DCN-TS16ARP欺骗与DCN防御手段(v1.1)教程方案.ppt

DCN-TS16 ARP欺骗与DCN防御手段 Version 1.0 学习目标 学完本课程，您应该能够： 深刻理解ARP协议原理及其攻击手段 深刻理解相应的防御手段及其原理 Arp Guard Dhcp Snooping Binding ARP Binding UserControl Binding Dot1x Anti-Arpscan 熟练掌握相关协议的配置、特点及其针对点 掌握相关协议的分析及TroubleShooting 课程内容 ARP协议介绍 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。 IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。 ARP的工作原理 ARP的工作原理： 1. 首先，每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。 2. 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 3. 网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址； 4. 源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 RARP的工作原理 RARP的工作原理： 1. 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址； 2. 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址； 3. 如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用； 4. 如果不存在，RARP服务器对此不做任何的响应； 5. 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。 ARP报文结构 ARP协议报文--Request ARP协议报文--Reply ARP协议报文--Gratuitous 常见的ARP攻击手段 ARP扫描 网关欺骗 单播Request方式 单播Reply方式 广播Request方式 主机欺骗 单播Request方式 单播Reply方式 广播Request方式 ARP攻击手段—ARP扫描 ARP攻击手段--网关(主机)欺骗/单播Request ARP攻击手段--网关(主机)欺骗/单播Reply ARP攻击手段--网关欺骗--广播Request 课程内容 Arp-Guard--介绍 ARP 协议的设计存在严重的安全漏洞，任何网络设备都可以发送ARP 报文通告IP 地址和MAC 地址的映射关系。这就为ARP 欺骗提供了可乘之机，攻击者发送ARP request报文或者ARP reply 报文通告错误的IP 地址和MAC 地址映射关系，导致网络通讯故障。 ARP Guard 功能常用于保护网关不被攻击，如果要保护网络内的所有接入PC不受ARP欺骗攻击，需要在端口配置大量受保护的ARP Guard 地址，这将占用大量芯片FFP 表项资源，可能会因此影响到其它应用功能，并不适合。 Arp-Guard--原理 主要攻击形式（如上图）： ARP 欺骗的危害主要表项为两种形式：1、PC4 发送ARP 报文通告PC2 的IP 地址映射为自己的MAC 地址，将导致本应该发送给PC2 的IP 报文全部发送到了PC4，这样PC4 就可以监听、截获PC2 的报文；2、PC4 发送ARP 报文通告PC2 的IP 地址映射为非法的MAC 地址，将导致PC2 无法接收到