1、銳捷高校ARP問題解決方案,教育行業(yè)部2008年11月,提 綱,3,什么是ARP,ARP（Address Resolution Protocol ）簡單的說，ARP就是IP和MAC的對應關系ARP原理ARP請求某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，進行數(shù)據(jù)傳輸如果未找到，則廣播一個ARP請求報文ARP應答網(wǎng)上所有主機包括B都收到ARP請求，理想情況是只有主機B向主機A

2、發(fā)回一個ARP響應報文，其中包含有B的MAC地址存在風險不幸的是，網(wǎng)內(nèi)所有的主機均可向A發(fā)回一個ARP響應報文，并且可以隨意修改ARP響應報文中的IP和MAC,3,什么是ARP攻擊,ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應報文就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡中斷或中間人攻擊ARP攻擊的危害主要存在于局域

3、網(wǎng)網(wǎng)絡中如果局域網(wǎng)中有一個人感染ARP病毒，則感染該ARP病毒的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障,ARP攻擊的主要現(xiàn)象,上網(wǎng)速度慢網(wǎng)絡上有大量ARP報文某一區(qū)域不能上網(wǎng)或時通時斷同樣配置只有某一臺機器不能上網(wǎng)正在使用某一類應用的PC依次掉線或時通時斷不斷彈出“本機的0-255段硬件地址與網(wǎng)絡中的0-255段地址沖突”的對話框，等等,ARP攻擊的主要形式,

4、ARP欺騙攻擊欺騙主機攻擊冒充網(wǎng)關攻擊欺騙網(wǎng)關攻擊中間人攻擊ARP泛洪攻擊 消耗帶寬攻擊拒絕服務攻擊ARP溢出攻擊 ARP掃描攻擊IP地址沖突單播型的IP地址沖突 廣播型的IP地址沖突虛擬主機攻擊,欺騙主機攻擊,PC B,攻擊者：發(fā)送ARP欺騙,網(wǎng)關:192.168.10.1??MAC A,192.168.10.3 ??MAC C,192.168.10.2 ??MAC B,,,,,,發(fā)送ARP響應，告訴：1

5、92.168.10.1對應的MAC是MAC C,ARP表刷新192.168.10.1對應的是MAC C:192.168.10.1??MACC,主機外出的發(fā)送到網(wǎng)關的流量實際發(fā)送給攻擊者MAC C,,PC B,攻擊者：發(fā)送ARP欺騙,,,,,發(fā)送ARP響應，告訴：192.168.10.2對應的MAC是MAC C,ARP表刷新，192.168.10.2對應的是MAC C：192.168.10.2 ??MAC C,網(wǎng)關返回的給pc

6、B的流量被網(wǎng)關轉(zhuǎn)發(fā)給攻擊者,網(wǎng)關:192.168.10.1??MAC A,192.168.10.3 ??MAC C,192.168.10.2 ??MAC B,PC B上網(wǎng)的流量，通過默認網(wǎng)關發(fā)送給網(wǎng)關,欺騙網(wǎng)關攻擊,發(fā)送ARP響應，告訴：192.168.10.2對應的MAC是MAC C,,PC B,攻擊者：發(fā)送ARP欺騙,192.168.10.1MAC A,192.168.10.3MAC C,192.168.10.2MAC B

7、,,,,,發(fā)送ARP響應，告訴：192.168.10.1對應的MAC是MAC C,ARP表刷新，192.168.10.1對應的是MAC C,發(fā)送到網(wǎng)關的流量均發(fā)到攻擊者MAC C,ARP表刷新，192.168.10.2對應的是MAC C,中間人攻擊,攻擊者再把流量轉(zhuǎn)發(fā)給真正的網(wǎng)關MAC A,,,,,,主機DIP:192.169.10.4Mac:MAC D,主機CIP:192.168.10.3Mac:MAC C,主機BIP:1

8、92.168.10.2Mac:MAC B,主機AIP:192.168.10.1Mac: MAC A,網(wǎng)關EIP:192.168.10.254Mac：E,3、網(wǎng)關E被錯誤 ARP表充滿，導致無法更新維護正常ARP表,,,,1、發(fā)送大量ARP請求報文,,2、網(wǎng)關E的CPU利用率上升，難以響應正常服務請求。,2、發(fā)送大量虛假的ARP響應報文,ARP泛洪攻擊,,1、消耗網(wǎng)絡帶寬資源。ARP掃描往往是進一步攻擊的前奏。,ARP泛洪攻擊,

9、攻擊主機持續(xù)把偽造的MAC-IP映射對發(fā)給受攻擊主機，對于局域網(wǎng)內(nèi)的所有主機和網(wǎng)關進行廣播，搶占網(wǎng)絡帶寬和干擾正常通信。這種攻擊方式的主要攻擊特征包含：通過不斷發(fā)送偽造的ARP廣播數(shù)據(jù)包使得交換機忙于處理廣播數(shù)據(jù)包而耗盡網(wǎng)絡帶寬令局域網(wǎng)內(nèi)部的主機或網(wǎng)關找不到正確的通信對象，使得正常通信被阻斷用虛假的地址信息占滿主機的ARP高速緩存空間，造成主機無法創(chuàng)建緩存表項，無法正常通信，這種攻擊特征作者將其命名為ARP溢出攻擊主機ARP緩存

10、溢出交換機CAM表溢出ARP泛洪攻擊不是以盜取用戶數(shù)據(jù)為目的，它是以破壞網(wǎng)絡為目的，屬于損人不利己的行為,提 綱,ARP防御的網(wǎng)絡設備,ARP欺騙發(fā)生在PC主機到網(wǎng)關，包括的網(wǎng)元有： 客戶端 接入交換機 網(wǎng)關,,,,PC主機;,PC主機;,PC主機;,PC主機;,客戶端ARP防御手段1－主機手動綁定ARP 表,優(yōu)點最節(jié)省成本的方式 缺點 配置麻煩，主機需要通信的目標很多，不可能一個一個都綁定容易失效，這種

11、方法進行的綁定，一拔掉網(wǎng)線或者關機、注銷就全部失效了，如果想繼續(xù)使用，就需要重新綁定只能進行主機端的防御，如果網(wǎng)關遭欺騙則無能為力主機端手動綁定也是只能實現(xiàn)部分防御，需要與其他方法結(jié)合來完善,原理每個主機都不停地發(fā)送免費ARP Response廣播，來告訴別人自己的IP和MAC的綁定關系優(yōu)點硬件無關性缺點如果攻擊廣播報文頻率提升，ARP問題重現(xiàn)主機ARP 表更新頻繁，容易掉線,客戶端ARP防御手段2－主機安裝ARP防御軟

12、件,交換機ARP防御手段－ARP欺騙防御,,16,綁定用戶正確的IP和MAC地址,檢查ARP報文中的IP和MAC,第一步：,第二步：,符合,N,丟棄,Y,通過,關鍵是如何建立真實的IP-MAC表,交換機功能支持在端口設置安全地址支持在端口做ARP CHECK優(yōu)點成本低缺點工作量大，維護不方便防范范圍有限（到端口）無法適應DHCP環(huán)境,交換機防御ARP 欺騙1－接入交換機手動綁定IP/MAC,網(wǎng)關,安全交換機,192.1

13、68.1.1,192.168.1.2,192.168.1.3,192.168.1.4,192.168.1.5,在端口檢查ARP報文，丟棄不符合端口綁定信息的ARP報文,優(yōu)點自動化實現(xiàn)ARP綁定部署簡單缺點適合于動態(tài)IP環(huán)境，如在靜態(tài)IP環(huán)境則回歸手動綁定的原始狀態(tài),網(wǎng)關,安全交換機,DHCP 服務器,DHCP請求,DHCP響應,DHCP Snooping建立ARP數(shù)據(jù)庫,交換機防御ARP 欺騙2－動態(tài)ARP檢查DAI,交換機支持

14、功能支持DHCP SNOOPING功能支持動態(tài)ARP檢查（DAI）功能,PC B,攻擊者：發(fā)送ARP欺騙,網(wǎng)關:192.168.10.1??MAC A,192.168.10.3 ??MAC C,192.168.10.2 ??MAC B,,,,,,發(fā)送ARP響應，告訴：192.168.10.1對應的MAC是MAC C,ARP表項重網(wǎng)關192.168.10.1對應的依舊是MAC A:192.168.10.1??MAC A,交換機非

15、上聯(lián)接口打開防網(wǎng)關ARP欺騙功能，過濾用戶對網(wǎng)關ip的非法arp響應,下聯(lián)口有對指定網(wǎng)關的arp響應，deny！,交換機防御ARP 欺騙3－接入交換機手動綁定網(wǎng)關,優(yōu)點：操作簡單缺點：只能防冒充網(wǎng)關攻擊，防范范圍有限（到端口）,交換機功能支持防網(wǎng)關欺騙功能作用防冒充網(wǎng)關攻擊,交換機支持功能支持802.1x優(yōu)點認證過程中自動綁定IP-MAC動/靜態(tài)IP環(huán)境皆可缺點防范范圍受限（到端口）,網(wǎng)關,安全交換機,802.1x

16、服務器,1x認證請求,用戶的IP/MAC信息,IP授權(quán),交換機防御ARP 欺騙4－結(jié)合802.1x技術(shù),,PC B,攻擊者：發(fā)送ARP欺騙,,,,,發(fā)送ARP響應，告訴：192.168.10.2對應的MAC是MAC C,網(wǎng)關綁定主機正確的ip??mac關系： Ip B??mac BIp C??mac C……Ip N??mac N,網(wǎng)關:192.168.10.1??MAC A,192.168.10.3 ??MAC C,192.

17、168.10.2 ??MAC B,PC B上網(wǎng)的流量，通過默認網(wǎng)關發(fā)送給網(wǎng)關,用戶的arp信息已經(jīng)在網(wǎng)關的arp表項中，網(wǎng)關不再學習已存在表項的信息,網(wǎng)關返回給PC B的流量被網(wǎng)關正確地發(fā)送給PC B,網(wǎng)關防御ARP 欺騙手段－網(wǎng)關綁定主機IP/MAC,優(yōu)點：成本低缺點：工作量大維護不方便；只能防欺騙網(wǎng)關攻擊，不適應DHCP環(huán)境,作用防欺騙網(wǎng)關攻擊,交換機ARP防御手段－ARP泛洪攻擊防御,交換機支持功能支持ARP流限速支持在端

18、口下限速或者在全局下限速,網(wǎng)關,安全交換機,DHCP 服務器,DHCP請求,DHCP響應,DHCP Snooping建立ARP數(shù)據(jù)庫,提 綱,利用交換機防御ARP攻擊方案－靜態(tài)IP環(huán)境,在接入交換機端口控制主機發(fā)送ARP欺騙報文在交換機端口設置安全地址在端口打開arp check，只允許合法ARP報文通過防主機欺騙和網(wǎng)關欺騙攻擊銳捷S21/S23/S26/S29/S32/S37/S5760/S76/S86支持在接入交換機端口

19、下過濾假冒網(wǎng)關的ARP應答在下聯(lián)端口設置anti-arp-spoofing，丟棄冒充網(wǎng)關的ARP報文防冒充網(wǎng)關攻擊S21/S23/S26/S32/S37/S5760支持在網(wǎng)關交換機上綁定各主機的ARP表項（可選）在交換機上進行ARP攻擊流限速開啟ARP抗攻擊（ arp-guard）識別、隔離和清除ARP攻擊進行ARP限速防ARP泛洪攻擊（含ARP DOS攻擊）、ARP掃描攻擊S23/S26/S29/S32/S37/S

20、57/S76/S86支持,利用交換機防御ARP攻擊方案－動態(tài)IP環(huán)境,在交換機上開啟DHCP SNOOPING建立ARP數(shù)據(jù)庫在網(wǎng)關和接入交換機上開啟動態(tài)ARP檢查DAI依據(jù)ARP數(shù)據(jù)庫過濾ARP報文防主機欺騙攻擊和網(wǎng)關欺騙攻擊限制端口ARP報文數(shù)量，防ARP泛洪攻擊S21/S23/S26/S29/S32/S37/S57/S76/S86支持在交換機上進行ARP攻擊流限速開啟ARP抗攻擊（ arp-guard）識別、隔離

21、和清除ARP攻擊進行ARP限速防ARP泛洪攻擊（含ARP DOS攻擊）、ARP掃描攻擊S23/S26/S29/S32/S37/S57/S76/S86支持,SMP防ARP方案：ARP三重立體防御解決方案,ARP欺騙攻擊欺騙網(wǎng)關攻擊欺騙主機攻擊仿冒網(wǎng)關攻擊中間人攻擊ARP泛洪攻擊 消耗帶寬攻擊拒絕服務攻擊ARP溢出攻擊 IP地址沖突單播型的IP地址沖突 廣播型的IP地址沖突ARP掃描攻擊虛擬主機攻擊,ARP三

22、重立體防御－客戶端防御,,,,,,,S262126G,運行SU的用戶PC,SAM,SMP.edu,Internet,RG-S8614,攻擊者,,我是網(wǎng)關,綁定有SMP.edu下發(fā)的網(wǎng)關IP/MAC信息,,,ARP三重立體防御－交換機非法報文過濾,,,,,,,,S262126G,用戶 B,SAM,SMP.edu,Internet,RG-S8614,攻擊者,我是用戶 B,端口綁定有SMP.edu下發(fā)的用戶A的IP/MAC綁定信息,,運行SU

23、的用戶PC,用戶 A,,,,ARP三重立體防御－網(wǎng)關防御,,,,,,,,S262126G,用戶 B,SAM,SMP.edu,Internet,RG-S8614,攻擊者,我是用戶 B,網(wǎng)關綁定有SMP.edu下發(fā)的用戶B的可信任ARP表項：MAC – IP – 端口,運行SU的用戶PC,SMP防ARP方案：網(wǎng)關＋SU兩重防御,網(wǎng)關＋SUSMA.edu防御ARP仿冒網(wǎng)關攻擊欺騙網(wǎng)關攻擊中間人攻擊交換機防御ARPARP泛洪攻擊

24、不能防御主機欺騙主機攻擊,,可信ARP列表,網(wǎng)關IP&MAC信息,,,,,,,,SAM,SMP.edu,S8610,S5760,S5750,,接入層,,匯聚層,,核心層,友商設備,友商設備,友商設備,友商設備,SMP防ARP方案：接入交換機＋SU兩重防御,網(wǎng)關＋SUSMA.edu防御ARP欺騙主機攻擊仿冒網(wǎng)關攻擊中間人攻擊交換機防御ARPARP泛洪攻擊不能防御欺騙網(wǎng)關攻擊,,網(wǎng)關IP&MAC信息,,,,

25、,,,,SAM,SMP.edu,S8610,,接入層,,匯聚層,,核心層,友商設備,友商設備,S2126G,S2126G,S2126G,S2126G,用戶IP&MAC綁定信息,提 綱,Cisco防ARP方法,交換機防ARP安全端口DAI，配合DHCP SNOOPING利用DHCP SNOOPING建立的ARP數(shù)據(jù)庫，過濾ARP包防主機欺騙攻擊和網(wǎng)關欺騙攻擊限制端口ARP報文數(shù)量，防ARP泛洪攻擊IP Source

26、Guard ，配合DHCP SNOOPING，基于端口識別ARP報文是否是ARP欺騙,H3C防ARP方法,交換機防ARPARP CHECK允許合法ARP報文通過防主機欺騙和網(wǎng)關欺騙攻擊ARP DETECTION利用DHCP SNOOPING建立的ARP數(shù)據(jù)庫，過濾ARP報文防主機欺騙攻擊和網(wǎng)關欺騙攻擊限制端口ARP報文數(shù)量，防ARP泛洪攻擊核心交換機支持“授權(quán)ARP”建立不被攻擊者改動的ARP表9055/7500/

27、5600/5500/5510/5000/3600ARP源抑制限制ARP攻擊流，防泛洪攻擊ARP源地址檢查識別ARP報文是否是ARP欺騙支持“一鍵綁定”E126A/S3100/S3600/S5000/S5100，快速配置靜態(tài)ARPCAMS下傳網(wǎng)關IP+MAC綁定到客戶端在網(wǎng)關建立用戶IP+MAC的授權(quán)ARP表,神碼防ARP方法,交換機訪問管理AM類似安全地址＋arp check，防欺騙主機和欺騙網(wǎng)關攻擊ARP Gu