中文版 | English
    1.  

      内网防止ARP攻击 解决方案
        自2006年以来,基于病毒的arp攻击愈演愈烈。地址转换协议ARP(Address Resolution Protocol)是个链路层协议,它工作在OSI参考模型的第二层即数据链路层,与下层物理层之间通过硬件接口进行联系,同时为上层网络层提供服务。ARP攻击原理虽然简单,易于分析,但是网络攻击往往是越简单越易于散布,造成的危害越大。对于网络协议,可以说只要没有验证机制,那么就可以存在欺骗攻击,可以被非法利用。下面我们介绍几种常见ARP攻击典型的症状:
      • 上网的时候经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的。下载的软件不是原本要下载的,而是其它非法程序。
      • 网关设备ARP表项存在大量虚假信息,上网时断时续;网页打开速度让使用者无法接受。
      • 终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
        对于ARP攻击,可以简单分为两类:
        一、ARP欺骗攻击,又分为ARP仿冒网关攻击和ARP仿冒主机攻击。
        二、ARP泛洪(Flood)攻击,也可以称为ARP扫描攻击。
        对于这两类攻击,攻击程序都是通过构造非法的ARP报文,修改报文中的源IP地址与(或)源MAC地址,不同之处在于前者用自己的MAC地址进行欺骗,后者则大量发送虚假的ARP报文,拥塞网络。
        接入交换机ARP攻击防御
        接入交换机是最接近用户侧的网络设备,也最适于通过它进行相关网络攻击防护。通过对接入交换机的适当设置,我们可以将很多网络威胁隔离在交换机的每端口内,而不至于对整网产生危害。
       1:AM功能
        AM(access management)又名访问管理,它利用收到数据报文的信息(源IP 地址或者源IP+源MAC)与配置硬件地址池(AM pool)相比较,如果找到则转发,否则丢弃。
        AM pool 是一个地址列表,每一个地址表项对应于一个用户。每一个地址表项包括了地址信息及其对应的端口。地址信息可以有两种:
      • IP 地址(ip-pool),指定该端口上用户的源IP 地址信息。
      • MAC-IP 地址(mac-ip pool),指定该端口上用户的源MAC 地址和源IP 地址信息。
        当AM使能的时候,AM模块会拒绝所有的IP报文通过(只允许IP地址池内的成员源地址通过)。
        我们可以在交换机端口创建一个MAC+IP 地址绑定,放到地址池中。当端口下联主机发送的IP报文(包含ARP报文)中,所含的源IP+源MAC不符合地址池中的绑定关系,此报文就将被丢弃。 配置命令示例如下:
        举例:使能AM 并允许交接口4 上源IP为192.1.1.2,源MAC是00-01-10-22-33-10 的用户通过。
      Switch(Config)#am enable
      Switch(Config)#interface Ethernet 0/0/4
      Switch(Config-Ethernet0/0/4)#am port
      Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2
        功能优点
        配置简单,除了可以防御ARP攻击,还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。
        功能缺点
      • 需要占用交换机ACL资源
      • 网络管理员配置量大,终端移动性差
       2:ARP Guard功能 
        基本原理就是利用交换机的过滤表项,检测从端口输入的所有ARP 报文,如果ARP 报文的源IP 地址是受到保护的IP 地址,就直接丢弃报文,不再转发。
        举例:在端口Ethernet0/0/1 启动配置ARP Guard 地址192.168.1.1(设为网关地址)。
      Switch(Config)#interface ethernet0/0/1
      Switch(Config- Ethernet 0/0/1)# arp-guard ip 192.168.1.1
        端口Ethernet0/0/1端口发出的仿冒网关ARP报文都会被丢弃,所以ARP Guard 功能常用于保护网关不被攻击。
        功能优点
        配置简单,适用于ARP仿冒网关攻击防护快速部署。
        功能缺点
        ARP Guard需要占用芯片FFP 表项资源,交换机每端口配置数量有限。
       3:DHCP Snooping功能
        实现原理:接入层交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。下图为交换机DHCP Snooping功能原理说明:
      1)主机A向DHCP Server发起DHCP 请求,交换机记录下发起请求的PORT和MAC。
      2)DHCP Server返回分配给用户的IP地址,交换机上记录下DHCP返回的IP地址。
      3)交换机根据DHCP snooping功能记录下来的信息,在相应的交换机端口上绑定合法的IP、MAC信息。
        举例:如上图在交换机在端口Ethernet0/0/2 启动DHCP Snooping功能,并进行ARP绑定。
      Switch(Config)#ip dhcp snooping enable
      Switch(Config)#ip dhcp snooping binding enable
      Switch(Config)#interface ethernet 0/0/1
      Switch(Config-Ethernet0/0/1)#ip dhcp snooping trust  
      //DHCP服务器连接端口需设置为Trust
      Switch(Config-Ethernet0/0/1)#interface ethernet 0/0/2
      Switch(Config-Ethernet0/0/2)#ip dhcp snooping binding arp
      Switch(Config-Ethernet0/0/2)#exit
       功能优点
        被动侦听,自动绑定,对信息点数量没有要求,适用于IP地址动态分配环境下广泛实施。
       功能缺点
        IP地址静态环境下,需要手工添加绑定关系,配置量较大。
       4:端口ARP限速功能
        神州数码系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特征的主机或端口,将切断攻击源头,保障网络的安全。
        有两种方式来防ARP 扫描:基于端口和基于IP。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量,若超过了预先设定的阈值,则会down 掉此端口。基于IP 的ARP 扫描则计算一段时间内从网段内某IP 收到的ARP 报文的数量,若超过了预先设置的阈值,则禁止来自此IP 的任何流量,而不是down 与此IP 相连的端口。此两种防ARP 扫描功能可以同时启用。端口或IP 被禁掉后,可以通过自动恢复功能自动恢复其状态。
        举例:如上图在交换机的端口启动ARP报文限速功能。
      Switch(Config)#anti-arpscan enable //使能Anti-arpscan
      Switch(Config)#anti-arpscan port-based threshold 10  //设置每个端口每秒的ARP报文上限
      Switch(Config)#anti-arpscan ip-based threshold 10 //设置每个IP每秒的ARP报文上限
      Switch(Config)#anti-arpscan recovery enable  //开启防网段扫描自动恢复功能
      Switch(Config)#anti-arpscan recovery time 90  //设置自动恢复的时间90秒
       功能优点
        全局使能,无须在端口模式下配置,配置简单。
       功能缺点
        不能杜绝虚假ARP报文,只是适用于对ARP扫描或者flood攻击防御,建议和交换机其它功能一起使用
       
  • 联系我们 | English Copyright ©2010-2012 甘肃萃英信息科技有限公司 版权所有 陇ICP备17005464号
    腾讯时时彩_官网 腾讯时时彩---苹果彩票网址_欢迎您 腾讯时时彩_Welcome 腾讯时时彩_官网 腾讯时时彩-苹果彩票网址