解决方案 五、IDS/IPS、ASA/PIX及ARP病毒排除 * 一、 ARP病毒攻击方式、常见故障及安 全威胁 1、ARP病毒攻击方式 （1）ARP工作机制 * （2）攻击者利用ARP协议自身存在的漏洞，制作伪装ARP的请求、应答和免费ARP报文，破坏PC、网关的ARP表及交换机的CAM表。从而达到欺骗PC、交换机及网关的目的。 ARP欺骗攻击 * Pc-A Arp-t MAC IP MAC-B IP-B MAC-C IP-C （3）攻击者向交换机发送大量ARP报文，消耗交换机大量CPU和内存资源，致使整个网络阻塞或交换机死机 Pc-B Arp-t MAC IP MAC-A IP-A MAC-C IP-C Pc-C Arp-t MAC IP MAC-A IP-A MAC-B IP-B MAC-B IP-C MAC-B IP-A 被ARP欺骗攻击后的ARP表 * 2、常见故障现象及安全威胁 （1）IP地址冲突 （2）PC不能正常上网或完全不能上网 （3）交换机CPU、内存利用率很高或交换机 死机 （4）中间人攻击 (5) 数据篡改 * 二、三层交换机的解决方案 1、适用环境 接入层及以上交换机需用CISCO 3550及以上交换机 2、配置命令-在接入层交换机上配置 （1）启用switchport port-security功能 (config-if)#switchport port-security (config-if)#switchport port-security mac-address sticky (config-if)#switchport port-security maximum 1 (config-if)#switchport port-security violation restrict (config)#errdisable recovery cause psecure- violation (config)#errdisable recovery interval 30(second) * (2)启用DHCP snooping功能 (config)#ip dhcp snooping (config)#ip dhcp snooping vlan vlan-number (config-if)#ip dhcp snooping trust (config-if)#no ip dhcp snooping trust (Default) * (config-if)#ip dhcp snooping limit rate 100(pps) (config)#ip source binding 0001.0001.0001 vlan 1 1.1.1.1 interface gi1/1 （手动绑定） (config)#ip dhcp snooping database 存储位置 (config)#errdisable recovery cause dhcp-rate-limit (config)#errdisable recovery interval 30 (second) * (config)#ip arp inspection vlan vlan-number (config)#ip arp inspection log-buffer entries 1024 （3）启用DAI功能 TO 1.1.1.1 1.1.1.3 VS MAC-B TO 1.1.1.3 1.1.1.1 VS MAC-B 非法ARP包，被丢弃 * (config)#ip arp inspection log-buffer logs 1024 interval 10 (config-if)#ip arp inspection trust (config-if)#ip arp inspection limit rate 20 (pps) (config)#errdisable recovery cause arp-inspection (