H3C防ARP解決與方案及配置

H3C防ARP解決方案及配置ARP,方案目錄TOC\o"1-5"\h\z第1章防ARP攻擊功能介紹 1-1ARP攻擊簡(jiǎn)介1-1ARP攻擊防御1-3DHCPSnooping功能 1-3ARP入侵檢測(cè)功能 1-4ARP報(bào)文限速功能 1-41.3防ARP攻擊配置指南 1-5第2章配置舉例 2-12.1組網(wǎng)需求 2-12.2組網(wǎng)圖2-22.3配置思路 2-22.4配置步驟 2-32.5注意事項(xiàng) 2-6防ARP攻擊配置舉例關(guān)鍵詞：ARP、DHCPSnooping摘要：本文主要介紹如何利用以太網(wǎng)交換機(jī)DHCP監(jiān)控模式下的防ARP攻擊功能，防止校園網(wǎng)中常見的''仿冒網(wǎng)關(guān)〃、''欺騙網(wǎng)關(guān)〃、''欺騙終端用戶〃、ARP泛洪等攻擊形式。同時(shí)，詳細(xì)描述了組網(wǎng)中各個(gè)設(shè)備的配置步驟和配置注意事項(xiàng)，指導(dǎo)用戶進(jìn)行實(shí)際配置?？s略語(yǔ)：ARP（AddressResolutionProtocol，地址解析協(xié)議）MITM（Man-In-The-Middle，中間人攻擊）第1章防ARP攻擊功能介紹近來，許多校園網(wǎng)絡(luò)都出現(xiàn)了ARP攻擊現(xiàn)象。嚴(yán)重者甚至造成大面積網(wǎng)絡(luò)不能正常訪問外網(wǎng)，學(xué)校深受其害。H3C公司根據(jù)校園網(wǎng)ARP攻擊的特點(diǎn)，給出了DHCP監(jiān)控模式下的防ARP攻擊解決方案，可以有效的防御''仿冒網(wǎng)關(guān)〃、''欺騙網(wǎng)關(guān)〃、''欺騙終端用戶〃、“ARP中間人攻擊〃、“ARP泛洪攻擊〃等校園網(wǎng)中常見的ARP攻擊方式；且不需要終端用戶安裝額外的客戶端軟件，簡(jiǎn)化了網(wǎng)絡(luò)配置。1.1ARP攻擊簡(jiǎn)介按照ARP協(xié)議的設(shè)計(jì)，一個(gè)主機(jī)即使收到的ARP應(yīng)答并非自身請(qǐng)求得到的，也會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，但也為''ARP欺騙〃創(chuàng)造了條件。校園網(wǎng)中，常見的ARP攻擊有如下幾中形式。（1）仿冒網(wǎng)關(guān)攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為網(wǎng)關(guān)IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給被攻擊的主機(jī)，使這些主機(jī)更新自身ARP表中網(wǎng)關(guān)IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來，主機(jī)訪問網(wǎng)關(guān)的流量，被重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。圖1-1“仿冒網(wǎng)關(guān)〃攻擊示意圖欺騙網(wǎng)關(guān)攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給網(wǎng)關(guān)；使網(wǎng)關(guān)更新自身ARP表中原合法用戶的IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來，網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。圖1-2''欺騙網(wǎng)關(guān)〃攻擊示意圖欺騙終端用戶攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給同網(wǎng)段內(nèi)另一臺(tái)合法主機(jī)；使后者更新自身ARP表中原合法用戶的IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來，網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶的所有數(shù)據(jù)都被重定向到錯(cuò)誤的MAC地址，同網(wǎng)段內(nèi)的用戶無法正?；ピL。圖1-3''欺騙終端用戶〃攻擊示意圖''中間人〃攻擊ARP''中間人〃攻擊，又稱為ARP雙向欺騙。如圖1-4所示，HostA和HostC通過Switch進(jìn)行通信。此時(shí)，如果有惡意攻擊者(HostB)想探聽HostA和HostC之間的通信，它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使HostA和HostC用MAC_B更新自身ARP映射表中與對(duì)方IP地址相應(yīng)的表項(xiàng)。此后，HostA和HostC之間看似''直接〃的通信，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即HostB擔(dān)當(dāng)了''中間人〃的角色，可以對(duì)信息進(jìn)行了竊取和篡改。這種攻擊方式就稱作'中間人(Man-In-The-Middle)攻擊〃。圖1-4ARP'中間人〃攻擊示意圖ARP報(bào)文泛洪攻擊惡意用戶利用工具構(gòu)造大量ARP報(bào)文發(fā)往交換機(jī)的某一端口，導(dǎo)致CPU負(fù)擔(dān)過重，造成其他功能無法正常運(yùn)行甚至設(shè)備癱瘓。1.2ARP攻擊防御H3C公司根據(jù)校園網(wǎng)ARP攻擊的特點(diǎn)，給出了DHCP監(jiān)控模式下的防ARP攻擊解決方案。通過接入交換機(jī)上開啟DHCPSnooping功能、配置IP靜態(tài)綁定表項(xiàng)、ARP入侵檢測(cè)功能和ARP報(bào)文限速功能，可以防御常見的ARP攻擊，如表1-1。表1-1常見網(wǎng)絡(luò)攻擊和防范對(duì)照表攻擊方式防御方法配置DHCP動(dòng)態(tài)獲取IP地址的用戶進(jìn)行''仿冒網(wǎng)關(guān)〃、''欺騙網(wǎng)關(guān)〃、''欺騙終端用戶〃、'ARP中間人攻擊配置DHCPSnooping、ARP入侵檢測(cè)功能手工配置IP地址的用戶進(jìn)行''仿冒網(wǎng)關(guān)〃、''欺騙網(wǎng)關(guān)〃、''欺騙終端用戶〃、“ARP中間人攻擊〃 配置IP靜態(tài)綁定表項(xiàng)、ARP入侵檢測(cè)功能ARP泛洪攻擊 配置ARP報(bào)文限速功能DHCPSnooping功能DHCPSnooping是運(yùn)行在二層接入設(shè)備上的一種DHCP安全特性。通過監(jiān)聽DHCP報(bào)文，記錄DHCP客戶端IP地址與MAC地址的對(duì)應(yīng)關(guān)系；通過設(shè)置DHCPSnooping信任端口，保證客戶端從合法的服務(wù)器獲取IP地址。信任端口正常轉(zhuǎn)發(fā)接收到的DHCP報(bào)文，從而保證了DHCP客戶端能夠從DHCP服務(wù)器獲取IP地址。人不信任端口接收到DHCP服務(wù)器響應(yīng)的DHCP-ACK和DHCP-OFFER報(bào)文后，丟棄該報(bào)文，從而防止了DHCP客戶端獲得錯(cuò)誤的IP地址。人說明：&目前H3C低端以太網(wǎng)交換機(jī)上開啟DHCPSnooping功能后，所有端口默認(rèn)被配置為DHCPSnooping非信任端口。為了使DHCP客戶端能從合法的DHCP服務(wù)器獲取IP地址，必須將與合法DHCP服務(wù)器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與DHCP客戶端相連的端口必須在同一個(gè)VLAN內(nèi)。ARP入侵檢測(cè)功能H3C低端以太網(wǎng)交換機(jī)支持將收到的ARP(請(qǐng)求與回應(yīng))報(bào)文重定向到CPU，結(jié)合DHCPSnooping安全特性來判斷ARP報(bào)文的合法性并進(jìn)行處理，具體如下。當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCPSnooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配，且ARP報(bào)文的入端口及其所屬VLAN與DHCPSnooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)一致，則為合法ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。人當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCPSnooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不匹配，或ARP報(bào)文的入端口，入端口所屬VLAN與DHCPSnooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不一致，則為非法ARP報(bào)文，直接丟棄。人說明：&DHCPSnooping表只記錄了通過DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息。如果固定IP地址的用戶需要訪問網(wǎng)絡(luò)，必須在交換機(jī)上手工配置IP靜態(tài)綁定表的表項(xiàng)，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。人實(shí)際組網(wǎng)中，為了解決上行端口接收的ARP請(qǐng)求和應(yīng)答報(bào)文能夠通過ARP入侵檢測(cè)問題，交換機(jī)支持通過配置ARP信任端口，靈活控制ARP報(bào)文檢測(cè)功能。對(duì)于來自信任端口的所有ARP報(bào)文不進(jìn)行檢測(cè)，對(duì)其它端口的ARP報(bào)文通過查看DHCPSnooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測(cè)。人1.2.4ARP報(bào)文限速功能H3C低端以太網(wǎng)交換機(jī)支持端口ARP報(bào)文限速功能，使受到攻擊的端口暫時(shí)關(guān)閉，來避免此類攻擊對(duì)CPU的沖擊。開啟某個(gè)端口的ARP報(bào)文限速功能后，交換機(jī)對(duì)每秒內(nèi)該端口接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果每秒收到的ARP報(bào)文數(shù)量超過設(shè)定值，則認(rèn)為該端口處于超速狀態(tài)（即受到ARP報(bào)文攻擊）。此時(shí)，交換機(jī)將關(guān)閉該端口，使其不再接收任何報(bào)文，從而避免大量ARP報(bào)文攻擊設(shè)備。同時(shí)，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能，對(duì)于配置了ARP限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過一段時(shí)間可以自動(dòng)恢復(fù)為開啟狀態(tài)。1.3防ARP攻擊配置指南表1-2防ARP攻擊配置任務(wù)操作命令說明-進(jìn)入系統(tǒng)視圖system-view-配置DHCPSnooping功能記錄DHCP客戶端的IP/MAC對(duì)應(yīng)關(guān)系開啟交換機(jī)DHCPSnooping功能dhcp-snooping必選缺省情況下，以太網(wǎng)交換機(jī)的DHCPSnooping功能處于禁止?fàn)顟B(tài)進(jìn)入以太網(wǎng)端口視圖 interfaceinterface-typeinterface-number-設(shè)置指定端口為DHCPSnooping信任端口 dhcp-snoopingtrust必選缺省情況下，交換機(jī)的端口均為不信任端口退出至系統(tǒng)視圖quit-配置指定端口的IP靜態(tài)綁定表項(xiàng) 進(jìn)入以太網(wǎng)端口視圖 interfaceinterface-typeinterface-number-配置IP靜態(tài)綁定表項(xiàng) ipsourcestaticbindingip-addressip-address[mac-addressmac-address] 可選缺省情況下，沒有配置IP靜態(tài)綁定表項(xiàng)退出至系統(tǒng)視圖quit-配置ARP入侵檢測(cè)功能，防御常見的ARP攻擊 進(jìn)入VLAN視圖vlanvlan-id-開啟ARP入侵檢測(cè)功能arpdetectionenable必選缺省情況下，指定VLAN內(nèi)所有端口的ARP入侵檢測(cè)功能處于關(guān)閉狀態(tài)開啟ARP嚴(yán)格轉(zhuǎn)發(fā)功能arprestricted-forwardingenable可選缺省情況下，ARP嚴(yán)格轉(zhuǎn)發(fā)功能處于關(guān)閉狀態(tài)退出至系統(tǒng)視圖quit-進(jìn)入以太網(wǎng)端口視圖interfaceinterface-typeinterface-number-配置ARP信任端口arpdetectiontrust可選缺省情況下，端口為ARP非信任端口配置ARP限速功能 開啟ARP報(bào)文限速功能 arprate-limitenable必選缺省情況下，端口的ARP報(bào)文限速功能處于關(guān)閉狀態(tài)配置允許通過端口的ARP報(bào)文的最大速率 arprate-limitrate可選缺省情況下，端口能通過的ARP報(bào)文的最大速率為15pps退出至系統(tǒng)視圖quit-開啟因ARP報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能 arpprotective-downrecoverenable可選缺省情況下，交換機(jī)的端口狀態(tài)自動(dòng)恢復(fù)功能處于關(guān)閉狀態(tài)配置因ARP報(bào)文超速而被關(guān)閉的端口的端口狀態(tài)自動(dòng)恢復(fù)時(shí)間 arpprotective-downrecoverintervalinterval可選缺省情況下，開啟端口狀態(tài)自動(dòng)恢復(fù)功能后，交換機(jī)的端口狀態(tài)自動(dòng)恢復(fù)時(shí)間為300秒說明：&有關(guān)各款交換機(jī)支持的防ARP攻擊功能的詳細(xì)介紹和配置命令，請(qǐng)參見各產(chǎn)品的操作、命令手冊(cè)。第2章配置舉例2.1組網(wǎng)需求某校園網(wǎng)內(nèi)大部分用戶通過接入設(shè)備連接網(wǎng)關(guān)和DHCP服務(wù)器，動(dòng)態(tài)獲取IP地址。管理員通過在接入交換機(jī)上全面部署防ARP攻擊相關(guān)特性，形成保護(hù)屏障，過濾掉攻擊報(bào)文。詳細(xì)網(wǎng)絡(luò)應(yīng)用需求分析如下。校園網(wǎng)用戶分布在兩個(gè)區(qū)域Hostarea1和Hostarea2，分別屬于VLAN10和VLAN20，通過接入交換機(jī)SwitchA和SwitchB連接到網(wǎng)關(guān)Gateway，最終連接外網(wǎng)和DHCP。人Hostarea1所在子網(wǎng)內(nèi)擁有一臺(tái)TFTP服務(wù)器，其IP地址為0/24，MAC地址為000d-85c7-4e00。人為防止仿冒網(wǎng)關(guān)、欺騙網(wǎng)關(guān)等ARP攻擊形式，開啟SwitchA上VLAN10內(nèi)、SwitchB上VLAN20內(nèi)ARP入侵檢測(cè)功能，設(shè)置SwitchA和SwitchB的端口Ethernet1/0/1為ARP信任端口。人為防止ARP泛洪攻擊，在SwitchA和SwitchB所有直接連接客戶端的端口上開啟ARP報(bào)文限速功能。同時(shí)，開啟因ARP報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能，并設(shè)置恢復(fù)時(shí)間間隔100秒。人2.2組網(wǎng)圖圖2-1DHCP監(jiān)控模式下的防ARP攻擊組網(wǎng)示意圖2.3配置思路在接入交換機(jī)SwitchA和SwitchB上開啟DHCPsnooping功能，并配置與DHCP服務(wù)器相連的端口為DHCPsnooping信任端口。人在接入交換機(jī)SwitchA上為固定IP地址的TFTP服務(wù)器配置對(duì)應(yīng)的IP靜態(tài)綁定表項(xiàng)。人在接入交換機(jī)SwitchA和SwitchB對(duì)應(yīng)VLAN上開啟ARP入侵檢測(cè)功能，并配置其上行口為ARP信任端口。人在接入交換機(jī)SwitchA和SwitchB直接連接客戶端的端口上配置ARP報(bào)文限速功能，同時(shí)全局開啟因ARP報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能。人2.4配置步驟使用的版本本舉例中使用的接入交換機(jī)SwitchA和SwitchB為E126A系列以太網(wǎng)交換機(jī)。配置客戶端動(dòng)態(tài)獲取IP地址。圖2-2配置客戶端自動(dòng)獲取IP地址示意圖配置SwitchA開啟DHCPsnooping。<SwitchA>system-view[SwitchA]dhcp-snooping創(chuàng)建VLAN10，并將端口Ethernet1/0/1到Ethernet1/0/4加入VLAN10中。[SwitchA]vlan10[SwitchA-vlan10]portEthernet1/0/1toEthernet1/0/4[SwitchA-vlan10]quit#配置SwitchA的上行口為DHCPsnooping信任端口和ARP信任端口功能。[SwitchA]interfaceethernet1/0/1[SwitchA-Ethernet1/0/1]dhcp-snoopingtrust[SwitchA-Ethernet1/0/1]arpdetectiontrust[SwitchA-Ethernet1/0/1]quit#開啟VLAN10內(nèi)所有端口的ARP入侵檢測(cè)功能。[SwitchA]vlan10[SwitchA-vlan10]arpdetectionenable[SwitchA-vlan10]quit#在SwitchA的端口Ethernet1/0/4上配置IP靜態(tài)綁定表項(xiàng)。[SwitchA]interfaceEthernet1/0/4[SwitchA-Ethernet1/0/4]ipsourcestaticbindingip-address0mac-address000d-85c7-4e00[SwitchA-Ethernet1/0/4]quit開啟SwitchA的端口Ethernet1/0/2、Ethernet1/0/3上的ARP報(bào)文限速功能。[SwitchA]interfaceEthernet1/0/2[SwitchA-Ethernet1/0/2]arprate-limitenable[SwitchA-Ethernet1/0/2]arprate-limit20[SwitchA-Ethernet1/0/2]quit[SwitchA]interfaceEthernet1/0/3[SwitchA-Ethernet1/0/3]arprate-limitenable[SwitchA-Ethernet1/0/3]arprate-limit20[SwitchA-Ethernet1/0/3]quit#配置端口狀態(tài)自動(dòng)恢復(fù)功能，恢復(fù)時(shí)間間隔為100秒。[SwitchA]arpprotective-downrecoverenable[SwitchA]arpprotective-downrecoverinterval100#配置網(wǎng)關(guān)的缺省路由。[SwitchA]iproute-static0配置SwitchB開啟DHCPsnooping。<SwitchB>system-view[SwitchB]dhcp-snooping#創(chuàng)建VLAN20，并將相應(yīng)端口加入VLAN20中。[SwitchB]vlan20[SwitchB-vlan20]portEthernet1/0/1toEthernet1/0/4[SwitchB-vlan20]quit#配置SwitchB的上行口為DHCPsnooping信任端口和ARP信任端口功能。[SwitchB]interfaceethernet1/0/1[SwitchB-Ethernet1/0/1]dhcp-snoopingtrust[SwitchB-Ethernet1/0/1]arpdetectiontrust[SwitchB-Ethernet1/0/1]quit#開啟VLAN20內(nèi)所有端口的ARP入侵檢測(cè)功能。[SwitchB]vlan20[SwitchB-vlan20]arpdetectionenable[SwitchB-vlan20]quit開啟SwitchA的端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4上的ARP報(bào)文限速功能。[SwitchB]interfaceEthernet1/0/2[SwitchB-Ethernet1/0/2]arprate-limitenable[SwitchB-Ethernet1/0/2]arprate-limit20[SwitchB-Ethernet1/0/2]quit[SwitchB]interfaceEthernet1/0/3[SwitchB-Ethernet1/0/3]arprate-limitenable[SwitchB-Ethernet1/0/3]arprate-limit20[SwitchB-Ethernet1/0/3]quit[SwitchB]interfaceEthernet1/0/4[SwitchB-Ethernet1/0/4]arprate-limitenable[SwitchB-Ethernet1/0/4]arprate-limit20[SwitchB-Ethernet1/0/4]quit#配置端口狀態(tài)自動(dòng)恢復(fù)功能，恢復(fù)時(shí)間間隔為100秒。[SwitchB]arpprotective-downrecoverenable[SwitchB]arpprotective-downrecoverinterval100#配置網(wǎng)關(guān)的缺省路由。[SwitchB]iproute-static0配置Gateway<Gateway>system-view#創(chuàng)建VLAN10和VLAN20，并添加相應(yīng)端口。[Gateway]vlan10[Gateway-vlan10]portEthernet1/0/1[Gateway-vlan10]quit[Gateway]vlan20[Gateway-vlan20]portEthernet1/0/2[Gateway-vlan20]quit配置Vlan-interface10的IP地址為/24。[Gateway]interfacevlan10[Gateway-Vlan-interface10]ipaddress24[Gateway-Vlan-interface10]quit配置Vlan-interface20的IP地址為/24。[Gateway]interfacevlan20[Gateway-Vlan-interface20]ipaddress24[Gateway-Vlan-interface20]quit配置DHCP服務(wù)器由于作為DHCP服務(wù)器的設(shè)備不同，所需進(jìn)行的配置也不