ARP攻击防御解决方案技术白皮书
ARP攻击防范技术白皮书
ARP攻击防范技术白皮书关键词:ARP,仿冒网关,欺骗网关,欺骗其他用户,泛洪攻击摘要:本文针对目前常见的ARP攻击,介绍了H3C网络设备所能提供的防范ARP攻击的方法以及典型组网应用。
目录1 概述1.1 产生背景1.1.1 ARP工作机制1.1.2 ARP攻击类型介绍1.1.3 ARP攻击的危害1.2 H3C解决方案2 ARP攻击防范技术介绍2.1 接入设备攻击防范介绍2.1.1 ARP Detection功能2.1.2 ARP网关保护功能2.1.3 ARP过滤保护功能2.1.4 ARP报文限速功能2.2 网关设备攻击防范介绍2.2.1授权ARP功能2.2.2 ARP自动扫描和固化功能2.2.3 配置静态ARP表项2.2.4 ARP主动确认功能2.2.5 ARP报文源MAC一致性检查功能2.2.6 源MAC地址固定的ARP攻击检测功能2.2.7 限制接口学习动态ARP表项的最大数目2.2.8 ARP防IP报文攻击功能3 典型组网应用3.1 监控方式3.2 认证方式3.3 网吧解决方案4 参考文献1 概述1.1 产生背景1.1.1 ARP工作机制ARP协议是以太网等数据链路层的基础协议,负责完成IP地址到硬件地址的映射。
工作过程简述如下:(1)当主机或者网络设备需要解析一个IP地址对应的MAC地址时,会广播发送ARP请求报文。
(2)主机或者网络设备接收到ARP请求后,会进行应答。
同时,根据请求发送者的IP地址和MAC地址的对应关系建立ARP表项。
(3)发起请求的主机或者网络设备接收到应答后,同样会将应答报文中发送者的IP地址和MAC地址的映射关系记录下来,生成ARP表项。
1.1.2 ARP攻击类型介绍从ARP工作机制可以看出,ARP协议简单易用,但是却没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。
伪造ARP报文具有如下特点:l伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致。
ARP攻击防范与解决方案
ARP攻击防范与解决方案1. ARP攻击概述ARP(地址解析协议)是一种用于将IP地址映射到物理MAC地址的协议。
ARP攻击是指攻击者通过伪造或者篡改ARP数据包来欺骗网络中的主机,从而实现中间人攻击、拒绝服务攻击等恶意行为。
在ARP攻击中,攻击者通常会发送虚假的ARP响应,将合法主机的IP地址与自己的MAC地址进行绑定,导致网络中的通信被重定向到攻击者控制的主机上。
2. ARP攻击的危害ARP攻击可能导致以下危害:- 信息窃听:攻击者可以在通信过程中窃取敏感信息,如账号密码、银行卡信息等。
- 中间人攻击:攻击者可以篡改通信内容,更改数据包中的信息,甚至插入恶意代码。
- 拒绝服务攻击:攻击者可以通过ARP攻击使网络中的主机无法正常通信,导致网络服务不可用。
3. ARP攻击防范与解决方案为了有效防范和解决ARP攻击,可以采取以下措施:3.1 加强网络安全意识提高网络用户的安全意识,加强对ARP攻击的认识和理解。
教育用户不要随意点击来自未知来源的链接,不要打开可疑的附件,以及不要轻易泄露个人信息。
3.2 使用静态ARP绑定静态ARP绑定是一种将IP地址与MAC地址进行手动绑定的方法,可以有效防止ARP欺骗攻击。
在网络设备中配置静态ARP绑定表,将合法主机的IP地址与相应的MAC地址进行绑定,使得ARP响应包不会被攻击者篡改。
3.3 使用ARP防火墙ARP防火墙可以检测和阻挠ARP攻击,通过监控网络中的ARP流量并对异常流量进行过滤,实现对ARP攻击的防范。
ARP防火墙可以根据预设的策略,对ARP响应包进行检查和过滤,防止虚假的ARP响应被接受。
3.4 使用网络入侵检测系统(IDS)或者入侵谨防系统(IPS)IDS和IPS可以监测和谨防网络中的入侵行为,包括ARP攻击。
IDS可以实时监测网络中的ARP流量,发现异常的ARP请求和响应,并及时发出警报。
IPS可以根据事先设定的规则,对检测到的ARP攻击进行自动谨防,如封锁攻击者的IP 地址。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,黑客通过ARP欺骗技术,伪造网络设备的MAC地址,从而实施网络攻击,如中间人攻击、会话劫持等。
为了保护网络安全,我们需要采取一系列的防范措施和解决方案来应对ARP攻击。
1. 防范措施:1.1 使用静态ARP表:静态ARP表是一种手动配置的ARP表,将网络设备的IP地址和MAC地址进行绑定。
这样,即使黑客发起ARP欺骗攻击,也无法修改设备的ARP表,从而有效防止ARP攻击。
1.2 使用ARP防火墙:ARP防火墙可以监控网络中的ARP请求和响应,检测和阻止异常的ARP流量。
它可以根据事先设定的策略,过滤和阻断潜在的ARP攻击。
1.3 使用网络入侵检测系统(NIDS):NIDS可以监测网络中的异常流量和攻击行为,包括ARP攻击。
当NIDS检测到ARP攻击时,可以及时发出警报并采取相应的防御措施。
1.4 使用网络隔离技术:将网络划分为多个虚拟局域网(VLAN),并使用网络隔离技术将不同的用户和设备隔离开来。
这样,即使发生ARP攻击,黑客也无法直接访问其他网络。
2. 解决方案:2.1 实施ARP监控和检测:通过实时监控和检测ARP请求和响应,可以及时发现和识别ARP攻击行为。
可以使用专门的ARP监控工具或网络安全设备来实现。
2.2 使用加密通信:通过使用加密协议和加密算法,可以保护通信过程中的ARP请求和响应,防止黑客窃取或篡改网络设备的MAC地址。
2.3 定期更新网络设备的固件和软件:网络设备厂商会不断修复和更新设备的漏洞和安全问题。
定期更新网络设备的固件和软件,可以及时修复已知的ARP攻击漏洞。
2.4 加强员工的网络安全意识教育:通过加强员工的网络安全意识教育,提高他们对网络攻击的认识和防范能力,减少因员工的疏忽而导致的ARP攻击。
2.5 使用网络流量分析工具:网络流量分析工具可以帮助识别异常的ARP流量和攻击行为。
ARP攻击防范与解决方案
ARP攻击防范与解决方案一、背景介绍ARP(地址解析协议)攻击是一种常见的网络安全威胁,攻击者利用ARP协议的漏洞,通过伪造或篡改ARP数据包,来欺骗网络中的主机,从而实施网络攻击。
ARP攻击可能导致网络中断、信息泄露、数据篡改等安全问题。
为了保护网络的安全性,需要采取一系列的防范与解决方案。
二、ARP攻击的类型1. ARP欺骗攻击:攻击者发送虚假ARP响应包,将自己的MAC地址伪装成目标主机的MAC地址,从而使网络中的其他主机将数据发送给攻击者,实现信息窃取或中间人攻击。
2. ARP洪泛攻击:攻击者发送大量的虚假ARP请求包,使网络中的主机被迫处理大量的ARP请求,导致网络拥堵,甚至瘫痪。
3. ARP缓存中毒攻击:攻击者通过发送大量的虚假ARP响应包,将合法主机的IP地址与虚假的MAC地址绑定,使得合法主机无法正常通信。
三、防范与解决方案1. 使用静态ARP表:将网络中的主机的IP地址与MAC地址手动绑定,避免使用ARP协议进行动态解析,有效防止ARP欺骗攻击。
2. 启用ARP监控机制:通过网络设备的ARP监控功能,实时检测网络中的ARP请求和响应包,及时发现异常情况,并采取相应的防护措施。
3. 使用ARP防火墙:配置ARP防火墙规则,限制网络中的ARP请求和响应包的发送和接收,阻止异常ARP流量的传播,提高网络的安全性。
4. 使用网络流量监测工具:通过监测网络流量,及时发现大量的ARP请求和响应包,识别可能存在的ARP洪泛攻击,并采取相应的防护措施。
5. 加密通信:使用加密协议(如SSL/TLS)进行网络通信,防止敏感信息在传输过程中被窃取或篡改。
6. 定期更新网络设备的固件和软件:及时安装厂商发布的安全补丁,修复可能存在的ARP漏洞,提高网络设备的安全性。
7. 培训员工:加强网络安全意识培训,教育员工识别和应对ARP攻击,避免因员工的疏忽或错误而导致网络安全事故的发生。
四、结论ARP攻击是一种常见的网络安全威胁,对网络的安全性造成潜在威胁。
ARP攻防技术白皮书
ARP防攻击技术白皮书目录目录 (3)1技术概述 (5)1.1ARP工作机制 (5)1.2ARP攻击原理 (5)1.2.1ARP攻击类型 (5)1.2.2ARP欺骗 - 仿冒用户主机 (6)1.2.3ARP欺骗 - 仿冒网关攻击 (7)1.2.4ARP泛洪攻击 - 拒绝服务攻击 (8)1.2.5ARP泛洪攻击 - 缓存溢出攻击 (9)1.2.6ARP泛洪攻击 - 扫描攻击 (10)1.3ARP攻击防范技术介绍 (11)1.3.1防ARP地址欺骗 (11)1.3.2防ARP网关冲突 (12)1.3.3ARP严格学习 (12)1.3.4动态ARP检测(DAI) (13)1.3.5ARP报文速率限制 (14)2ARP防攻击解决方案 (14)2.1二层交换机防攻击方案 (14)2.2三层网关防攻击方案 (15)ARP防攻击技术白皮书关键词:ARP,ARP欺骗,泛洪攻击摘要:本文针对目前常见的ARP攻击,介绍了华为网络设备所能提供的防范ARP攻击的方法以及典型组网应用。
缩略语:1技术概述1.1ARP工作机制ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,基本功能就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址,以保证通信的进行。
工作过程如下:(1) 当网络节点需要解析一个IP 地址对应的MAC 地址时,会广播发送ARP 请求报文。
(2) 其他网络节点接收到ARP请求后,会进行ARP应答。
同时,根据请求发送者的IP地址和 MAC地址的对应关系建立 ARP表项,以便后续查ARP表进行报文转发。
(3) 发起请求的网络节点接收到ARP应答后,同样会将ARP应答报文中发送者的IP 地址和MAC 地址的映射关系记录下来,生成ARP表项,以便后续查ARP表进行报文转发。
ARP防攻击技术白皮书
1.2.2 ARP 欺骗 - 仿冒用户主机
原理 一个典型的用户主机仿冒流程如下:
1.信息节点比如网关广播ARP请求,询问用户A的地址 2.用户A回应自己的地址 3.建立合法用户A的ARP表项 4.用户B发出仿冒的ARP回应,可以是自己的MAC地址,也可以是网络中其他用户地址甚至
2012-7-29 华为版权所有 第 6 页ARP工作机制可以看出,ARP协议简单易用,没有任何安全机制,攻击者可以发送伪造ARP 报文对网络进行攻击。 ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,攻击者只要持续不断的发出伪造 的ARP响应包就能更改目标主机ARP表中的条目,造成网络中断或中间人攻击。同时,能够通 过在网络中产生大量的ARP通信量,使网络阻塞。
ARP 防攻击技术白皮书
是不存在的地址 5. 合法的ARP表项被修改为仿冒的ARP表项 6. 给用户A的流量被转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他 用户,如果仿冒的是不存在的地址,则流量在网络中被阻断
危害 如果用户B仿冒时用的是自己的地址,当流量返回时,就可以从流量中获取信息,从而形 成中间人攻击 如果用户B仿冒时用的是其他用户地址,当流量返回时,就可以对其他用户进行流量攻击 如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断 用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中断。
3
参考文献 .......................................................................................................................................16
2012-7-29
ARP攻击防范与解决方案
ARP攻击防范与解决方案1. ARP攻击概述ARP(Address Resolution Protocol)是一种用于将IP地址转换为物理MAC地址的协议。
ARP攻击是指攻击者通过伪造或者修改ARP请求和响应消息,来欺骗网络中其他设备的攻击行为。
ARP攻击可以导致网络中断、信息泄露、中间人攻击等安全问题,因此需要采取相应的防范与解决方案。
2. ARP攻击类型2.1 ARP欺骗攻击攻击者发送伪造的ARP响应消息,将自己的MAC地址误导其他设备,使其将数据发送到攻击者的设备上。
2.2 ARP洪泛攻击攻击者发送大量的伪造ARP请求消息,使网络中的设备都将响应发送到攻击者的设备上,导致网络拥塞。
3. ARP攻击防范与解决方案3.1 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址与MAC地址进行绑定,防止ARP欺骗攻击。
管理员可以手动添加ARP表项,并定期检查和更新。
3.2 使用动态ARP检测工具动态ARP检测工具可以实时监测网络中的ARP活动,及时发现和阻挠异常的ARP请求和响应,防止ARP欺骗攻击。
3.3 使用ARP防火墙ARP防火墙可以检测和阻挠网络中的ARP攻击行为,例如过滤伪造的ARP请求和响应消息,限制ARP流量的频率等。
3.4 加密通信使用加密通信协议(如HTTPS)可以防止ARP中间人攻击,保护通信过程中的数据安全。
3.5 使用网络隔离技术将网络划分为多个子网,使用VLAN(Virtual Local Area Network)等技术进行隔离,可以减少ARP攻击的影响范围。
3.6 定期更新设备固件和补丁设备厂商会不断发布固件和补丁来修复安全漏洞,及时更新设备固件和应用程序,可以提高设备的安全性,减少受到ARP攻击的风险。
3.7 强化网络安全意识提高员工和用户的网络安全意识,加强对ARP攻击的认识和防范意识,可以减少因误操作或者不慎行为导致的ARP攻击。
4. ARP攻击应急响应措施4.1 及时发现和确认ARP攻击通过网络监控和日志分析等手段,及时发现和确认网络中的ARP攻击行为,确定攻击的类型和范围。
ARP攻击防范与解决方案
ARP攻击防范与解决方案一、背景介绍ARP(地址解析协议)是在局域网中解决IP地址和MAC地址之间映射关系的协议。
然而,ARP协议的设计缺陷导致了ARP攻击的出现。
ARP攻击是一种常见的网络安全威胁,攻击者通过发送伪造的ARP响应包来篡改网络中的ARP缓存表,从而实现中间人攻击、拒绝服务攻击等恶意行为。
为了保护网络安全,我们需要采取相应的防范与解决方案。
二、防范ARP攻击的措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址和MAC地址的映射关系固定在ARP表中,可以有效防止ARP缓存污染攻击。
管理员可以根据网络拓扑结构手动添加ARP表项,并定期检查和更新。
2. 使用ARP欺骗检测工具ARP欺骗检测工具可以实时监测网络中的ARP请求和响应,检测是否存在异常的ARP活动。
当检测到ARP欺骗行为时,可以及时发出警报并采取相应的防御措施。
3. 使用静态ARP绑定静态ARP绑定是将特定IP地址和MAC地址的映射关系绑定在ARP表中,使得ARP缓存表中的映射关系不易被篡改。
管理员可以手动配置静态ARP绑定,确保网络中重要主机的ARP映射关系的安全性。
4. 使用网络入侵检测系统(IDS)网络入侵检测系统可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以自动触发警报,并采取相应的防御措施,如断开与攻击者的连接。
5. 使用虚拟局域网(VLAN)虚拟局域网可以将网络划分为多个逻辑上的独立网络,不同的VLAN之间无法直接通信,从而有效隔离了网络流量,减少了ARP攻击的风险。
三、解决ARP攻击的方法1. 及时更新操作系统和网络设备的补丁厂商会定期发布针对操作系统和网络设备的安全补丁,这些补丁通常包含了对已知漏洞的修复。
及时安装这些补丁可以有效减少ARP攻击的风险。
2. 使用网络流量监测工具网络流量监测工具可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以及时发出警报并采取相应的解决措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP攻击防御解决方案技术白皮书Hangzhou H3C Technologies Co., Ltd杭州华三通信技术有限公司All rights reserved版权所有侵权必究(REP01T01 V2.4/ IPD-CMM V3.0 / for internal use only)(REP01T01 V2.4/ IPD-CMM V3.0 / 仅供内部使用)声明Copyright © 2007 杭州华三通信技术有限公司及其许可者版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
H3C、Aolynk、、IRF、H3Care、、Neocean、、TOP G、SecEngine、SecPath、SecBlade、COMWARE、VVG、V2G、V n G、PSPT、NetPilot、XGbus均为杭州华三通信技术有限公司的商标。
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
修订记录日期版本描述作者2007-09-25 1.00 初稿完成宋渊目录1概述 (3)1.1ARP攻击日益严重 (3)1.2ARP攻击这么容易进行呢 (3)1.3ARP攻击的类型 (3)1.3.1网关仿冒 (3)1.3.2欺骗网关 (3)1.3.3欺骗终端用户 (3)1.3.4ARP泛洪攻击 (3)2解决方案介绍 (3)2.1认证模式 (3)2.1.1总体思路 (3)2.1.2处理机制及流程 (3)2.2DHCP 监控模式 (3)2.2.1总体思路 (3)2.2.2相关技术 (3)3典型组网部署 (3)3.1DHCP 监控模式的部署 (3)3.1.1典型组网 (3)3.1.2部署思路 (3)3.2认证模式的部署 (3)3.2.1典型组网 (3)3.2.2部署步骤 (3)4总结 (3)图目录图1 网关仿冒攻击示意图 (3)图2 欺骗网关攻击示意图 (3)图3 欺骗终端攻击示意图 (3)图4 认证模式示意图 (3)图5 iNode设置本地ARP流程 (3)图6 DHCP SNOOPING模式示意图 (3)图7 ARP入侵检测功能示意图 (3)图8 DHCP Snooping表项示意图 (3)ARP攻击防御解决方案技术白皮书关键词:ARP ARP攻击摘要:本文介绍了H3C公司ARP攻击防御解决方案的思路。
同时阐述了ARP攻击防御解决方案的技术细节和特点。
缩略语清单:Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释ARP Address Resolution Protocol 地址解析协议CAMS服务器AAA服务器(认证、授权、计费服务器)iNode客户端安装在网络终端设备(用户PC)上的软件,用来发起认证请求DHCP Snooping DHCP监听,记录通过二层设备申请到IP地址的用户信息。
1 概述1.1 ARP攻击日益严重近来, ARP攻击问题日渐突出。
严重者甚至造成大面积网络不能正常访问外网,学校深受其害。
H3C公司根据ARP攻击的特点,给出了有效的防ARP攻击解决方案。
要解决ARP攻击问题,首先必须了解ARP欺骗攻击的类型和原理,以便于更好的防范和避免ARP攻击的带来的危害。
1.2 ARP攻击这么容易进行呢ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。
以相同网段中的两台主机A、B来举例,其ARP协议运行的主要交互机制如下:1 如果A需要向B发起通信,A首先会在自己的ARP缓存表项中查看有无B的ARP表项。
如果没有,则进行下面的步骤:2 A在局域网上广播一个ARP请求,查询B的IP地址所对应的MAC地址;3 本局域网上的所有主机都会收到该ARP请求;4 所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求,则发送一个ARP应答给A,告知A自己的MAC地址;5 主机A收到B的ARP应答后,会在自己的 ARP缓存中写入主机B的ARP表项.如上所述,利用ARP协议,可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。
但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。
导致在ARP 协议中没有认证的机制,从而导致针对ARP协议的欺骗攻击非常容易。
1.3 ARP攻击的类型目前ARP攻击中有如下三种类型。
我们根据影响范围和出现频率分别介绍如下:1.3.1 网关仿冒ARP病毒通过发送错误的网关MAC对应关系给其他受害者,导致其他终端用户不能正常访问网关。
这种攻击形式在校园网中非常常见。
见下图:图1 网关仿冒攻击示意图如上图所示,攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。
从而网络中主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
1.3.2 欺骗网关攻击者发送错误的终端用户的IP+MAC的对应关系给网关,导致网关无法和合法终端用户正常通信。
这种攻击在校园网中也有发生,但概率和“网关仿冒”攻击类型相比,相对较少。
见下图:图2 欺骗网关攻击示意图如上图,攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已经更新。
网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
1.3.3 欺骗终端用户这种攻击类型,攻击者发送错误的终端用户/服务器的IP+MAC的对应关系给受害的终端用户,导致同网段内两个终端用户之间无法正常通信。
这种攻击在校园网中也有发生,但概率和“网关仿冒”攻击类型相比,相对较少。
见下图:图3 欺骗终端攻击示意图如上图,攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机该网段内某一合法用户的MAC地址已经更新。
导致该网段内其他主机发给该用户的所有数据全部重定向到一个错误的MAC 地址,导致该用户无法正常访问外网。
1.3.4 ARP泛洪攻击这种攻击类型,攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网。
主要是一种对局域网资源消耗的攻击手段。
这种攻击在校园网中也有发生,但概率和上述三类欺骗性ARP攻击类型相比,相对较少。
如下图:2 解决方案介绍通过对上述的ARP攻击类型的介绍。
我们可以很容易发现当前ARP攻击防御的关键所在:如何获取到合法用户和网关的IP-MAC对应关系,并如何利用该对应关系对ARP报文进行检查,过滤掉非法ARP报文。
H3C公司有两条思路来解决这一关键问题,即认证模式和DHCP监控模式。
分别对用户认证的过程和IP地址申请过程的监控,获取到合法用户的IP-MAC对应关系,从而解决不同环境下的ARP防攻击问题。
2.1 认证模式2.1.1 总体思路用户在认证时,通过CAMS服务器下发网关的IP-MAC对应关系到INOD客户端。
INOD客户端将该对应关系在主机上绑定。
从而有效防止主机被虚假的网关ARP表项欺骗。
即,最为常见的网关仿冒攻击。
业务流程如下图:图4 认证模式示意图2.1.2 处理机制及流程1. 处理机制H3C iNode客户端,通过同CAMS服务器配合,由管理员在CAMS上设置正确的网关IP、MAC 对应列表,并传送至客户端,客户端无论当前ARP缓存是何种状态,均按照CAMS系统下发的IP、MAC列表更新本地的ARP缓存,并周期性更新,保证用户主机网关MAC地址的正确性,从而保证用户主机报文发往正确的设备。
2. 处理流程a.客户端联动防御模式,第一步是设置本地正确的ARP列表。
本地ARP列表设置流程如下图所示:图5iNode设置本地ARP流程iNode客户端在发起1x认证后,CAMS在认证成功报文中返回管理员预设置的ARP列表。
用户主机在获取IP地址、获取网关IP后,在CAMS下发的ARP列表中查询是否有同本主机网关IP对应的ARP列表项,如果存在,则根据CAMS下发的信息更新本地ARP缓存,如果不存在,则向用户发出告警信息,错误原因可能是管理员配置不当,也可能是用户的DHCP请求没有得到正确的DHCP Server回应,造成本地网关IP不在CAMS下发的ARP列表范围内。
b.为了防止用户上线过程中,网关ARP列表信息被篡改,iNode客户端根据CAMS下发的正确信息周期性的更新本地ARP缓存。
2.2 DHCP 监控模式2.2.1 总体思路接入交换机通过监控用户的正常动态IP地址获取过程,获取正常用户的IP-MAC对应关系在接入交换机上绑定。
接入交换机过滤掉所有不匹配绑定关系的ARP报文,来防止接入的用户主机进行ARP欺骗攻击。
这种防攻击手段能够有效防御本文所描述的所有攻击类型(详见1.2)。
业务流程如下图:图6DHCP SNOOPING模式示意图2.2.2 相关技术1. ARP入侵检测机制为了防止ARP中间人攻击,H3C接入交换机支持对收到的ARP报文判断合法性。
这是如何做到的呢?H3C接入交换机可以动态获取(即,DHCP snooping表项)或者静态配置合法用户的IP-MAC对应关系。
并且在收到用户发送到ARP报文时,可以检查报文中的源IP地址及源MAC地址的绑定关系与所获取的合法用户IP-MAC对应关系表项是否匹配来判断该报文是否为合法ARP报文。
通过过滤掉所有非法ARP报文的方式来实现,所有ARP欺骗攻击。
如下图:10.10.1.3MAC C10.10.1.2MAC B图7 ARP 入侵检测功能示意图2. 动态IP 地址分配环境的工作机制当用户为动态IP 地址分配环境时。
接入交换机可以通过监控用户的IP 地址申请过程,从而自动学习到合法用户的IP-MAC 对应关系。
并依据该表项实现对合法ARP 报文的确认和非法ARP 报文的过滤。
那么这些动态表项是如何形成的呢?当开启DHCP Snooping 功能后,H3C 接入交换机采取监听DHCP-REQUEST 广播报文和DHCP-ACK 单播报文的方法来记录用户获取的IP 地址等信息。
目前,H3C 接入交换机的DHCP Snooping 表项主要记录的信息包括:分配给客户端的IP 地址、客户端的MAC 地址、VLAN 信息、端口信息、租约信息,如图8所示。
图8 DHCP Snooping 表项示意图为了对已经无用的DHCP Snooping 动态表项进行定期进行老化删除,以节省系统的资源,和减少安全隐患,H3C 接入交换机支持根据客户端IP 地址的租约对DHCP Snooping 表项进行老化。
具体实现过程为:当DHCP Snooping 至少记录了一条正式表项时,交换机会启动20秒的租约定时器,即每隔20秒轮询一次DHCP Snooping 表项,通过表项记录的租约时间、系统当前时间与表项添加时间的差值来判断该表项是否已经过期。