ARP攻击防御典型配置案例资料.doc

目 录 第1章 ARP攻击防御功能介绍 1-1 1.1 ARP攻击简介 1-1 1.2 ARP攻击防御 1-4 1.2.1 DHCP Snooping功能 1-4 1.2.2 IP静态绑定功能 1-5 1.2.3 ARP入侵检测功能 1-5 1.2.4 ARP报文限速功能 1-5 1.2.5 CAMS下发网关配置功能 1-6 1.3 ARP攻击防御配置指南 1-6 1.4 支持ARP攻击防御功能的产品列表 1-8 第2章 ARP攻击防御配置举例 2-1 2.1 DHCP监控模式下的ARP攻击防御配置举例 2-1 2.1.1 组网需求 2-1 2.1.2 组网图 2-2 2.1.3 配置思路 2-2 2.1.4 配置步骤 2-2 2.1.5 注意事项 2-6 2.2 认证模式下的ARP攻击防御配置举例 2-7 2.2.1 组网需求 2-7 2.2.2 组网图 2-7 2.2.3 配置思路 2-8 2.2.4 配置步骤 2-8 2.2.5 注意事项 2-19 防ARP攻击配置举例 关键词：ARP、DHCP Snooping 摘 要：本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能，防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实际配置。 缩略语：ARP（Address Resolution Protocol，地址解析协议） MITM（Man-In-The-Middle，中间人攻击） ARP攻击防御功能介绍 近来，许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H3C公司根据ARP攻击的特点，提出了“全面防御，模块定制”的ARP攻击防御理念，并给出了两种解决方案。 DHCP监控模式下的ARP攻击防御解决方案 这种方式适合动态分配IP地址的网络场景，需要接入交换机支持DHCP Snooping功能。通过全网部署，可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式；且不需要终端用户安装额外的客户端软件，简化了网络配置。 认证方式下的ARP攻击防御解决方案 这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景，且只能防御“仿冒网关”的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配置，只需要客户端通过认证协议（802.1x）登录网络，认证服务器（如CAMS服务器）会识别客户端，并下发网关的IP/MAC对应关系给客户端，来防御“仿冒网关”攻击。 ARP攻击简介 按照ARP协议的设计，一个主机即使收到的ARP应答并非自请求得到的，也会将其自的ARP表中这样减少网络上过多的ARP数据通信，ARP欺骗 “仿冒网关”攻击示意图 欺骗网关 攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 “欺骗网关”攻击示意图 欺骗终端用户 攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机；使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。 “欺骗终端用户”攻击示意图 “中间人”攻击 ARP “中间人”攻击，又称为ARP双向欺骗。如图1-4所示，Host A和Host C通过Switch进行通信。此时，如果有恶意攻击者（Host B）想探听，分别给这两台主机发送ARP应答，， A 和 C之间看似直接实际上都是通过黑客所在的主机间接进行的担当的角色称作Man-In-The-Middle）攻击”。 ARP“中间人”攻击示意图 ARP报文泛洪攻击 恶意用户利用工具构造大量ARP报文发往交换机的某一端口，导致CPU负担过重，造成其他功能无法正常运行甚至设备瘫痪。 ARP攻击防御 H3C公司根据ARP攻击的特点，给出了DHCP监控模式下的ARP攻击防御解决方案和认证模式下的ARP攻击防御解决方案。前者通过接入交换机上开启DHCP Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能，可以防御常见的ARP攻击；后者不需要在接入交换机上进行防攻击配置，而需要通过CAMS服务器下发网关的IP/MAC对应关系给客户端，防