低端交換機安全技術原理以及配置

低端交換機安全技術原理以及配置第1頁，課件共64頁，創(chuàng)作于2023年2月第一節(jié)802.1X認證基本原理及配置第二節(jié)MAC地址認證基本原理及配置第三節(jié)端口隔離技術及配置第四節(jié)端口綁定技術及配置第五節(jié)ARP防攻擊相關技術及配置目錄第2頁，課件共64頁，創(chuàng)作于2023年2月802.1x協(xié)議起源802.1x協(xié)議起源于802.11協(xié)議，后者是標準的無線局域網(wǎng)協(xié)議，802.1x協(xié)議的全稱是基于端口的訪問控制協(xié)議，主要目的是為了解決無線局域網(wǎng)用戶的接入認證問題，它通過控制端口訪問節(jié)點來提供無線局域網(wǎng)用戶接入認證和安全性，隨著局域網(wǎng)寬帶接入的不斷普及，局域網(wǎng)接入用戶需要進行認證的要求越發(fā)迫切，802.1x現(xiàn)在已經(jīng)開始被應用于一般的有線LAN的接入。第3頁，課件共64頁，創(chuàng)作于2023年2月802.1x協(xié)議簡介802.1x協(xié)議首先是一個認證協(xié)議，是一種對用戶進行認證的方法和策略802.1x協(xié)議是IEEE為了解決基于端口的接入控制而定義的一個標準802.1x的認證的最終目的就是確定一個端口是否可用，對于一個端口，如果認證成功那么就“打開”這個端口，允許所有的報文通過；如果認證不成功就使這個端口保持“關閉”，此時只允許802.1x的認證報文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通過。第4頁，課件共64頁，創(chuàng)作于2023年2月802.1x協(xié)議簡介802.1x認證系統(tǒng)組成SupplicantEAPOLAuthenticatorAuthenticationServerEAPOverRadiusORStandardRadius第5頁，課件共64頁，創(chuàng)作于2023年2月802.1x體系結構SupplicantSystemAuthenticatorSystemAuthenticationServerSystemPAE：認證機制中負責處理算法和協(xié)議的實體。EAP：ExtensibleAuthenticationProtocol第6頁，課件共64頁，創(chuàng)作于2023年2月802.1x體系結構受控端口設備端為客戶端提供接入局域網(wǎng)的端口，這個端口被劃分為兩個虛端口：受控端口和非受控端口非受控端口:始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議幀，保證客戶端始終能夠發(fā)出或接受認證。受控端口:在授權狀態(tài)下處于連通狀態(tài)，用于傳遞業(yè)務報文；在非授權狀態(tài)下處于斷開狀態(tài)，禁止傳遞任何報文。第7頁，課件共64頁，創(chuàng)作于2023年2月802.1x體系結構端口受控方向E3/0/1E3/0/2單向雙向Internet我司產(chǎn)品在實現(xiàn)時，對端口在非授權狀態(tài)下，實行入方向單向受控，即禁止從客戶端接收幀，但允許向客戶端發(fā)送幀。因此常常會發(fā)現(xiàn)，端口由授權狀態(tài)轉變成非授權狀態(tài)后，用戶主機的IPTV客戶端仍然可以持續(xù)播放視頻幾分鐘，就是這個原因。但由于收不到用戶主機發(fā)來的組播組成員報告，隨著組播組的老化被刪除，最終IPTV被中斷

雙向受控單向受控雙向受控對受控端口的輸入流和輸出流都進行控制，在端口未授權前兩個方向的流量都不能通過受控端口第8頁，課件共64頁，創(chuàng)作于2023年2月802.1x的工作方式客戶端和設備端通過EAPOL幀來交互消息設備端和認證服務器端可以通過EAP中繼方式或EAP終結方式交互信息設備端和認證服務器端可以分布在兩個不同的實體上也可以集中在同一個實體上客戶端PAE設備端PAE認證服務器EAPOLRADIUS協(xié)議承載的EAP/PAP/CHAP交換第9頁，課件共64頁，創(chuàng)作于2023年2月802.1x端口受控方式基于MAC的認證方式啟用802.1X認證的端口下只要有一個用戶通過了認證則該端口打開，其余下掛在這個端口下的用戶也可以通過這個端口傳輸數(shù)據(jù)基于端口的認證方式兩種端口受控方式：基于端口的認證：只要該物理端口下的第一個用戶認證成功后，其他接入用戶無須認證就可使用網(wǎng)絡資源，當?shù)谝粋€用戶下線后，其他用戶也會被拒絕使用網(wǎng)絡。基于MAC地址認證：該物理端口下的所有接入用戶都需要單獨認證。當某個用戶下線時，也只有該用戶無法使用網(wǎng)絡。通過認證的用戶可以使用網(wǎng)絡資源，沒有通過的用戶則不能，即使他們都接入了同一個端口第10頁，課件共64頁，創(chuàng)作于2023年2月802.1x報文發(fā)送方式AssignmentValuePAEgroupaddress01-80-C2-00-00-03組播方式客戶端程序可以選擇采用組播報文發(fā)送，此時客戶端發(fā)送的所有EAPoL報文封裝組播地址，有些情況下客戶端程序也可以選擇單播報文發(fā)送，此時客戶端初次發(fā)送EAPoL-Start報文封裝組播地址，回應設備端的response報文封裝設備的端口地址采用單播發(fā)送，對于設備端發(fā)送的報文，若設備端知道客戶端的地址，則封裝客戶端的地址采用單播發(fā)送，否則封裝組播地址，采用組播發(fā)送廣播方式客戶端也可以選擇廣播方式發(fā)送報文，這時客戶端初次發(fā)送EAPoL-Start報文封裝廣播地址，其余報文可以采用單播發(fā)送第11頁，課件共64頁，創(chuàng)作于2023年2月802.1x報文封裝EAPOL的報文格式PAEEthernettypeProtocolversionTypeLengthPacketBody2346N0PAEEthernetType占2字節(jié)，固定為0x888EProtocolVersion占1字節(jié)，固定為1Type占1字節(jié)，EAP-Packet（00EAPOL-Start（01）EAPOL-Logoff（02）EAPOL-Key（03）EAPOL-Encapsulated-ASF-Alert（04)Length占2字節(jié)，指定packetbody字段的長度PacketBody當PacketType字段為EAPoL-Start或EAPoL-Logoff時，此字段為空第12頁，課件共64頁，創(chuàng)作于2023年2月802.1x報文封裝EAPOL報文示例第13頁，課件共64頁，創(chuàng)作于2023年2月802.1x報文封裝EAP的報文格式Code域為一個字節(jié)，表示了EAP數(shù)據(jù)包的類型，EAP的Code的值指定意義如下

Code＝1——RequestCode＝2——ResponseCode＝3——SuccessCode＝4——FailureIndentifier域為一個字節(jié)，輔助進行request和response的匹配。每一個request都應該有一個response相對應，這樣的一個Indentifier域就建立了一個對應關系Length域為兩個字節(jié)，表明了EAP數(shù)據(jù)包的長度，包括Code、Identifier、Length以及Data等各域。超出Length域范圍的字節(jié)應該視為數(shù)據(jù)鏈路層填充（padding）在接收時將被忽略掉。Data域為0個或者多個字節(jié)，Data域的格式由Code的值來決定。當Code為3或4時，data域為0個字節(jié)。CodeIdentifierLengthData0124N第14頁，課件共64頁，創(chuàng)作于2023年2月802.1x報文封裝Request/Respone報文Data域Type：占1個字節(jié)，該字段值指定Request或Response的類型。在EAP的Request或Response中必須出現(xiàn)且僅出現(xiàn)一個Type1Identity2Notification3Nak(Responseonly)4MD5-Challenge5One-TimePassword(OTP)(RFC1938)6GenericTokenCardTypedata：內容隨不同類型的Request和Response而不同。TypeTypeData01N第15頁，課件共64頁，創(chuàng)作于2023年2月802.1x報文封裝EAP報文示例第16頁，課件共64頁，創(chuàng)作于2023年2月802.1x認證過程兩種EAP認證方式EAP中繼方式EAP終結方式用來對用戶口令信息進行加密處理的隨機加密字由Radius服務器生成，交換機只是負責將EAP報文透傳Radius服務器，EAP中繼方式要求Radius服務器支持EAP屬性：EAP-Message（值為79）和Message-Authenticator（值為80）,整個認證處理都由Radius服務器來完成。EAP中繼方式有四種認證方法：EAP-MD5、EAP-TLS（TransportLayerSecurity，傳輸層安全）、EAP-TTLS（TunneledTransportLayerSecurity，隧道傳輸層安全）和PEAP（ProtectedExtensibleAuthenticationProtocol，受保護的擴展認證協(xié)議）。用來對用戶口令信息進行加密處理的隨機加密字由交換機生成，之后交換機會通過標準Radius報文把用戶名、隨機加密字和客戶端加密后的口令信息一起送給Radius服務器，進行相關的認證處理。第17頁，課件共64頁，創(chuàng)作于2023年2月802.1x認證過程EAP中繼方式客戶端交換機RADIUS服務器EAPOLEAPOREAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5ChallengeEAP-SuccessEAP-Response/MD5ChallengeRADIUSAccess-Request(EAP-Response/Identity)RADIUSAccess-Challenge(EAP-Request/MD5Challenge)RADIUSAccess-Accept(EAP-Success)RADIUSAccess-Request(EAP-Response/MD5Challenge)端口被授權握手定時器超時握手請求報文[EAP-Request/Identity]握手應答報文[EAP-Response/Identity]EAPOL-Logoff......端口非授權第18頁，課件共64頁，創(chuàng)作于2023年2月802.1x認證過程EAP終結方式客戶端交換機RADIUS服務器EAPOLRADIUSEAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5ChallengeEAP-SuccessEAP-Response/MD5ChallengeRADIUSAccess-Request(CHAP-Response/MD5Challenge)RADIUSAccess-Accept(CHAP-Success)端口被授權握手定時器超時握手請求報文[EAP-Request/Identity]握手應答報文[EAP-Response/Identity]EAPOL-Logoff......端口非授權第19頁，課件共64頁，創(chuàng)作于2023年2月802.1X典型配置案例第20頁，課件共64頁，創(chuàng)作于2023年2月802.1X典型配置案例#開啟全局802.1x特性。<Sysname>system-viewSystemView:returntoUserViewwithCtrl+Z.[Sysname]dot1x#開啟指定端口Ethernet1/0/1的802.1x特性。[Sysname]dot1xinterfaceEthernet1/0/1#設置接入控制方式（該命令可以不配置，因為端口的接入控制在缺省情況下就是基于MAC地址的）。[Sysname]dot1xport-methodmacbasedinterfaceEthernet1/0/1#創(chuàng)建RADIUS方案radius1并進入其視圖。[Sysname]radiusschemeradius1第21頁，課件共64頁，創(chuàng)作于2023年2月802.1X典型配置案例#設置主認證/計費RADIUS服務器的IP地址。[Sysname-radius-radius1]primaryauthentication[Sysname-radius-radius1]primaryaccounting#設置備份認證/計費RADIUS服務器的IP地址。[Sysname-radius-radius1]secondaryauthentication[Sysname-radius-radius1]secondaryaccounting#設置系統(tǒng)與認證RADIUS服務器交互報文時的加密密碼。[Sysname-radius-radius1]keyauthenticationname#設置系統(tǒng)與計費RADIUS服務器交互報文時的加密密碼。[Sysname-radius-radius1]keyaccountingmoney#設置系統(tǒng)向RADIUS服務器重發(fā)報文的時間間隔與次數(shù)。[Sysname-radius-radius1]timer5[Sysname-radius-radius1]retry5第22頁，課件共64頁，創(chuàng)作于2023年2月802.1X典型配置案例#設置系統(tǒng)向RADIUS服務器發(fā)送實時計費報文的時間間隔。[Sysname-radius-radius1]timerrealtime-accounting15#指示系統(tǒng)從用戶名中去除用戶域名后再將之傳給RADIUS服務器。[Sysname-radius-radius1]user-name-formatwithout-domain[Sysname-radius-radius1]quit#創(chuàng)建域

并進入其視圖。[Sysname]domain#指定radius1為該域用戶的RADIUS方案，若RADIUS服務器無效，則使用本地認證方案。[S]schemeradius-schemeradius1local#設置該域最多可容納30個用戶。[S]access-limitenable30第23頁，課件共64頁，創(chuàng)作于2023年2月802.1X典型配置案例#啟動閑置切斷功能并設置相關參數(shù)。[S]idle-cutenable202000[S]quit#配置域

為缺省用戶域。[Sysname]domaindefaultenable#添加本地接入用戶。[Sysname]local-userlocaluser[Sysname-luser-localuser]service-typelan-access[Sysname-luser-localuser]passwordsimplelocalpass第24頁，課件共64頁，創(chuàng)作于2023年2月第一節(jié)802.1X認證基本原理及配置第二節(jié)MAC地址認證基本原理及配置第三節(jié)端口隔離技術及配置第四節(jié)端口綁定技術及配置第五節(jié)ARP防攻擊相關技術及配置目錄第25頁，課件共64頁，創(chuàng)作于2023年2月MAC地址認證概述第26頁，課件共64頁，創(chuàng)作于2023年2月兩種認證方式的的工作流程第27頁，課件共64頁，創(chuàng)作于2023年2月MAC地址認證的配置命令第28頁，課件共64頁，創(chuàng)作于2023年2月MAC認證的典型配置案例#開啟指定端口Ethernet1/0/2的MAC地址認證特性。<Sysname>system-view[Sysname]mac-authenticationinterfaceEthernet1/0/2#配置采用MAC地址用戶名進行認證，并指定使用帶有分隔符的小寫形式的MAC地址作為驗證的用戶名和密碼。[Sysname]mac-authenticationauthmodeusernameasmacaddressusernameformatwith-hyphenlowercase第29頁，課件共64頁，創(chuàng)作于2023年2月MAC認證的典型配置案例#添加本地接入用戶。配置本地用戶的用戶名和密碼：[Sysname]local-user00-0d-88-f6-44-c1[Sysname-luser-00-0d-88-f6-44-c1]passwordsimple00-0d-88-f6-44-c1設置本地用戶服務類型為lan-access：[Sysname-luser-00-0d-88-f6-44-c1]service-typelan-access[Sysname-luser-00-0d-88-f6-44-c1]quit#創(chuàng)建MAC地址認證用戶所使用的域。[Sysname]domainNewDomainadded.#配置域

采用本地認證方式。[S]schemelocal[S]quit第30頁，課件共64頁，創(chuàng)作于2023年2月MAC認證的典型配置案例#配置MAC地址認證用戶所使用的域名為。[Sysname]mac-authenticationdomain#開啟全局MAC地址認證特性（接入控制相關特性一般將全局配置開啟放在最后，否則相關參數(shù)未配置完成，會造成合法用戶無法訪問網(wǎng)絡）。[Sysname]mac-authentication第31頁，課件共64頁，創(chuàng)作于2023年2月第一節(jié)802.1X認證基本原理及配置第二節(jié)MAC地址認證基本原理及配置第三節(jié)端口隔離技術及配置第四節(jié)端口綁定技術及配置第五節(jié)ARP防攻擊相關技術及配置目錄第32頁，課件共64頁，創(chuàng)作于2023年2月端口隔離簡介第33頁，課件共64頁，創(chuàng)作于2023年2月端口隔離基本配置第34頁，課件共64頁，創(chuàng)作于2023年2月端口隔離配置舉例第35頁，課件共64頁，創(chuàng)作于2023年2月第一節(jié)802.1X認證基本原理及配置第二節(jié)MAC地址認證基本原理及配置第三節(jié)端口隔離技術及配置第四節(jié)端口綁定技術及配置第五節(jié)ARP防攻擊相關技術及配置目錄第36頁，課件共64頁，創(chuàng)作于2023年2月端口綁定技術簡介第37頁，課件共64頁，創(chuàng)作于2023年2月端口綁定基本配置第38頁，課件共64頁，創(chuàng)作于2023年2月端口綁定典型配置舉例第39頁，課件共64頁，創(chuàng)作于2023年2月第一節(jié)802.1X認證基本原理及配置第二節(jié)MAC地址認證基本原理及配置第三節(jié)端口隔離技術及配置第四節(jié)端口綁定技術及配置第五節(jié)ARP防攻擊相關技術及配置目錄第40頁，課件共64頁，創(chuàng)作于2023年2月ARP攻擊原理介紹

ARP——AddressResolutionProtocol地址解釋協(xié)議幀類型—0x0806 ARP欺騙都是通過填寫錯誤的源MAC-IP對應關系來實現(xiàn)的通過偽造虛假源IP-MAC對應的ARP報文，導致網(wǎng)關或主機無法找到正確的通信對象利用ARP協(xié)議本身的缺陷來實現(xiàn)可以利用幀類型來識別ARP報文第41頁，課件共64頁，創(chuàng)作于2023年2月ARP攻擊來源分析一、病毒和木馬瑞星2007上半年電腦病毒排名1、帕蟲（Worm.Pabug；金山：AV終結者；江民：U盤寄生蟲）

2、威金蠕蟲（Worm.Viking）

3、熊貓燒香（Worm.Nimaya；又稱尼姆亞）

4、網(wǎng)絡游戲木馬（Trojan.PSW.OnlineGames）

5、QQ通行證（Trojan.PSW.QQPass）

6、ARP病毒（具有ARP攻擊行為的多個病毒）

二、黑客攻擊軟件網(wǎng)絡執(zhí)法官等據(jù)瑞星統(tǒng)計：上半年全國約有3500多萬臺電腦曾經(jīng)被病毒感染第42頁，課件共64頁，創(chuàng)作于2023年2月常見ARP攻擊類型

仿冒網(wǎng)關

ARP病毒通過發(fā)送錯誤的網(wǎng)關MAC對應關系給其他受害者，導致其他終端用戶不能正常訪問網(wǎng)關

仿冒終端用戶/服務器欺騙網(wǎng)關發(fā)送錯誤的終端用戶的IP＋MAC的對應關系給網(wǎng)關，導致網(wǎng)關無法和合法終端用戶正常通信 欺騙終端用戶發(fā)送錯誤的終端用戶/服務器的IP＋MAC的對應關系給受害的終端用戶，導致兩個終端用戶之間無法正常通信

其他ARPFLOODING攻擊第43頁，課件共64頁，創(chuàng)作于2023年2月攻擊實驗環(huán)境介紹正常用戶A網(wǎng)關攻擊者B接入交換機正常用戶C網(wǎng)絡執(zhí)法官我是攻擊者我是受害者典型局域網(wǎng)，利用網(wǎng)絡執(zhí)法官來實現(xiàn)常見ARP攻擊第44頁，課件共64頁，創(chuàng)作于2023年2月ARP欺騙攻擊1——仿冒網(wǎng)關攻擊者發(fā)送偽造的網(wǎng)關ARP報文，欺騙同網(wǎng)段內的其它主機。主機訪問網(wǎng)關的流量，被重定向到一個錯誤的MAC地址，導致該用戶無法正常訪問外網(wǎng)。正常用戶A網(wǎng)關G網(wǎng)關MAC更新了網(wǎng)關ARP表項已更新攻擊者BIPAddressGMACG1-1-1IPAddressMACType(網(wǎng)關)1-1-1DynamicIPAddressMACType（網(wǎng)關）2-2-2DynamicARP表項更新為這種攻擊為最為常見的攻擊類型訪問外網(wǎng)數(shù)據(jù)發(fā)向錯誤的網(wǎng)關第45頁，課件共64頁，創(chuàng)作于2023年2月攻擊現(xiàn)象一、網(wǎng)絡執(zhí)法官向受害主機發(fā)送網(wǎng)關的欺騙ARP報文二、受害主機網(wǎng)關信息被欺騙，網(wǎng)絡無法正常訪問間隔時間非常短第46頁，課件共64頁，創(chuàng)作于2023年2月ARP欺騙攻擊2－欺騙網(wǎng)關攻擊者偽造虛假的ARP報文，欺騙網(wǎng)關相同網(wǎng)段內的某一合法用戶的MAC地址已經(jīng)更新網(wǎng)關發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個錯誤的MAC地址，導致該用戶無法正常訪問外網(wǎng)正常用戶A網(wǎng)關G用戶A的MAC更新了用戶A的ARP表項已更新發(fā)送偽造ARP信息攻擊者BIPAddressMACType3-3-3DynamicIPAddressMACType2-2-2DynamicARP表項更新為IPAddressAMACA3-3-3外網(wǎng)來的數(shù)據(jù)流被轉發(fā)到錯誤的終端第47頁，課件共64頁，創(chuàng)作于2023年2月一、受害主機上正確綁定網(wǎng)關信息二、網(wǎng)絡還是無法正常訪問攻擊現(xiàn)象第48頁，課件共64頁，創(chuàng)作于2023年2月ARP欺騙攻擊3－欺騙終端用戶攻擊者以偽造虛假的ARP報文，欺騙相同網(wǎng)段內的其他主機，某一合法用戶的MAC地址已經(jīng)更新網(wǎng)段內的其他主機發(fā)給該用戶的所有數(shù)據(jù)都被重定向到錯誤的MAC地址，同網(wǎng)段內的用戶無法正?；ピL正常用戶A網(wǎng)關G用戶C的MAC更新了知道了發(fā)送偽造ARP信息攻擊者BIPAddressGMACG1-1-1IPAddressMACType9-9-9DynamicIPAddressMACType2-2-2Dynamic用戶C的MACis2-2-2ARP表項更新為目的MAC源MAC…2-2-23-3-3…IPAddressAMACA3-3-3數(shù)據(jù)流被中斷IPAddressBMACB05-5-5IPAddressCMACC9-9-9正常用戶C第49頁，課件共64頁，創(chuàng)作于2023年2月ARP泛洪攻擊攻擊者偽造大量不同ARP報文在同網(wǎng)段內進行廣播，導致網(wǎng)關ARP表項被占滿，合法用戶的ARP表項無法正常學習，導致合法用戶無法正常訪問外網(wǎng)正常用戶A網(wǎng)關G用戶A、A1、A2、A3…的MAC更新了已更新發(fā)送大量偽造ARP信息攻擊者BIPAddressGMACG1-1-1IPAddressMACType2-2-2Dynamic2-2-3Dynamic2-2-4Dynamic2-2-5Dynamic2-2-6Dynamic………….DynamicMACis2-2-2ARP表項被占滿IPAddressAMACA033-3-3ARP表項無法學習IPAddressBMACB05-5-5MACis2-2-3MACis2-2-4……03MACis3-3-3第50頁，課件共64頁，創(chuàng)作于2023年2月ARP攻擊防御的三個控制點網(wǎng)關G用戶接入設備

網(wǎng)關防御合法ARP綁定，防御網(wǎng)關被欺騙

VLAN內的ARP學習數(shù)量限制，防御ARP泛洪攻擊1

接入設備防御將合法網(wǎng)關IP/MAC進行綁定，防御仿冒網(wǎng)關攻擊合法用戶IP/MAC綁定，過濾掉仿冒報文

ARP限速綁定用戶的靜態(tài)MAC2

客戶端防御合法ARP綁定，防御網(wǎng)關被欺騙3根據(jù)前述ARP攻擊原理得出解決ARP攻擊的三個控制點如下：第51頁，課件共64頁，創(chuàng)作于2023年2月防御思路1－認證模式網(wǎng)關接入交換機利用認證途徑來獲取合法用戶的IP-MAC關系，在接入交換機和網(wǎng)關上進行綁定。利用認證客戶端在終端上綁定網(wǎng)關ARP表項。CAMS

認證服務器利用802.1x或者Portal認證機制將合法用戶的IP-MAC關系上傳到認證服務器認證服務器將獲取到的IP-MAC對應關系下發(fā)到網(wǎng)關認證設備將獲取到的IP-MAC對應關系就地綁定認證客戶端控制點123X認證通過后，CAMS將網(wǎng)關的IP-MAC對應關系下發(fā)給客戶端進行靜態(tài)綁定關鍵點第52頁，課件共64頁，創(chuàng)作于2023年2月認證模式之接入綁定利用認證途徑來獲取合法用戶的IP-MAC關系，在接入交換機（認證設備）進行綁定。不匹配綁定關系的ARP報文統(tǒng)統(tǒng)丟棄，并上報給管理員網(wǎng)關接入交換機CAMS

認證服務器認證設備將獲取到的IP-MAC對應關系就地綁定認證客戶端控制點2X想發(fā)送欺騙報文，丟棄攻擊者第53頁，課件共64頁，創(chuàng)作于2023年2月防御思路2－DHCP監(jiān)控模式網(wǎng)關接入交換機監(jiān)控DHCP交互報文獲取合法用戶的IP-MAC-port關系在接入交換機上綁定下掛終端的IP-MAC對應關系，并對接收到的ARP報文進行檢查，過濾掉所有非法報文。全網(wǎng)部署后，有效防止所有ARP常見攻擊類型DHCP服務器接入交換機解析客戶端和DHCP服務器之間的交互報文，獲得合法用戶的IP-MAC-port對應關系接入交換機將獲取到的合法用戶的IP-MAC-port綁定在入接口上控制點1X想發(fā)送欺騙報文？丟棄關鍵點攻擊者第54頁，課件共64頁，創(chuàng)作于2023年2月認證綁定Vs.DHCPSNOOPING

對網(wǎng)絡設備的依賴小，對接入交換機和網(wǎng)關的綁定可以根據(jù)網(wǎng)絡狀況分別使用。適應靜態(tài)IP地址的環(huán)境使用，適合目前多數(shù)學?，F(xiàn)狀。認證綁定模式DHCPSNOOPING模式優(yōu)點局限性需要安裝客戶端需要采用H3C認證方式可以保證網(wǎng)絡無非法ARP報文傳播，從根本防御ARP攻擊純網(wǎng)絡層面實現(xiàn)，不需要用戶安裝客戶端。對用戶應用沒有影響要求用戶采用DHCP動態(tài)獲取IP的方式以過濾非法報文為防御措施，要求同網(wǎng)段全網(wǎng)部署對接入交換機的型號、版本有很強的依賴優(yōu)點局限性第55頁，課件共64頁，創(chuàng)作于2023年2月DHCPSnooping模式的部署網(wǎng)關接入設備接入設備監(jiān)控DHCP報文信息，綁定用戶MAC-IP-PORT關系1保護屏障DHCP響應DHCP請求配置命令：全局模式：dhcp－snooping（全局開關）VLAN模式：ARPdetectionenable：（使能ARPdetectionenable檢測，限制ARP報文數(shù)量）上行接口：ARPdetectiontrust（將上行口配置為信任接口不檢查ARP）DHCP第56頁，課件共64頁，創(chuàng)作于2023年2月認證模式的部署網(wǎng)關接入設備接入設備認證客戶端綁定網(wǎng)關的IP-MAC對應關系3iNode客戶端

iNode客戶端

iNode客戶端

iNode客戶端

CAMS服務器

IPAddressGMACG00-e0-fc-00-00-04靜態(tài)ARP綁定：第57頁，課件共64頁，創(chuàng)作于2023年2月H3C“全面防御，模塊定制”ARP防御總結H3C低端交換機針對ARP防御方案：1.防止泛洪攻擊配置ARP源抑制功能配置ARP黑洞路由功能配置ARP報文限速功能2.防止仿冒用戶、仿冒網(wǎng)關攻擊配置源MAC地址固定的ARP攻擊檢測功能配置ARP報文源MAC地址一致性檢查功能配置ARP主動確認功配置ARPDetection功能配置ARP自動掃描、固化功能配置ARP網(wǎng)關保護功能配置ARP過濾保護功能第58頁，課件共64頁，創(chuàng)作于2023年2月H3CARP防御方案配置ARP防止IP報文攻擊功能如果網(wǎng)絡中有主機通過向設備發(fā)送大量目標IP地址不能解析的IP報文來攻擊設備，可通過以下兩種方案來防止ARP攻擊。如果發(fā)送攻擊報文的源是固定的，可以采用ARP源抑制功能；如果發(fā)送攻擊報文的源不固定，可以采用ARP黑洞路由功能。1.配置ARP源抑制功能使能ARP源抑制功能arpsource-suppressionenable配置ARP源抑制的閾值arpsource-suppressionlimitlimit-value（缺省情況下，ARP源抑制的閾值為10）2.配置ARP黑洞路由功能使能ARP黑洞路由功能arpresolving-routeenable（ARP黑洞路由功能處于開啟狀態(tài)）第59頁，課件共64頁，創(chuàng)作于2023年2月H3CARP防御方案配置ARPDetection功能ARPDetection功能主要應用于接入設備上，對于合法用戶的ARP報文進行正常轉發(fā)，否則直接丟棄，從而防止仿冒用戶、仿冒網(wǎng)關的攻擊。ARPDetection包含三個功能：用戶合法性檢查、ARP報文有效性檢查、ARP報文強制轉發(fā)。1.用戶合法性檢查對于ARP信任端口，不進行用戶合法性檢查；對于ARP非信任端口，需要進行用戶合法性檢查，以防止仿冒用戶的攻擊。用戶合法性檢查是根據(jù)ARP報文中源IP地址和源MAC地址檢查用戶是否是所屬VLAN所在端口上的合法用戶，包括基于IPSourceGuard靜態(tài)綁定表項的檢查、基于DHCPSnooping安全表項的檢查、基于802.1X安全表項的檢查和OUIMAC地址的檢查。(1)首先進行基于IPSourceGuard靜態(tài)綁定表項檢查。如果找到了對應源IP地址和源MAC地址的靜態(tài)綁定表項，認為該ARP報文合法，進行轉