銳捷防ARP欺騙解決方案.ppt

1、銳捷防ARP欺騙解決方案,技術(shù)培訓(xùn)中心 2009-09,修訂記錄,2,學(xué)習(xí)目標(biāo),掌握ARP協(xié)議及ARP欺騙原理 掌握銳捷網(wǎng)絡(luò)防ARP欺騙解決方案的應(yīng)用場合 掌握銳捷網(wǎng)絡(luò)防ARP欺騙解決方案的配置,3,課程內(nèi)容,第一章：ARP協(xié)議原理 第二章：ARP欺騙攻擊概述 第三章：常見ARP欺騙“應(yīng)付”手段 第四章：銳捷網(wǎng)絡(luò)ARP欺騙解決方案,4,ARP協(xié)議原理,ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。根據(jù)TCP/IP層次模型，在以太網(wǎng)中，一個主機要和另一個主機進(jìn)行直接通信，必須知道目標(biāo)主機的MAC地址。 在現(xiàn)實環(huán)境中，一般采用IP地址標(biāo)示通信的對象，

2、而ARP的功能就是將IP翻譯成對應(yīng)的MAC地址。 IP：姓名 MAC：姓名對應(yīng)的手機號 ARP表：電話號碼簿,5,ARP過程,6,正常的ARP通訊過程只需廣播ARP Request和單播ARP Replay兩個過程，簡單的說就是一問一答：,ARP request,ARP reply,PC1,PC2,IP:192.168.0.1 MAC:00d0.f800.0001,IP:192.168.0.2 MAC:00d0.f800.0002,PC3,PCN,課程內(nèi)容,第一章：ARP協(xié)議原理 第二章：ARP欺騙攻擊概述 第三章：常見ARP欺騙“應(yīng)付”手段 第四章：銳捷網(wǎng)絡(luò)ARP欺騙解決方案,7,正常情況下

3、的ARP表,8,網(wǎng)關(guān),PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,PC與設(shè)備之間相互通信后形成的ARP表,ARP Request報文更新ARP表的條件 ARP報文中Target IP為自己 用ARP報文中的Sender MAC與Sender IP更新自己的ARP表,ARP表變化-ARP Request,9,網(wǎng)關(guān),PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.25

4、4 001a.a908.9f0b,Cheat（ARP Request）,ARP表變化-ARP Reply,10,網(wǎng)關(guān),PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,Cheat（ARP Reply）,ARP Reply報文更新ARP表的條件 ARP報文中Target IP為自己 當(dāng)前ARP表中已存在Sender IP的表項 用ARP報文中的Sender MAC與Sender IP更新自己的ARP表,ARP表變化- Gratuitous ARP,11,網(wǎng)關(guān),PC2

5、,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,Cheat（ Gratuitous ARP）,Gratuitous ARP報文更新ARP表的條件 Gratuitous ARP是一種特殊的ARP Request/Replay報文，即Sender IP與Target IP一致 ARP報文中Target IP為自己 用ARP報文中的Sender MAC與Sender IP更新自己的ARP表,理解invalid ARP表項,Invalid ARP表項 ARP表中的MAC地址為

6、全零（Windows主機）或“No completed”（網(wǎng)絡(luò)設(shè)備） 產(chǎn)生原因 發(fā)送ARP Request后，為接收ARP Reply做準(zhǔn)備 大量存在的原因 同網(wǎng)段掃描（主機） 跨網(wǎng)段掃描（網(wǎng)絡(luò)設(shè)備）,12,IP地址發(fā)生沖突的條件 收到Gratuitous ARP報文，且Sender/Target IP與當(dāng)前IP一致，但Sender MAC與當(dāng)前MAC不同 當(dāng)針對主機或網(wǎng)絡(luò)設(shè)備發(fā)送上述報文時，即為IP沖突攻擊,主機或網(wǎng)絡(luò)設(shè)備怎樣判斷IP沖突,13,網(wǎng)關(guān),PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.1 00d0.f800.0002,Gratuitou

7、s ARP,Gratuitous ARP,ARP欺騙攻擊分類-主機型,主機型ARP欺騙 欺騙者主機冒充網(wǎng)關(guān)設(shè)備對其他主機進(jìn)行欺騙,14,網(wǎng)關(guān),欺騙者,嗨，我是網(wǎng)關(guān),PC 1,ARP欺騙攻擊分類-網(wǎng)關(guān)型,網(wǎng)關(guān)型ARP欺騙 欺騙者主機冒充其他主機對網(wǎng)關(guān)設(shè)備進(jìn)行欺騙,15,網(wǎng)關(guān),欺騙者,嗨，我是PC1,PC 1,ARP欺騙攻擊目的,為什么產(chǎn)生ARP欺騙攻擊？ 表象：網(wǎng)絡(luò)通訊中斷 真實目的：截獲網(wǎng)絡(luò)通訊數(shù)據(jù),16,PC1,網(wǎng)關(guān),主機型,網(wǎng)關(guān)型,欺騙者,ARP欺騙攻擊緣何泛濫,屢禁不止的ARP欺騙 ARP欺騙的目的是截獲數(shù)據(jù)，例如銀行卡、游戲帳戶等，巨大的經(jīng)濟(jì)利益驅(qū)動了ARP欺騙的發(fā)展 ARP欺騙實現(xiàn)原

8、理簡單，變種極多，通過病毒網(wǎng)頁或木馬程序即可傳播，殺毒軟件的更新不能及時跟上病毒的變種 ARP欺騙是由于協(xié)議缺陷造成的，業(yè)界鮮有良好的解決方案,17,判斷ARP欺騙攻擊-主機,怎樣判斷是否受到了ARP欺騙攻擊？ 網(wǎng)絡(luò)時斷時續(xù)或網(wǎng)速特別慢 在命令行提示符下執(zhí)行“arp d”命令就能好上一會 在命令行提示符下執(zhí)行“arp a”命令查看網(wǎng)關(guān)對應(yīng)的MAC地址發(fā)生了改變,18,判斷ARP欺騙攻擊-網(wǎng)關(guān)設(shè)備,網(wǎng)關(guān)設(shè)備怎樣判斷是否受到了ARP欺騙攻擊？ ARP表中同一個MAC對應(yīng)許多IP地址,19,課程內(nèi)容,第一章：ARP協(xié)議原理 第二章：ARP欺騙攻擊概述 第三章：常見ARP欺騙“應(yīng)付”手段 第四章：銳捷

9、網(wǎng)絡(luò)ARP欺騙解決方案,20,1、常見ARP欺騙“應(yīng)付”手段-雙向綁定,手工設(shè)置靜態(tài)ARP表項 靜態(tài)ARP優(yōu)先級高于動態(tài)ARP表項 分別在網(wǎng)關(guān)設(shè)備與用戶主機上配置靜態(tài)ARP表項 工作維護(hù)量大，網(wǎng)關(guān)設(shè)備、用戶都需要進(jìn)行操作,21,可有效解決ARP欺騙,2、常見ARP欺騙“應(yīng)付”手段-ARP防火墻,ARP防火墻 軟件定期向網(wǎng)關(guān)發(fā)送Gratuitous ARP，以通告自己正確的ARP信息 發(fā)送頻率過高嚴(yán)重占用網(wǎng)絡(luò)帶寬 發(fā)送頻率過低則達(dá)不到防范目的 惹禍的ARP防火墻（摘錄自部分著名院校網(wǎng)絡(luò)中心通知） 中國科技大學(xué)：對于異常多arp請求，請禁用xx防火墻的arp攻擊防御功能 中山大學(xué)：當(dāng)打開xx防火墻

10、的arp防護(hù)功能時,防火墻會以每秒1000個arp包的向外廣播,詢問同一個地址 四川大學(xué)：裝xx防火墻的主機在發(fā)現(xiàn)網(wǎng)上有ARP欺騙的時候會發(fā)送大量廣播包，致使正常網(wǎng)絡(luò)出現(xiàn)中斷,22,不能解決ARP欺騙,3、常見ARP欺騙“應(yīng)付”手段-Cisco方案,DAI + PVLAN DAI為動態(tài)ARP檢測，網(wǎng)關(guān)通過DHCP Snooping確保網(wǎng)關(guān)ARP表的正確性，即防止了網(wǎng)關(guān)型ARP欺騙的發(fā)生 PVLAN的isolate vlan方式將主機之間的通訊隔離，防止了主機型ARP欺騙的發(fā)生 網(wǎng)關(guān)設(shè)備與接入設(shè)備必須同時支持相應(yīng)的功能，同時主機之間將不能互訪，致使很多局域網(wǎng)通訊失效。,23,支持DAI功能的網(wǎng)關(guān)

11、設(shè)備,支持PVLAN的接入設(shè)備,可有效解決ARP欺騙,附：port-security能防范ARP嗎,port-security處理流程 當(dāng)一個未帶IP頭部的報文（二層）經(jīng)過port-security端口時，校驗其DLC的MAC部分與配置的安全MAC是否一致 當(dāng)一個帶IP頭部（三層）的報文經(jīng)過port-security端口時 校驗其DLC的MAC是否與配置的安全MAC一致 校驗其IP是否與配置的安全I(xiàn)P一致 port-security處理ARP報文流程 ARP報文不帶IP頭部 port-security校驗其DLC的MAC是否與配置的安全MAC一致,24,port-security不能解決ARP

12、欺騙,課程內(nèi)容,第一章：ARP協(xié)議原理 第二章：ARP欺騙攻擊概述 第三章：常見ARP欺騙“應(yīng)付”手段 第四章：銳捷網(wǎng)絡(luò)ARP欺騙解決方案,25,銳捷網(wǎng)絡(luò)完美解決ARP欺騙,銳捷網(wǎng)絡(luò)堅持走自主研發(fā)的發(fā)展道路，在整個業(yè)界對ARP欺騙感到比較頭疼時，率先推出了一系列成熟的ARP欺騙解決方案。 配置難嗎？ 多數(shù)方案只需幾條命令 成本高嗎？ 銳捷低端接入S21系列交換機即可。S21自推出已經(jīng)有六年之久，通過不斷更新軟件版本實現(xiàn)新的功能，嚴(yán)格保護(hù)用戶的投資。,26,S21系列交換機誕生于六年前,兩個概念,安全地址 主機真實的IP與MAC地址 在主機發(fā)送ARP報文前獲得 ARP報文校驗 檢查ARP報文中S

13、enders MAC與安全地址中的MAC是否一致，否則丟棄 檢查ARP報文中Senders IP與安全地址中的IP是否一致，否則丟棄,27,防ARP欺騙原理,28,流程圖,安全地址獲取,丟棄,轉(zhuǎn)發(fā),ARP報文校驗,ARP報文S/T字段是否與安全地址一致,ARP報文,是,否,安全地址的獲取是防ARP欺騙的前提，ARP報文校驗是防ARP欺騙的手段,安全地址,定義 主機的真實信息 IP+MAC地址組成 獲取方式 手工指定 port-security 自動獲取 DHCP Snooping Dot1x認(rèn)證,29,安全地址的處理,什么是ACE 交換機端口形成的硬件資源表項 通過硬件對報文的轉(zhuǎn)發(fā)進(jìn)行判斷 端

14、口策略 未配置安全地址時 permit any any any any 配置安全地址后 permit mac1 ip1 any any permit mac2 ip2 any any permit macN ipN any any deny any any any any,30,ACE,丟棄,轉(zhuǎn)發(fā),0/1比特位,ARP-check 原理： 提取ACE中IP+MAC對的信息 在原有ACE（過濾IP+MAC）的基礎(chǔ)上形成新的ACE（過濾ARP） 應(yīng)用后端口策略 permit mac1 ip1 any any permit arp smac1 sip1 any any deny any any an

15、y any 注意事項：ARP-check功能開啟后，如果ACE中不存在安全地址，則所有的ARP報文將被丟棄,ARP報文校驗方式一（ARP-check）,31,交換機端口,ACE,丟棄,轉(zhuǎn)發(fā),0/1比特位,ARP報文校驗二（DAI）,DAI 原理： 提取DHCP Snooping表中的IP+MAC信息 通過CPU過濾SMAC/SIP不在Snopping表中的ARP報文 注意事項：DAI功能開啟開啟后，如果DHCP Snooping表為空，則所有的ARP報文將被丟棄,32,交換機端口,CPU,丟棄,轉(zhuǎn)發(fā),0/1比特位,1.1、port-security + ARP-check方案概述,原理 通過p

16、ort-security功能將用戶正確的IP與MAC寫入交換機端口ACE 使用ARP-check功能校驗ARP報文的正確性 應(yīng)用場景 用戶使用靜態(tài)IP地址 無安全認(rèn)證措施 缺點 需要收集所有用戶的IP、MAC，將其配置到端口上 當(dāng)用戶接入端口發(fā)生變化時，需重新設(shè)置安全地址,33,網(wǎng)絡(luò)拓?fù)?主要配置（10.x平臺）,1.2、port-security + ARP-check方案實施,34,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,Fa 0/1,Fa 0/2,interface FastEthernet 0/1 switchport

17、 port-security mac-address 00d0.0000.0001 ip-address 192.168.0.1 switchport port-security arp-check auto ! interface FastEthernet 0/2 switchport port-security mac-address 00d0.0000.0002 ip-address 192.168.0.2 switchport port-security arp-check auto,2.1、DHCP Snooping + address-bind + ARP-check方案實施,原理

18、 通過DHCP Snooping功能將用戶正確的IP與MAC寫入交換機的DHCP Snooping表 通過DHCP Snoopoing address-bind將DHCP Snooping表的寫入交換機的ACE（類似端口安全） 使用ARP-check功能校驗ARP報文的正確性 應(yīng)用場景 用戶使用動態(tài)IP地址 同樣適用于SAM認(rèn)證環(huán)境（限S21交換機） 動態(tài)環(huán)境下如果使用安全通道，請勿在安全通道中允許ARP報文通過 缺點 無,35,網(wǎng)絡(luò)拓?fù)?主要配置（10.x平臺）,2.2、DHCP Snooping + address-bind + ARP-check方案實施,36,DHCP 00d0.f80

19、0.0001,DHCP 00d0.f800.0002,Fa 0/1,Fa 0/2,ip dhcp snooping ! interface FastEthernet 0/1 ip dhcp snooping address-bind arp-check auto ! interface FastEthernet 0/2 ip dhcp snooping address-bind arp-check auto ! interface FastEthernet 0/24 ip dhcp snooping trust,Uplink：Fa 0/24,2.3、DHCP Snooping + addres

20、s-bind + ARP-check方案級聯(lián)優(yōu)化,37,Uplink,trust,trust,多臺交換機級聯(lián)時，為避免上面一臺交換機針對下聯(lián)交換機上的用戶重復(fù)進(jìn)行地址綁定與ARP報文校驗，請將下聯(lián)其他交換機的接口啟用ip dhcp snooping trust,3.1、DHCP Snooping + IP Source guard + ARP-check方案實施,原理 通過DHCP Snooping功能將用戶正確的IP與MAC寫入交換機的DHCP Snooping表 通過IP Source guard將DHCP Snooping表的寫入交換機的ACE（類似端口安全） 使用ARP-check功能

21、校驗ARP報文的正確性 應(yīng)用場景 用戶使用動態(tài)IP地址 同樣適用于SAM認(rèn)證環(huán)境 動態(tài)環(huán)境下如果使用安全通道，請勿在安全通道中允許ARP報文通過 缺點 無,38,網(wǎng)絡(luò)拓?fù)?主要配置（10.x平臺）,3.2、DHCP Snooping + IP Source guard + ARP-check方案實施,39,DHCP 00d0.f800.0001,DHCP 00d0.f800.0002,Fa 0/1,Fa 0/2,ip dhcp snooping ! interface FastEthernet 0/1 ip verify source arp-check auto ! interface Fa

22、stEthernet 0/2 ip verify source arp-check auto ! interface FastEthernet 0/24 ip dhcp snooping trust,Uplink：Fa 0/24,3.3、DHCP Snooping + IP Source guard + ARP-check方案級聯(lián)優(yōu)化,40,Uplink,trust,trust,多臺交換機級聯(lián)時，為避免上面一臺交換機針對下聯(lián)交換機上的用戶重復(fù)進(jìn)行地址綁定與ARP報文校驗，請將下聯(lián)其他交換機的接口啟用ip dhcp snooping trust,4.1、DHCP Snooping + DAI方案

23、概述,原理 通過DHCP Snooping功能將用戶正確的IP與MAC寫入交換機的DHCP Snooping表 使用DAI功能校驗ARP報文的正確性 應(yīng)用場景 用戶使用動態(tài)IP地址 同樣適用于SAM認(rèn)證環(huán)境 缺點 DAI功能需通過CPU處理，大量的ARP報文可能導(dǎo)致CPU過高,41,網(wǎng)絡(luò)拓?fù)?主要配置（10.x平臺）,4.2、DHCP Snooping + DAI方案實施,42,DHCP 00d0.f800.0001,DHCP 00d0.f800.0002,Fa 0/1：VLAN 10,Fa 0/2：VLAN 10,ip dhcp snooping ! ip arp inspection vl

24、an 10 ! interface FastEthernet 0/1 ! interface FastEthernet 0/2 ! interface FastEthernet 0/24 ip dhcp snooping trust ip arp inspection trust,Uplink：Fa 0/24,4.3、 DHCP Snooping + DAI方案級聯(lián)優(yōu)化,43,Uplink,trust,trust,多臺交換機級聯(lián)時，為避免上面一臺交換機正對下聯(lián)交換機上的用戶重復(fù)進(jìn)行dhcp snooping 與ARP報文校驗，請將下聯(lián)其他交換機的接口啟用ip dhcp snooping tru

25、st及ip arp inspection trust,5.1、SAM + Supplicant授權(quán)方案概述,原理 用戶通過SAM認(rèn)證后，交換機會將用戶的MAC信息寫入ACE 交換機開啟Supplicant授權(quán)，交換機會將用戶的IP信息寫入ACE 使用ARP-check功能校驗ARP報文的正確性 應(yīng)用場景 用戶使用靜態(tài)IP地址 用戶使用SAM認(rèn)證 缺點 不能使用安全通道功能,44,網(wǎng)絡(luò)拓?fù)?主要配置（10.x平臺）,5.2、SAM + Supplicant授權(quán)方案實施,45,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,Fa 0/1：

26、VLAN 10,Fa 0/2：VLAN 10,aaa authorization ip-auth-mode supplicant ! interface FastEthernet 0/1 switchport access vlan 10 arp-check auto dot1x port-control auto ! interface FastEthernet 0/2 switchport access vlan 10 arp-check auto dot1x port-control auto,附.1、ARP欺騙免疫（GSN）概述,原理 用戶認(rèn)證后SMP服務(wù)器下發(fā)策略，通過Su建立網(wǎng)關(guān)靜態(tài)ARP表項 用戶認(rèn)證后SMP服務(wù)器下發(fā)策略，在網(wǎng)關(guān)建立用戶的可信任ARP表項 應(yīng)用場景 用戶使用IP地址類型不限（動態(tài)或靜態(tài)） 用戶使用GSN系統(tǒng) 缺點 ARP欺騙免疫與前面介紹的方案原理不同，該方案是在網(wǎng)關(guān)與客戶之間自動建立靜態(tài)ARP表項，而非杜絕用戶發(fā)送欺騙報文 該方案不能解決主機之間的欺騙 需要網(wǎng)關(guān)設(shè)備支持ARP欺騙免疫功能,46,網(wǎng)絡(luò)拓?fù)?網(wǎng)關(guān)交換機主要配置,附.2、 ARP欺騙免疫（GSN）方案實施,47,Static/DHCP 00d0