DCN-TS16ARP欺骗与DCN防御手段(v11)

内部资料，未经授权严禁外传神州数码客服中心DCN-TS16ARP欺骗与DCN防御手段Version1.0www.dcnetworks.com.cn2学习目标学完本课程，您应该能够：•深刻理解ARP协议原理及其攻击手段•深刻理解相应的防御手段及其原理ArpGuardDhcpSnooping–BindingARP–BindingUserControl–BindingDot1xAnti-Arpscan•熟练掌握相关协议的配置、特点及其针对点•掌握相关协议的分析及TroubleShootingwww.dcnetworks.com.cn3课程内容第一章ARP协议原理及其攻击手段第二章DCN防御手段及原理第三章DCN防御协议配置第四章典型配置案例www.dcnetworks.com.cn4ARP协议介绍ARP，全称AddressResolutionProtocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。www.dcnetworks.com.cn5ARP的工作原理ARP的工作原理：•1.首先，每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。•2.当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。•3.网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；•4.源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。www.dcnetworks.com.cn6RARP的工作原理RARP的工作原理：•1.发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；•2.本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；•3.如果存在，RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用；•4.如果不存在，RARP服务器对此不做任何的响应；•5.源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。www.dcnetworks.com.cn7ARP报文结构硬件类型协议类型硬件地址长度协议长度操作类型发送方的硬件地址（0-3字节）源物理地址（4-5字节）源IP地址（0-1字节）源IP地址（2-3字节）目标硬件地址（0-1字节）目标硬件地址（2-5字节）目标IP地址（0-3字节）www.dcnetworks.com.cn8ARP协议报文--Requestwww.dcnetworks.com.cn9ARP协议报文--Replywww.dcnetworks.com.cn10ARP协议报文--Gratuitouswww.dcnetworks.com.cn11常见的ARP攻击手段ARP扫描网关欺骗•单播Request方式•单播Reply方式•广播Request方式主机欺骗•单播Request方式•单播Reply方式•广播Request方式www.dcnetworks.com.cn12ARP攻击手段—ARP扫描www.dcnetworks.com.cn13ARP攻击手段--网关(主机)欺骗/单播Requestwww.dcnetworks.com.cn14ARP攻击手段--网关(主机)欺骗/单播Replywww.dcnetworks.com.cn15ARP攻击手段--网关欺骗--广播Requestwww.dcnetworks.com.cn16课程内容第一章ARP协议原理及其攻击手段第二章DCN防御手段及原理第三章DCN防御协议配置第四章典型配置案例www.dcnetworks.com.cn17Arp-Guard--介绍ARP协议的设计存在严重的安全漏洞，任何网络设备都可以发送ARP报文通告IP地址和MAC地址的映射关系。这就为ARP欺骗提供了可乘之机，攻击者发送ARPrequest报文或者ARPreply报文通告错误的IP地址和MAC地址映射关系，导致网络通讯故障。ARPGuard功能常用于保护网关不被攻击，如果要保护网络内的所有接入PC不受ARP欺骗攻击，需要在端口配置大量受保护的ARPGuard地址，这将占用大量芯片FFP表项资源，可能会因此影响到其它应用功能，并不适合。www.dcnetworks.com.cn18Arp-Guard--原理主要攻击形式（如上图）：•ARP欺骗的危害主要表项为两种形式：1、PC4发送ARP报文通告PC2的IP地址映射为自己的MAC地址，将导致本应该发送给PC2的IP报文全部发送到了PC4，这样PC4就可以监听、截获PC2的报文；2、PC4发送ARP报文通告PC2的IP地址映射为非法的MAC地址，将导致PC2无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP欺骗，将导致整个网络瘫痪。防御手段：•我们利用交换机的过滤表项保护重要网络设备的ARP表项不能被其它设备假冒。基本原理就是利用交换机的过滤表项，检测从端口输入的所有ARP报文，如果ARP报文的源IP地址是受到保护的IP地址，就直接丢弃报文，不再转发。L3交换机PC1PC2PC3PC4PC5PC6HUBABCDwww.dcnetworks.com.cn19DHCPSnooping--介绍（1）防伪装DHCPServer：•DHCPSnooping最初的应用是为了防止用户私设DHCP服务器，通过启用DHCPSnooping，将交换机上各端口定义为Trust接口和Untrust接口，在Untrust接口判断是否有DHCPServer才能发送的DHCPOFFER、DHCPACK、DHCPNAK报文，如果截获到这些报文，将发出警告并做出相应反应（shutdown该接口或者下发blockhole）。防DHCP过载攻击：•DHCPSnooping要对信任端口和非信任端口做DHCP收包限速，防止过多的DHCP报文攻击CPU，实现了防止DHCP过载攻击，防止过多的DHCP报文耗尽CPU资源。记录DHCP绑定数据：•DHCPSnooping在转发DHCP报文的同时，记录DHCPSERVER分配的绑定数据，并可以把绑定数据上载到指定的服务器进行备份。添加绑定ARP：•DHCPSnooping捕获到绑定数据之后，可以根据绑定数据中的参数添加静态绑定ARP，这样可以防止交换机的ARP表项欺骗。www.dcnetworks.com.cn20DHCPSnooping--介绍（2）添加信任用户:•DHCPSnooping捕获到绑定数据之后，可以根据绑定数据中的参数添加添加信任用户表项，这样这些用户就可以不经过DOT1X认证而访问所有资源。自动恢复:•交换机shutdown端口或者下发blockhole一段时间后，交换机应主动恢复该端口或源Mac的通讯，同时通过syslog发送信息到LogServer。LOG功能:•交换机检测发现异常收包时；或者自动恢复时，应自动发送syslog信息到LogServer。www.dcnetworks.com.cn21DHCPSnooping—原理实现机制：DHCPSnooping通过动态监控客户端从DHCP服务器获取地址的过程（或者手工静态绑定），将客户端的IP、MAC关联到具体的交换机端口，并将该绑定关系下发给驱动，只有符合该绑定关系的ARP报文交换机才会转发，从而实现防ARP攻击。注意事项：•必须保证手工静态绑定及第一次动态获取IP、MAC的正确性和有效性•不能阻止以符合绑定关系的IP、MAC为源的网段扫描，请注意结合Anti-Arpscan使用www.dcnetworks.com.cn22Anti-Arpscan--介绍ARP扫描是一种常见的网络攻击方式。为了探测网段内的所有活动主机，攻击源将会产生大量的ARP报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源；攻击源甚至有可能通过伪造的ARP报文而在网络内实施大流量攻击，使网络带宽消耗殆尽而瘫痪。而且ARP扫描通常是其他更加严重的攻击方式的前奏，如病毒自动感染，或者继而进行端口扫描、漏洞扫描以实施如信息窃取、畸形报文攻击，拒绝服务攻击等。由于ARP扫描给网络的安全和稳定带来了极大的威胁，所以防ARP扫描功能将具有重大意义。DCN系列交换机防ARP扫描的整体思路是若发现网段内存在具有ARP扫描特征的主机或端口，将切断攻击源头，保障网络的安全。www.dcnetworks.com.cn23Anti-Arpscan--原理实现机制：有两种方式来防ARP扫描：基于端口和基于IP。基于端口的ARP扫描会计算一段时间内从某个端口接收到的ARP报文的数量，若超过了预先设定的阈值，则会down掉此端口。基于IP的ARP扫描则计算一段时间内从网段内某IP收到的ARP报文的数量，若超过了预先设置的阈值，则禁止来自此IP的任何流量，而不是down掉与此IP相连的端口。此两种防ARP扫描功能可以同时启用。端口或IP被禁掉后，可以通过自动恢复功能自动恢复其状态。注意事项：•为了提高交换机的效率，可以配置受信任的端口和IP，交换机不检测来自受信任的端口或IP的ARP报文，这样可以有效地减少交换机的负担。•如果PC1伪造PC2发起网段扫描，Anti-Arpscan（基于IP方式）可能会将PC2给封掉，所以，请注意结合其他ARP防御手段一起使用。www.dcnetworks.com.cn24课程内容第一章ARP协议原理及其攻击手段第二章DCN防御手段及原理第三章DCN防御协议配置第四章典型配置案例www.dcnetworks.com.cn25Arp-Guard—配置命令arp-guardip•命令：arp-guardipaddr•noarp-guardipaddr•功能：添加ARPGuard地址。•参数：addr为受到保护的以点分十进制形式表示的IP地址。•命令模式：端口配置模式。•缺省情况：没有ARPGuard地址。www.dcnetworks.com.cn26DHCPSnooping—配置任务1.启动DHCPSnooping2.启动DHCPSnooping绑定功能3.启动DHCPSnooping绑定ARP功能（应用一）4.启动DHCPSnooping绑定DOT1X功能（应用二）5.启动DHCPSnooping绑定USER功能（应用三）6.添加静态表项功能（应用四）7.设置信任端口8.设置防御动作9.设置DHCP报文速率限制www.dcnetworks.com.cn27DHCPSnooping—配置命令（1）ipdhcpsnooping•命令：ipdhcpsnoopingenab