ARP解决方案配置.docVIP

  • 2
  • 0
  • 约1.58万字
  • 约 8页
  • 2016-10-20 发布于贵州
  • 举报
ARP解决方案配置

ARP解决方案及配置 目??录 第1章 防ARP攻击功能介绍? ?? ???1-1 1.1 ARP攻击简介? ?? ???1-1 1.2 ARP攻击防御? ?? ???1-3 1.2.2 DHCP Snooping功能? ?? ???1-3 1.2.3 ARP入侵检测功能? ?? ???1-4 1.2.4 ARP报文限速功能? ?? ???1-4 1.3 防ARP攻击配置指南? ?? ???1-5 第2章 配置举例? ?? ???2-1 2.1 组网需求? ?? ???2-1 2.2 组网图? ?? ???2-2 2.3 配置思路? ?? ???2-2 2.4 配置步骤? ?? ???2-3 2.5 注意事项? ?? ???2-6 防ARP攻击配置举例 关键词:ARP、DHCP Snooping 摘??要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。 缩略语:ARP(Address Resolution?Protocol,地址解析协议) ? ?? ???MITM(Man-In-The-Middle,中间人攻击) 第1章??防ARP攻击功能介绍 近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案,可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。 1.1??ARP攻击简介 按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。 校园网中,常见的ARP攻击有如下几中形式。 (1)? ?? ???仿冒网关 攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。 图1-1 “仿冒网关”攻击示意图 (2)? ?? ???欺骗网关 攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。 图1-2 “欺骗网关”攻击示意图 (3)? ?? ???欺骗终端用户 攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。 图1-3 “欺骗终端用户”攻击示意图 (4)? ?? ???“中间人”攻击 ARP “中间人”攻击,又称为ARP双向欺骗。如图1-4所示,Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。 图1-4 ARP“中间人”攻击示意图 (5)? ?? ???ARP报文泛洪攻击 恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。 1.2??ARP攻击防御 H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案。通过接入交换机上开启DHCP Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击,如表1-1。 表1-1 常见网络攻击和防范对照表 攻击方

文档评论(0)

1亿VIP精品文档

相关文档