ARP問題解決方案.ppt

銳捷高校ARP問題解決方案,教育行業(yè)部 2008年11月,提 綱,3,什么是ARP,ARP（Address Resolution Protocol ） 簡單的說，ARP就是IP和MAC的對應(yīng)關(guān)系 ARP原理 ARP請求 某機(jī)器A要向主機(jī)B發(fā)送報(bào)文，會(huì)查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，進(jìn)行數(shù)據(jù)傳輸 如果未找到，則廣播一個(gè)ARP請求報(bào)文 ARP應(yīng)答 網(wǎng)上所有主機(jī)包括B都收到ARP請求，理想情況是只有主機(jī)B向主機(jī)A發(fā)回一個(gè)ARP響應(yīng)報(bào)文，其中包含有B的MAC地址 存在風(fēng)險(xiǎn) 不幸的是，網(wǎng)內(nèi)所有的主機(jī)均可向A發(fā)回一個(gè)ARP響應(yīng)報(bào)文，并且可以隨意修改ARP響應(yīng)報(bào)文中的IP和MAC,3,什么是ARP攻擊,ARP攻擊 就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞 攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)報(bào)文就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊 ARP攻擊的危害主要存在于局域網(wǎng)網(wǎng)絡(luò)中 如果局域網(wǎng)中有一個(gè)人感染ARP病毒，則感染該ARP病毒的系統(tǒng)將會(huì)試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障,ARP攻擊的主要現(xiàn)象,上網(wǎng)速度慢 網(wǎng)絡(luò)上有大量ARP報(bào)文 某一區(qū)域不能上網(wǎng)或時(shí)通時(shí)斷 同樣配置只有某一臺(tái)機(jī)器不能上網(wǎng) 正在使用某一類應(yīng)用的PC依次掉線或時(shí)通時(shí)斷 不斷彈出“本機(jī)的0-255段硬件地址與網(wǎng)絡(luò)中的0-255段地址沖突”的對話框，等等,ARP攻擊的主要形式,ARP欺騙攻擊 欺騙主機(jī)攻擊 冒充網(wǎng)關(guān)攻擊 欺騙網(wǎng)關(guān)攻擊 中間人攻擊 ARP泛洪攻擊 消耗帶寬攻擊 拒絕服務(wù)攻擊 ARP溢出攻擊 ARP掃描攻擊 IP地址沖突 單播型的IP地址沖突 廣播型的IP地址沖突 虛擬主機(jī)攻擊,欺騙主機(jī)攻擊,PC B,攻擊者： 發(fā)送ARP欺騙,網(wǎng)關(guān):MAC A, MAC C, MAC B,發(fā)送ARP響應(yīng)，告訴：對應(yīng)的MAC是MAC C,ARP表刷新對應(yīng)的是MAC C: MACC,主機(jī)外出的發(fā)送到網(wǎng)關(guān)的流量實(shí)際發(fā)送給攻擊者 MAC C,PC B,攻擊者： 發(fā)送ARP欺騙,發(fā)送ARP響應(yīng)，告訴：對應(yīng)的MAC是MAC C,ARP表刷新，對應(yīng)的是MAC C： MAC C,網(wǎng)關(guān)返回的給pc B的流量被網(wǎng)關(guān)轉(zhuǎn)發(fā)給攻擊者,網(wǎng)關(guān):MAC A, MAC C, MAC B,PC B上網(wǎng)的流量，通過默認(rèn)網(wǎng)關(guān)發(fā)送給網(wǎng)關(guān),欺騙網(wǎng)關(guān)攻擊,發(fā)送ARP響應(yīng)，告訴：對應(yīng)的MAC是MAC C,PC B,攻擊者： 發(fā)送ARP欺騙, MAC A, MAC C, MAC B,發(fā)送ARP響應(yīng)，告訴：對應(yīng)的MAC是MAC C,ARP表刷新，對應(yīng)的是MAC C,發(fā)送到網(wǎng)關(guān)的流量均發(fā)到攻擊者 MAC C,ARP表刷新，對應(yīng)的是MAC C,中間人攻擊,攻擊者再把流量轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)MAC A,主機(jī)D IP: Mac:MAC D,主機(jī)C IP: Mac:MAC C,主機(jī)B IP: Mac:MAC B,主機(jī)A IP: Mac: MAC A,網(wǎng)關(guān)E IP:54 Mac：E,3、網(wǎng)關(guān)E被錯(cuò)誤 ARP表充滿，導(dǎo)致無法更新維護(hù)正常ARP表,1、發(fā)送大量ARP請求報(bào)文,2、網(wǎng)關(guān)E的CPU利用率上升，難以響應(yīng)正常服務(wù)請求。,2、發(fā)送大量虛假的ARP響應(yīng)報(bào)文,ARP泛洪攻擊,1、消耗網(wǎng)絡(luò)帶寬資源。ARP掃描往往是進(jìn)一步攻擊的前奏。,ARP泛洪攻擊,攻擊主機(jī)持續(xù)把偽造的MAC-IP映射對發(fā)給受攻擊主機(jī)，對于局域網(wǎng)內(nèi)的所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播，搶占網(wǎng)絡(luò)帶寬和干擾正常通信。這種攻擊方式的主要攻擊特征包含： 通過不斷發(fā)送偽造的ARP廣播數(shù)據(jù)包使得交換機(jī)忙于處理廣播數(shù)據(jù)包而耗盡網(wǎng)絡(luò)帶寬 令局域網(wǎng)內(nèi)部的主機(jī)或網(wǎng)關(guān)找不到正確的通信對象，使得正常通信被阻斷 用虛假的地址信息占滿主機(jī)的ARP高速緩存空間，造成主機(jī)無法創(chuàng)建緩存表項(xiàng)，無法正常通信，這種攻擊特征作者將其命名為ARP溢出攻擊 主機(jī)ARP緩存溢出 交換機(jī)CAM表溢出 ARP泛洪攻擊不是以盜取用戶數(shù)據(jù)為目的，它是以破壞網(wǎng)絡(luò)為目的，屬于損人不利己的行為,提 綱,ARP防御的網(wǎng)絡(luò)設(shè)備,ARP欺騙發(fā)生在PC主機(jī)到網(wǎng)關(guān)，包括的網(wǎng)元有： 客戶端 接入交換機(jī) 網(wǎng)關(guān),PC主機(jī);,PC主機(jī);,PC主機(jī);,PC主機(jī);,客戶端ARP防御手段1主機(jī)手動(dòng)綁定ARP 表,優(yōu)點(diǎn) 最節(jié)省成本的方式 缺點(diǎn) 配置麻煩，主機(jī)需要通信的目標(biāo)很多，不可能一個(gè)一個(gè)都綁定 容易失效，這種方法進(jìn)行的綁定，一拔掉網(wǎng)線或者關(guān)機(jī)、注銷就全部失效了，如果想繼續(xù)使用，就需要重新綁定 只能進(jìn)行主機(jī)端的防御，如果網(wǎng)關(guān)遭欺騙則無能為力 主機(jī)端手動(dòng)綁定也是只能實(shí)現(xiàn)部分防御，需要與其他方法結(jié)合來完善,原理 每個(gè)主機(jī)都不停地發(fā)送免費(fèi)ARP Response廣播，來告訴別人自己的IP和MAC的綁定關(guān)系 優(yōu)點(diǎn) 硬件無關(guān)性 缺點(diǎn) 如果攻擊廣播報(bào)文頻率提升，ARP問題重現(xiàn) 主機(jī)ARP 表更新頻繁，容易掉線,客戶端ARP防御手段2主機(jī)安裝ARP防御軟件,交換機(jī)ARP防御手段ARP欺騙防御,16,綁定用戶正確的IP和MAC地址,檢查ARP報(bào)文中的IP和MAC,第一步：,第二步：,符合,N,丟棄,Y,通過,關(guān)鍵是如何建立真實(shí)的IP-MAC表,交換機(jī)功能 支持在端口設(shè)置安全地址 支持在端口做ARP CHECK 優(yōu)點(diǎn) 成本低 缺點(diǎn) 工作量大，維護(hù)不方便 防范范圍有限（到端口） 無法適應(yīng)DHCP環(huán)境,交換機(jī)防御ARP 欺騙1接入交換機(jī)手動(dòng)綁定IP/MAC,網(wǎng)關(guān),安全交換機(jī),,,,,,在端口檢查ARP報(bào)文，丟棄不符合端口綁定信息的ARP報(bào)文,優(yōu)點(diǎn) 自動(dòng)化實(shí)現(xiàn)ARP綁定 部署簡單 缺點(diǎn) 適合于動(dòng)態(tài)IP環(huán)境，如在靜態(tài)IP環(huán)境則回歸手動(dòng)綁定的原始狀態(tài),網(wǎng)關(guān),安全交換機(jī),DHCP 服務(wù)器,DHCP請求,DHCP響應(yīng),DHCP Snooping建立ARP數(shù)據(jù)庫,交換機(jī)防御ARP 欺騙2動(dòng)態(tài)ARP檢查DAI,交換機(jī)支持功能 支持DHCP SNOOPING功能 支持動(dòng)態(tài)ARP檢查（DAI）功能,PC B,攻擊者： 發(fā)送ARP欺騙,網(wǎng)關(guān):MAC A, MAC C, MAC B,發(fā)送ARP響應(yīng)，告訴：對應(yīng)的MAC是MAC C,ARP表項(xiàng)重網(wǎng)關(guān)對應(yīng)的依舊是MAC A: MAC A,交換機(jī)非上聯(lián)接口打開防網(wǎng)關(guān)ARP欺騙功能，過濾用戶對網(wǎng)關(guān)ip的非法arp響應(yīng),下聯(lián)口有對指定網(wǎng)關(guān)的arp響應(yīng)，deny！,交換機(jī)防御ARP 欺騙3接入交換機(jī)手動(dòng)綁定網(wǎng)關(guān),優(yōu)點(diǎn)：操作簡單 缺點(diǎn)：只能防冒充網(wǎng)關(guān)攻擊，防范范圍有限（到端口）,交換機(jī)功能 支持防網(wǎng)關(guān)欺騙功能 作用 防冒充網(wǎng)關(guān)攻擊,交換機(jī)支持功能 支持802.1x 優(yōu)點(diǎn) 認(rèn)證過程中自動(dòng)綁定IP-MAC 動(dòng)/靜態(tài)IP環(huán)境皆可 缺點(diǎn) 防范范圍受限（到端口）,網(wǎng)關(guān),安全交換機(jī),802.1x服務(wù)器,1x認(rèn)證請求,用戶的IP/MAC信息,IP授權(quán),交換機(jī)防御ARP 欺騙4結(jié)合802.1x技術(shù),PC B,攻擊者： 發(fā)送ARP欺騙,發(fā)送ARP響應(yīng)，告訴：對應(yīng)的MAC是MAC C,網(wǎng)關(guān)綁定主機(jī)正確的ipmac關(guān)系： Ip Bmac B Ip Cmac C Ip Nmac N,網(wǎng)關(guān):MAC A, MAC C, MAC B,PC B上網(wǎng)的流量，通過默認(rèn)網(wǎng)關(guān)發(fā)送給網(wǎng)關(guān),用戶的arp信息已經(jīng)在網(wǎng)關(guān)的arp表項(xiàng)中，網(wǎng)關(guān)不再學(xué)習(xí)已存在表項(xiàng)的信息,網(wǎng)關(guān)返回給PC B的流量被網(wǎng)關(guān)正確地發(fā)送給PC B,網(wǎng)關(guān)防御ARP 欺騙手段網(wǎng)關(guān)綁定主機(jī)IP/MAC,優(yōu)點(diǎn)：成本低 缺點(diǎn)：工作量大維護(hù)不方便；只能防欺騙網(wǎng)關(guān)攻擊，不適應(yīng)DHCP環(huán)境,作用 防欺騙網(wǎng)關(guān)攻擊,交換機(jī)ARP防御手段ARP泛洪攻擊防御,交換機(jī)支持功能 支持ARP流限速 支持在端口下限速或者在全局下限速,網(wǎng)關(guān),安全交換機(jī),DHCP 服務(wù)器,DHCP請求,DHCP響應(yīng),DHCP Snooping建立ARP數(shù)據(jù)庫,提 綱,利用交換機(jī)防御ARP攻擊方案靜態(tài)IP環(huán)境,在接入交換機(jī)端口控制主機(jī)發(fā)送ARP欺騙報(bào)文 在交換機(jī)端口設(shè)置安全地址 在端口打開arp check，只允許合法ARP報(bào)文通過 防主機(jī)欺騙和網(wǎng)關(guān)欺騙攻擊 銳捷S21/S23/S26/S29/S32/S37/S5760/S76/S86支持 在接入交換機(jī)端口下過濾假冒網(wǎng)關(guān)的ARP應(yīng)答 在下聯(lián)端口設(shè)置anti-arp-spoofing，丟棄冒充網(wǎng)關(guān)的ARP報(bào)文 防冒充網(wǎng)關(guān)攻擊 S21/S23/S26/S32/S37/S5760支持 在網(wǎng)關(guān)交換機(jī)上綁定各主機(jī)的ARP表項(xiàng)（可選） 在交換機(jī)上進(jìn)行ARP攻擊流限速 開啟ARP抗攻擊（ arp-guard） 識(shí)別、隔離和清除ARP攻擊 進(jìn)行ARP限速 防ARP泛洪攻擊（含ARP DOS攻擊）、ARP掃描攻擊 S23/S26/S29/S32/S37/S57/S76/S86支持,利用交換機(jī)防御ARP攻擊方案動(dòng)態(tài)IP環(huán)境,在交換機(jī)上開啟DHCP SNOOPING 建立ARP數(shù)據(jù)庫 在網(wǎng)關(guān)和接入交換機(jī)上開啟動(dòng)態(tài)ARP檢查DAI 依據(jù)ARP數(shù)據(jù)庫過濾ARP報(bào)文 防主機(jī)欺騙攻擊和網(wǎng)關(guān)欺騙攻擊 限制端口ARP報(bào)文數(shù)量，防ARP泛洪攻擊 S21/S23/S26/S29/S32/S37/S57/S76/S86支持 在交換機(jī)上進(jìn)行ARP攻擊流限速 開啟ARP抗攻擊（ arp-guard） 識(shí)別、隔離和清除ARP攻擊 進(jìn)行ARP限速 防ARP泛洪攻擊（含ARP DOS攻擊）、ARP掃描攻擊 S23/S26/S29/S32/S37/S57/S76/S86支持,SMP防ARP方案：ARP三重立體防御解決方案,ARP欺騙攻擊 欺騙網(wǎng)關(guān)攻擊 欺騙主機(jī)攻擊 仿冒網(wǎng)關(guān)攻擊 中間人攻擊 ARP泛洪攻擊 消耗帶寬攻擊 拒絕服務(wù)攻擊 ARP溢出攻擊 IP地址沖突 單播型的IP地址沖突 廣播型的IP地址沖突 ARP掃描攻擊 虛擬主機(jī)攻擊,ARP三重立體防御客戶端防御,S262126G,運(yùn)行SU的用戶PC,SAM,SMP.edu,Internet,RG-S8614,攻擊者,我是網(wǎng)關(guān),綁定有SMP.edu下發(fā)的網(wǎng)關(guān)IP/MAC信息,ARP三重立體防御交換機(jī)非法報(bào)文過濾,S262126G,用戶 B,SAM,SMP.edu,Internet,RG-S8614,攻擊者,我是用戶 B,端口綁定有SMP.edu下發(fā)的用戶A的IP/MAC綁定信息,運(yùn)行SU的用戶PC,用戶 A,ARP三重立體防御網(wǎng)關(guān)防御,S262126G,用戶 B,SAM,SMP.edu,Internet,RG-S8614,攻擊者,我是用戶 B,網(wǎng)關(guān)綁定有SMP.edu下發(fā)的用戶B的可信任ARP表項(xiàng)： MAC IP 端口,運(yùn)行SU的用戶PC,SMP防ARP方案：網(wǎng)關(guān)SU兩重防御,網(wǎng)關(guān)SU SMA.edu防御ARP 仿冒網(wǎng)關(guān)攻擊 欺騙網(wǎng)關(guān)攻擊 中間人攻擊 交換機(jī)防御ARP ARP泛洪攻擊 不能防御 主機(jī)欺騙主機(jī)攻擊,可信ARP列表,網(wǎng)關(guān)IP&MAC信息,SAM,SMP.edu,S8610,S5760,S5750,接入層,匯聚層,核心層,友商設(shè)備,友商設(shè)備,友商設(shè)備,友商設(shè)備,SMP防ARP方案：接入交換機(jī)SU兩重防御,網(wǎng)關(guān)SU SMA.edu防御ARP 欺騙主機(jī)攻擊 仿冒網(wǎng)關(guān)攻擊 中間人攻擊 交換機(jī)防御ARP ARP泛洪攻擊 不能防御 欺騙網(wǎng)關(guān)攻擊,網(wǎng)關(guān)IP&MAC信息,SAM,SMP.edu,S8610,接入層,匯聚層,核心層,友商設(shè)備,友商設(shè)備,S2126G,S2126G,S2126G,S2126G,用戶IP&MAC綁定信息,提 綱,Cisco防ARP方法,交換機(jī)防ARP 安全端口 DAI，配合DHCP SNOOPING 利用DHCP SNOOPING建立的ARP數(shù)據(jù)庫，過濾ARP包 防主機(jī)欺騙攻擊和網(wǎng)關(guān)欺騙攻擊 限制端口ARP報(bào)文數(shù)量，防ARP泛洪攻擊 IP Source Guard ，配合DHCP SNOOPING，基于端口 識(shí)別ARP報(bào)文是否是ARP欺騙,H3C防ARP方法,交換機(jī)防ARP ARP CHECK 允許合法ARP報(bào)文通過 防主機(jī)欺騙和網(wǎng)關(guān)欺騙攻擊 ARP DETECTION 利用DHCP SNOOPING建立的ARP數(shù)據(jù)庫，過濾ARP報(bào)文 防主機(jī)欺騙攻擊和網(wǎng)關(guān)欺騙攻擊 限制端口ARP報(bào)文數(shù)量，防ARP泛洪攻擊 核心交換機(jī)支持“授權(quán)ARP” 建立不被攻擊者改動(dòng)的ARP表 9055/7500/5600/5500/5510/5000/3600 ARP源抑制 限制ARP攻擊流，防泛洪攻擊 ARP源地址檢查 識(shí)別ARP報(bào)文是否是ARP欺騙 支持“一鍵綁定” E126A/S3100/S3600/S5000