锐捷防ARP欺骗解决方案-锐捷网络-网络解决方案第一品牌公司

锐捷防ARP欺骗解决方案技术培训中心2009-09修订记录2修订日期修订版本修订描述作者2009-03-14V1.0初稿完成。徐立欢2009-04-22V1.1添加安全通道环境中防ARP注意事项徐立欢2009-09-03V1.2添加备注，添加IPSourceguard功能，修正部分参数错误徐立欢学习目标掌握ARP协议及ARP欺骗原理掌握锐捷网络防ARP欺骗解决方案的应用场合掌握锐捷网络防ARP欺骗解决方案的配置3课程内容第一章：ARP协议原理第二章：ARP欺骗攻击概述第三章：常见ARP欺骗“应付”手段第四章：锐捷网络ARP欺骗解决方案4ARP协议原理ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。根据TCP/IP层次模型，在以太网中，一个主机要和另一个主机进行直接通信，必须知道目标主机的MAC地址。在现实环境中，一般采用IP地址标示通信的对象，而ARP的功能就是将IP翻译成对应的MAC地址。IP：姓名MAC：姓名对应的手机号ARP表：电话号码簿5ARP过程6正常的ARP通讯过程只需广播ARPRequest和单播ARPReplay两个过程，简单的说就是一问一答：ARPrequestARPreplyPC1PC2IP:192.168.0.1MAC:00d0.f800.0001IP:192.168.0.2MAC:00d0.f800.0002PC3PCN课程内容第一章：ARP协议原理第二章：ARP欺骗攻击概述第三章：常见ARP欺骗“应付”手段第四章：锐捷网络ARP欺骗解决方案7正常情况下的ARP表8网关PC2PC1192.168.0.100d0.f800.0001192.168.0.200d0.f800.0002192.168.0.254001a.a908.9f0bPC与设备之间相互通信后形成的ARP表ARPRequest报文更新ARP表的条件ARP报文中TargetIP为自己用ARP报文中的SenderMAC与SenderIP更新自己的ARP表ARP表变化-ARPRequest9网关PC2PC1192.168.0.100d0.f800.0001192.168.0.200d0.f800.0002192.168.0.254001a.a908.9f0bCheat（ARPRequest）ARP表变化-ARPReply10网关PC2PC1192.168.0.100d0.f800.0001192.168.0.200d0.f800.0002192.168.0.254001a.a908.9f0bCheat（ARPReply）ARPReply报文更新ARP表的条件ARP报文中TargetIP为自己当前ARP表中已存在SenderIP的表项用ARP报文中的SenderMAC与SenderIP更新自己的ARP表ARP表变化-GratuitousARP11网关PC2PC1192.168.0.100d0.f800.0001192.168.0.200d0.f800.0002192.168.0.254001a.a908.9f0bCheat（GratuitousARP）GratuitousARP报文更新ARP表的条件GratuitousARP是一种特殊的ARPRequest/Replay报文，即SenderIP与TargetIP一致ARP报文中TargetIP为自己用ARP报文中的SenderMAC与SenderIP更新自己的ARP表理解invalidARP表项InvalidARP表项ARP表中的MAC地址为全零（Windows主机）或“Nocompleted”（网络设备）产生原因发送ARPRequest后，为接收ARPReply做准备大量存在的原因同网段扫描（主机）跨网段扫描（网络设备）12IP地址发生冲突的条件收到GratuitousARP报文，且Sender/TargetIP与当前IP一致，但SenderMAC与当前MAC不同当针对主机或网络设备发送上述报文时，即为IP冲突攻击主机或网络设备怎样判断IP冲突13网关PC2PC1192.168.0.100d0.f800.0001192.168.0.100d0.f800.0002GratuitousARPGratuitousARPARP欺骗攻击分类-主机型主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗14网关欺骗者嗨，我是网关PC1ARP欺骗攻击分类-网关型网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗15网关欺骗者嗨，我是PC1PC1ARP欺骗攻击目的为什么产生ARP欺骗攻击？表象：网络通讯中断真实目的：截获网络通讯数据16PC1网关主机型网关型欺骗者ARP欺骗攻击缘何泛滥屡禁不止的ARP欺骗ARP欺骗的目的是截获数据，例如银行卡、游戏帐户等，巨大的经济利益驱动了ARP欺骗的发展ARP欺骗实现原理简单，变种极多，通过病毒网页或木马程序即可传播，杀毒软件的更新不能及时跟上病毒的变种ARP欺骗是由于协议缺陷造成的，业界鲜有良好的解决方案17判断ARP欺骗攻击-主机怎样判断是否受到了ARP欺骗攻击？网络时断时续或网速特别慢在命令行提示符下执行“arp–d”命令就能好上一会在命令行提示符下执行“arp–a”命令查看网关对应的MAC地址发生了改变18判断ARP欺骗攻击-网关设备网关设备怎样判断是否受到了ARP欺骗攻击？ARP表中同一个MAC对应许多IP地址19课程内容第一章：ARP协议原理第二章：ARP欺骗攻击概述第三章：常见ARP欺骗“应付”手段第四章：锐捷网络ARP欺骗解决方案201、常见ARP欺骗“应付”手段-双向绑定手工设置静态ARP表项静态ARP优先级高于动态ARP表项分别在网关设备与用户主机上配置静态ARP表项工作维护量大，网关设备、用户都需要进行操作21可有效解决ARP欺骗2、常见ARP欺骗“应付”手段-ARP防火墙ARP防火墙软件定期向网关发送GratuitousARP，以通告自己正确的ARP信息发送频率过高严重占用网络带宽发送频率过低则达不到防范目的惹祸的ARP防火墙（摘录自部分著名院校网络中心通知）•中国科技大学：对于异常多arp请求，请禁用xx防火墙的arp攻击防御功能•中山大学：当打开xx防火墙的arp防护功能时,防火墙会以每秒1000个arp包的向外广播,询问同一个地址•四川大学：装xx防火墙的主机在发现网上有ARP欺骗的时候会发送大量广播包，致使正常网络出现中断22不能解决ARP欺骗3、常见ARP欺骗“应付”手段-Cisco方案DAI+PVLANDAI为动态ARP检测，网关通过DHCPSnooping确保网关ARP表的正确性，即防止了网关型ARP欺骗的发生PVLAN的isolatevlan方式将主机之间的通讯隔离，防止了主机型ARP欺骗的发生网关设备与接入设备必须同时支持相应的功能，同时主机之间将不能互访，致使很多局域网通讯失效。23支持DAI功能的网关设备支持PVLAN的接入设备可有效解决ARP欺骗附：port-security能防范ARP吗port-security处理流程当一个未带IP头部的报文（二层）经过port-security端口时，校验其DLC的MAC部分与配置的安全MAC是否一致当一个带IP头部（三层）的报文经过port-security端口时•校验其DLC的MAC是否与配置的安全MAC一致•校验其IP是否与配置的安全IP一致port-security处理ARP报文流程ARP报文不带IP头部port-security校验其DLC的MAC是否与配置的安全MAC一致24port-security不能解决ARP欺骗课程内容第一章：ARP协议原理第二章：ARP欺骗攻击概述第三章：常见ARP欺骗“应付”手段第四章：锐捷网络ARP欺骗解决方案25锐捷网络完美解决ARP欺骗锐捷网络坚持走自主研发的发展道路，在整个业界对ARP欺骗感到比较头疼时，率先推出了一系列成熟的ARP欺骗解决方案。配置难吗？•多数方案只需几条命令成本高吗？•锐捷低端接入S21系列交换机即可。S21自推出已经有六年之久，通过不断更新软件版本实现新的功能，严格保护用户的投资。26S21系列交换机诞生于六年前两个概念安全地址主机真实的IP与MAC地址在主机发送ARP报文前获得ARP报文校验检查ARP报文中Sender’sMAC与安全地址中的MAC是否一致，否则丢弃检查ARP报文中Sender’sIP与安全地址中的IP是否一致，否则丢弃27防ARP欺骗原理28流程图安全地址获取丢弃转发ARP报文校验ARP报文S/T字段是否与安全地址一致ARP报文是否安全地址的获取是防ARP欺骗的前提，ARP报文校验是防ARP欺骗的手段安全地址定义主机的真实信息IP+MAC地址组成获取方式手工指定•port-security自动获取•DHCPSnooping•Dot1x认证29安全地址的处理什么是ACE交换机端口形成的硬件资源表项通过硬件对报文的转发进行判断端口策略未配置安全地址时•permitanyanyanyany配置安全地址后•permitmac1ip1anyany•permitmac2ip2anyany•permitmacNipNanyany•denyanyanyanyany30交换机端口非法IP+MAC报文ACE丢弃转发0/1比特位合法IP+MAC报文ARP-check原理：•提取ACE中IP+MAC对的信息•在原有ACE（过滤IP+MAC）的基础上形成新的ACE（过滤ARP）应用后端口策略•permitmac1ip1anyany•permitarp源MAC1源IP1anyany•denyanyanyanyany注意事项：ARP-check功能开启后，如果ACE中不存在安全地址，则所有的ARP报文将被丢弃ARP报文校验方式一（ARP-check）31交换机端口非法ARP报文ACE丢弃转发0/1比特位合法ARP报文ARP报文校验二（DAI）DAI原理：•提取DHCPSnooping表中的IP+MAC信息•通过CPU过滤源MAC/源IP不在Snooping表中的ARP报文注意事项：DAI功能开启开启后，如果DHCPSnooping表为空，则所有的ARP报文将被丢弃32交换机端口合法ARP报文非法ARP报文CPU丢弃转发0/1比特位1.1、port-security+ARP-check方案概述原理通过port-security功能将用户正确的IP与MAC写入交换机端口ACE使用ARP-check功能校验ARP报文的正确性应用场景用户使用静态IP地址无安全认证措施缺点需要收集所有用户的IP、MAC，将其配置到端口上当用户接入端口发生变化时，需重新设置安全地址33网络拓扑主要配置（10.x平台）1.2、port-security+ARP-check方案实施34192.168.0.100d0.f800.0001192.168.0.200d0.f800.0002Fa0/1Fa0/2interfaceFastEthernet0/1switchportport-securitymac-address00d0.0000.0001ip-address192.168.0.1switchportport-securityarp-checkauto!interfaceFastEthernet0/2switchportport-securitymac-address00d0.0000.0002ip-address192.168.0.2switchportport-securityarp-checkauto2.1、DHCPSnooping+address-bind+ARP-check方案实施原理通过DHCPSnooping功能将用户正确的IP与MAC写入交换