DCN交换机ARPGUARD功能技术白皮书

DCN交换机ARPGUARD功能技术白皮书文件编号文件类别技术白皮书编写孙团会日期2007/06/07审核日期批准日期神州数码网络有限公司神州数码网络有限公司修改记录版本日期修改纪要修改人审核人发现问题VX.XYYYY-MM-DD创建XXXXXX[说明：技术白皮书由研发人员编写初稿（要归档到研发中心CC服务器相关项目或部门中），提交给产品经理，产品经理进行修订润色，形成可提供给外部客户的最终稿（归档到产品部知识库）。[]内蓝色字体部分为文档内容编写提要，请产品经理注意技术白皮书最终定稿后请删除[]内容。]神州数码网络有限公司目录1.概述........................................................................................................................................................................12.缩写和术语............................................................................................................................................................13.技术介绍................................................................................................................................................................14.主要特性................................................................................................................................................................35.技术特色与优势....................................................................................................................................................36.典型应用指南........................................................................................................................................................37.参考资料................................................................................................................................................................4神州数码网络有限公司DCN交换机ARPGUARD功能技术白皮书第1页/共7页1.概述ARP协议用于IPV4网络中解析网络设备MAC地址，其基本原理是PC1已知PC2的IP地址，PC1向PC2发送IP报文之前必需首先获取PC2的MAC地址。为此，PC1发送ARPREQUEST报文向PC2请求MAC地址；PC2接收到ARPREQUEST报文之后，发送ARPREPLY报文，通告自己的MAC地址；PC1接收到PC2的ARPREPLY报文，就创建ARP表项，然后就可以根据ARP表项向PC2发送IP数据。同时为了提交效率，RFC规定在PC2没有接收到ARPREQUEST的时候也可以主动发送ARPREPLY报文通告自己的MAC地址；其它网络设备接收到ARPREPLY报文之后就直接创建ARP表项，并据此向PC2发送IP数据。ARP协议的设计存在严重的安全漏洞，任何网络设备都可以发送ARP报文通告IP地址和MAC地址的映射关系。这就为ARP欺骗提供了可乘之机，攻击者发送ARPREQUEST报文或者ARPREPLY报文通告错误的IP地址和MAC地址映射关系，导致网络通讯故障。ARP欺骗的危害主要表现为两种形式：1、PC4发送ARP报文通告PC2的IP地址映射为自己的MAC地址，将导致本应该发送给PC2的IP报文全部发送到了PC4，这样PC4就可以监听、截获PC2的报文；2、PC4发送ARP报文通告PC2的IP地址映射为非法的MAC地址，将导致PC2无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP欺骗，将导致整个网络瘫痪。交换机PC1PC2PC3PC4PC5PC6HUBABCD图1-12.缩写和术语ARP：AddressResolutionProtocol，IPV4使用的地址解析协议。ARPGUARD：防止ARP欺骗的技术。3.技术介绍ARP报文格式如下：神州数码网络有限公司DCN交换机ARPGUARD功能技术白皮书第2页/共7页正常情况下，ARP报文中的源IP地址（senderIPaddress），源MAC地址（senderhardwareaddress）就是发送ARP报文的网络设备的正确地址。接收到ARP报文的网络设备，根据ARP报文中的源IP地址和源MAC地址创建ARP表项，并据此和发送ARP报文的网络设备通讯。发生ARP欺骗攻击时，网络设备发送的ARP报文中源IP地址是被攻击的地址，源MAC地址是非法地址。这样其它网络设备就会创建错误的ARP表项，被攻击设备就无法接收到发送给自己的报文。例如发动攻击的网络设备发送的ARP报文中源IP地址填写网关IP地址，而源MAC地址添加自己的MAC地址，这样网络内其它设备创建错误的网关ARP表项，并把应该发送给网关的报文发送给了攻击者。PC2PC3Gateway交换机IP1,MAC1ARP(IP1,MAC1)IP2,MAC2IP3,MAC3正常情况下，报文发送给网关PC2PC3Gateway交换机IP1,MAC1ARP(IP1,MAC2)IP2,MAC2IP3,MAC3ARP欺骗得情况下，报文发送给PC2图1-2图1-3我们利用ARP欺骗的报文特点，通过检测ARP报文中源IP地址的合法性，防止ARP欺骗攻击。例如我们已知IP地址为IP1网关接入端口为A，则检查从交换机其它端口输入的ARP报文，如果ARP报文源IP地址为IP1就认为遭到ARP欺骗攻击，直接丢弃攻击报文；否则就认为ARP报文合法，应该被正常转发。ARPGUARD功能防止ARP欺骗的命令行：命令解释端口配置模式arp-guardipaddraddr：被保护的IP地址。此后从这个端口上接收到源IP地址为addr的ARP报文就认为报文非法，将被直接丢弃。神州数码网络有限公司DCN交换机ARPGUARD功能技术白皮书第3页/共7页4.主要特性该功能主要的特性为：每个端口最多可以配置16个被保护的IP地址，主要用来保护网关和重要服务器的ARP不被ARP欺骗攻击。目前支持的产品：DCS-3926S(V1V2)、DCS-3926S(V3)、DCS-3950S、DCS-3950-X；正在开发DCRS-7600系列、DCRS-6800系列、DCRS-5900系列、DCRS-5500系列。5.技术特色与优势6.典型应用指南PC1PC2PC3PC4PC5PC6HUBABCDGateway交换机E图1-4ARPGUARD一般应用在接入交换机，交换机本身不是接入用户的网关。如图1-2，交换机端口E连接网关Gateway，其它端口A、B、C、D接入用户PC1-PC6。接入用户PC1-PC6与外部设备通讯时会首先把IP报文发送给网关Gateway，所以PC1-PC6必需通过ARP协议解析出网关的MAC地址。如果因为病毒影响等原因某个接入用户PC1假冒网关发送ARP报文，通告网关IP地址映射非法MAC地址，PC2-PC6就会创建错误的ARP表项，发送IP报文时无法到达网关，导致通讯故障。为了保护网关ARP表项不会被ARP欺骗攻击，假定网关IP地址为ADDRE，我们在交换机上配置ARPGUARDADDRE，禁止从端口A、B、C、D发送源IP地址为网关地址的ARP报文。同时端口E不能配置ARPGUARDADDRE，因为从端口E接收到的源IP地址为ADDRE的ARP报文是网关发出的合法报文。同理，网关要把报文发送给PC6（IP地址为ADDR6），也需要PC6的ARP表项，PC6的ARP也可能被ARP欺骗攻击。为了保护接入PC6的免受ARP欺骗攻击，需要在端口A、B、C、E上配置ARP神州数码网络有限公司DCN交换机ARPGUARD功能技术白皮书第4页/共7页GUARDADDR6。如果交换机上接入的主机比较多，为了保护每个主机免受ARP欺骗攻击，需要在端口上配置很多ARPGUARD地址，很有可能导致交换机过滤表项资源耗尽，在这种情况下并不适合采用ARPGUARD技术。因此，ARPGUARD只适合保护网关或者有限的重要服务器免受ARP欺骗攻击，不适合保护大中型接入网络内的所有接入主机免受ARP欺骗攻击。7.参考资料《Ivy项目ARPGUARD功能需求、设计说明书.doc》