ARP问题解决方案

锐捷高校ARP问题解决方案教育行业部2008年11月提纲ARP攻击基础1锐捷防ARP攻击解决方案3ARP攻击的常用防范措施2友商防ARP解决方法对比43什么是ARP•ARP（AddressResolutionProtocol）–简单的说，ARP就是IP和MAC的对应关系•ARP原理–ARP请求•某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，进行数据传输•如果未找到，则广播一个ARP请求报文–ARP应答•网上所有主机包括B都收到ARP请求，理想情况是只有主机B向主机A发回一个ARP响应报文，其中包含有B的MAC地址–存在风险•不幸的是，网内所有的主机均可向A发回一个ARP响应报文，并且可以随意修改ARP响应报文中的IP和MAC3什么是ARP攻击•ARP攻击–就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞–攻击者只要持续不断的发出伪造的ARP响应报文就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击–ARP攻击的危害主要存在于局域网网络中–如果局域网中有一个人感染ARP病毒，则感染该ARP病毒的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障ARP攻击的主要现象•上网速度慢–网络上有大量ARP报文•某一区域不能上网或时通时断•同样配置只有某一台机器不能上网•正在使用某一类应用的PC依次掉线或时通时断•不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框，等等ARP攻击的主要形式•ARP欺骗攻击–欺骗主机攻击•冒充网关攻击–欺骗网关攻击–中间人攻击•ARP泛洪攻击–消耗带宽攻击–拒绝服务攻击–ARP溢出攻击•ARP扫描攻击•IP地址冲突–单播型的IP地址冲突–广播型的IP地址冲突•虚拟主机攻击欺骗主机攻击PCB攻击者：发送ARP欺骗网关:192.168.10.1MACA192.168.10.3MACC192.168.10.2MACB发送ARP响应，告诉：192.168.10.1对应的MAC是MACCARP表刷新192.168.10.1对应的是MACC:192.168.10.1MACC主机外出的发送到网关的流量实际发送给攻击者MACCPCB攻击者：发送ARP欺骗发送ARP响应，告诉：192.168.10.2对应的MAC是MACCARP表刷新，192.168.10.2对应的是MACC：192.168.10.2MACC网关返回的给pcB的流量被网关转发给攻击者网关:192.168.10.1MACA192.168.10.3MACC192.168.10.2MACBPCB上网的流量，通过默认网关发送给网关欺骗网关攻击发送ARP响应，告诉：192.168.10.2对应的MAC是MACCPCB攻击者：发送ARP欺骗192.168.10.1MACA192.168.10.3MACC192.168.10.2MACB发送ARP响应，告诉：192.168.10.1对应的MAC是MACCARP表刷新，192.168.10.1对应的是MACC发送到网关的流量均发到攻击者MACCARP表刷新，192.168.10.2对应的是MACC中间人攻击攻击者再把流量转发给真正的网关MACA主机DIP:192.169.10.4Mac:MACD主机CIP:192.168.10.3Mac:MACC主机BIP:192.168.10.2Mac:MACB主机AIP:192.168.10.1Mac:MACA网关EIP:192.168.10.254Mac：E3、网关E被错误ARP表充满，导致无法更新维护正常ARP表IPMAC192.168.10.1MACA192.168.10.2MACB192.168.10.3MACC192.168.10.4MACD…………………………192.168.10.NMACN1、发送大量ARP请求报文2、网关E的CPU利用率上升，难以响应正常服务请求。2、发送大量虚假的ARP响应报文ARP泛洪攻击1、消耗网络带宽资源。ARP扫描往往是进一步攻击的前奏。ARP泛洪攻击•攻击主机持续把伪造的MAC-IP映射对发给受攻击主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含：–通过不断发送伪造的ARP广播数据包使得交换机忙于处理广播数据包而耗尽网络带宽–令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断–用虚假的地址信息占满主机的ARP高速缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP溢出攻击•主机ARP缓存溢出•交换机CAM表溢出•ARP泛洪攻击不是以盗取用户数据为目的，它是以破坏网络为目的，属于损人不利己的行为提纲ARP攻击基础1锐捷防ARP攻击解决方案3ARP攻击的常用防范措施2友商防ARP解决方法对比4ARP防御的网络设备网关接入交换机192.168.1.1192.168.1.2192.168.1.3192.168.1.4192.168.1.5ARP欺骗发生在PC主机到网关，包括的网元有：•客户端•接入交换机•网关PC主机;PC主机;PC主机;PC主机;客户端ARP防御手段1－主机手动绑定ARP表•优点–最节省成本的方式•缺点–配置麻烦，主机需要通信的目标很多，不可能一个一个都绑定–容易失效，这种方法进行的绑定，一拔掉网线或者关机、注销就全部失效了，如果想继续使用，就需要重新绑定–只能进行主机端的防御，如果网关遭欺骗则无能为力–主机端手动绑定也是只能实现部分防御，需要与其他方法结合来完善•原理–每个主机都不停地发送免费ARPResponse广播，来告诉别人自己的IP和MAC的绑定关系•优点–硬件无关性•缺点–如果攻击广播报文频率提升，ARP问题重现–主机ARP表更新频繁，容易掉线客户端ARP防御手段2－主机安装ARP防御软件交换机ARP防御手段－ARP欺骗防御16绑定用户正确的IP和MAC地址检查ARP报文中的IP和MAC第一步：第二步：ARP报文……SenderIPSendMAC…………符合N丢弃Y通过关键是如何建立真实的IP-MAC表•交换机功能–支持在端口设置安全地址–支持在端口做ARPCHECK•优点–成本低•缺点–工作量大，维护不方便–防范范围有限（到端口）–无法适应DHCP环境交换机防御ARP欺骗1－接入交换机手动绑定IP/MAC网关安全交换机192.168.1.1192.168.1.2192.168.1.3192.168.1.4192.168.1.5在端口检查ARP报文，丢弃不符合端口绑定信息的ARP报文•优点–自动化实现ARP绑定–部署简单•缺点–适合于动态IP环境，如在静态IP环境则回归手动绑定的原始状态网关安全交换机DHCP服务器DHCP请求DHCP响应DHCPSnooping建立ARP数据库交换机防御ARP欺骗2－动态ARP检查DAI•交换机支持功能–支持DHCPSNOOPING功能–支持动态ARP检查（DAI）功能PCB攻击者：发送ARP欺骗网关:192.168.10.1MACA192.168.10.3MACC192.168.10.2MACB发送ARP响应，告诉：192.168.10.1对应的MAC是MACCARP表项重网关192.168.10.1对应的依旧是MACA:192.168.10.1MACA交换机非上联接口打开防网关ARP欺骗功能，过滤用户对网关ip的非法arp响应下联口有对指定网关的arp响应，deny！交换机防御ARP欺骗3－接入交换机手动绑定网关•优点：操作简单•缺点：只能防冒充网关攻击，防范范围有限（到端口）•交换机功能–支持防网关欺骗功能•作用–防冒充网关攻击•交换机支持功能–支持802.1x•优点–认证过程中自动绑定IP-MAC–动/静态IP环境皆可•缺点–防范范围受限（到端口）网关安全交换机802.1x服务器1x认证请求用户的IP/MAC信息IP授权交换机防御ARP欺骗4－结合802.1x技术PCB攻击者：发送ARP欺骗发送ARP响应，告诉：192.168.10.2对应的MAC是MACC网关绑定主机正确的ipmac关系：IpBmacBIpCmacC……IpNmacN网关:192.168.10.1MACA192.168.10.3MACC192.168.10.2MACBPCB上网的流量，通过默认网关发送给网关用户的arp信息已经在网关的arp表项中，网关不再学习已存在表项的信息网关返回给PCB的流量被网关正确地发送给PCB网关防御ARP欺骗手段－网关绑定主机IP/MAC•优点：成本低•缺点：工作量大维护不方便；只能防欺骗网关攻击，不适应DHCP环境•作用–防欺骗网关攻击交换机ARP防御手段－ARP泛洪攻击防御•交换机支持功能–支持ARP流限速–支持在端口下限速或者在全局下限速网关安全交换机DHCP服务器DHCP请求DHCP响应DHCPSnooping建立ARP数据库提纲ARP攻击基础1锐捷防ARP攻击解决方案3ARP攻击的常用防范措施2友商防ARP解决方法对比4利用交换机防御ARP攻击方案－静态IP环境•在接入交换机端口控制主机发送ARP欺骗报文–在交换机端口设置安全地址–在端口打开arpcheck，只允许合法ARP报文通过–防主机欺骗和网关欺骗攻击–锐捷S21/S23/S26/S29/S32/S37/S5760/S76/S86支持•在接入交换机端口下过滤假冒网关的ARP应答–在下联端口设置anti-arp-spoofing，丢弃冒充网关的ARP报文–防冒充网关攻击–S21/S23/S26/S32/S37/S5760支持•在网关交换机上绑定各主机的ARP表项（可选）•在交换机上进行ARP攻击流限速–开启ARP抗攻击（arp-guard）•识别、隔离和清除ARP攻击•进行ARP限速–防ARP泛洪攻击（含ARPDOS攻击）、ARP扫描攻击–S23/S26/S29/S32/S37/S57/S76/S86支持利用交换机防御ARP攻击方案－动态IP环境•在交换机上开启DHCPSNOOPING–建立ARP数据库•在网关和接入交换机上开启动态ARP检查DAI–依据ARP数据库过滤ARP报文–防主机欺骗攻击和网关欺骗攻击–限制端口ARP报文数量，防ARP泛洪攻击–S21/S23/S26/S29/S32/S37/S57/S76/S86支持•在交换机上进行ARP攻击流限速–开启ARP抗攻击（arp-guard）•识别、隔离和清除ARP攻击•进行ARP限速–防ARP泛洪攻击（含ARPDOS攻击）、ARP扫描攻击–S23/S26/S29/S32/S37/S57/S76/S86支持SMP防ARP方案：ARP三重立体防御解决方案可信ARP列表用户IP&MAC绑定信息网关IP&MAC信息SAMSMP.eduS8610S5760S5750接入层汇聚层核心层S2126GS2126GS2126GS2126G•ARP欺骗攻击–欺骗网关攻击–欺骗主机攻击•仿冒网关攻击–中间人攻击•ARP泛洪攻击–消耗带宽攻击–拒绝服务攻击–ARP溢出攻击•IP地址冲突–单播型的IP地址冲突–广播型的IP地址冲突•ARP扫描攻击•虚拟主机攻击ARP三重立体防御－客户端防御S262126G运行SU的用户PCSAMSMP.eduInternetRG-S8614攻击者我是网关绑定有SMP.edu下发的网关IP/MAC信息ARP三重立体防御－交换机非法报文过滤S262126G用户BSAMSMP.eduInternetRG-S8614攻击者我是用户B端口绑定有SMP.edu下发的用户A的IP/MAC绑定信息运行SU的用户PC用户AARP三重立体防御－网关防御S262126G用户BSAMSMP.eduInternetRG-S8614攻击者我是用户B网关绑定有SMP.edu下发的用户B的可信任ARP表项：MAC–