低端交换机防ARP攻击特性总结Word格式文档下载.docx

低端交换机防ARP攻击特性总结Word格式文档下载.docx

《低端交换机防ARP攻击特性总结Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《低端交换机防ARP攻击特性总结Word格式文档下载.docx（11页珍藏版）》请在冰豆网上搜索。

（12）H3CS5500TP-SI3

2、Quidway品牌4

（1）S3026EFGTC_PWR-E026-E026T4

（2）S3526E_3526EF_3526C4

（3）S3528_3552_3552F4

（4）S39004

（5）S56004

（6）E328_E3524

（7）S5100-EI5

（8）其他未列出型号的设备，表示不支持该特性。

5

二、ARP防攻击特性的简单介绍6

1、ARP入侵检测简介6

（1）“中间人攻击”简介6

（2）ARP入侵检测功能7

2、配置ARP入侵检测功能7

三、ARP防攻击特性的实施11

1、网络中使用DHCPServer动态分配客户端IP地址的实施方案11

（1）交换机上所需配置：

11

（2）注意事项：

2、网络中使用静态指定方式分配客户端IP地址的实施方案12

12

3、网络中使用CAMS服务器实现该功能的实施方案13

一、支持防ARP攻击特性的设备型号和版本

1、H3C品牌

（1）H3CS3100-52P_E152

正式版本：

目前尚无版本支持。

受限版本：

F1600L01及后续版本。

（2）H3CS3100-EI_E126A

E2102及后续版本。

F2200L01。

（3）H3CS3100-SI_E126_S2126-EI

（4）H3CS3600-EI

（5）H3CS3600-SI_E328_E352

（6）H3CS3610_S5510

（7）H3CS5100-EI

R2200及后续版本。

E2200。

（8）H3CS5100-SI

（9）H3CS5500-EI

（10）H3CS5500-SI

（11）H3CS5600

（12）H3CS5500TP-SI

2、Quidway品牌

（1）S3026EFGTC_PWR-E026-E026T

R0039P01及后续版本。

（2）S3526E_3526EF_3526C

R0042及后续版本。

（3）S3528_3552_3552F

R0029及后续版本。

（4）S3900

（5）S5600

（6）E328_E352

（7）S5100-EI

二、ARP防攻击特性的简单介绍

1、ARP入侵检测简介

（1）“中间人攻击”简介

按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。

这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。

如下图所示，HostA和HostC通过Switch进行通信。

此时，如果有黑客（HostB）想探听HostA和HostC之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使HostA和HostC用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。

此后，HostA和HostC之间看似“直接”的通信，实际上都是通过黑客所在的主机间接进行的，即HostB担当了“中间人”的角色，可以对信息进行了窃取和篡改。

这种攻击方式就称作“中间人（Man-In-The-Middle）攻击”。

（2）ARP入侵检测功能

为了防止黑客或攻击者通过ARP报文实施“中间人”攻击，以太网交换机支持ARP入侵检测功能，即：

将经过交换机的所有ARP（请求与回应）报文重定向到CPU，利用DHCPSnooping表或手工配置的IP静态绑定表对ARP

报文进行合法性检测。

开启ARP入侵检测功能后，如果ARP报文中的源MAC地址、源IP地址、接收ARP报文的端口编号以及端口所在VLAN与DHCPSnooping表或手工配置的IP静态绑定表表项一致，则认为该报文是合法的ARP报文，进行转发；

否则认为是非法ARP报文，直接丢弃。

用户可以通过配置信任端口，灵活控制ARP报文检测。

对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCPSnooping表或手工配置的IP静态绑定表进行检测。

用户可以通过配置ARP严格转发功能，使ARP请求报文仅通过信任端口进行转发；

对于接收到的ARP应答报文，首先按照报文中的目的MAC地址进行转发，若目的MAC地址不在MAC地址表中，则将此ARP应答报文通过信任端口进行转发。

2、配置ARP入侵检测功能

配置ARP入侵检测功能之前，需要先在交换机上开启DHCPSnooping功能，并设置DHCPSnooping信任端口。

目前，以太网交换机在端口上配置的IP静态绑定表项，其所属VLANID为端口的缺省VLANID。

因此，如果ARP报文的VLANTAG与端口的PVID值不同，报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。

当ARP入侵检测功能与VLANMapping功能配合使用时，为保证功能的正确实现，需要在原始VLAN和映射后的VLAN内同时开启ARP入侵检测功能。

一般情况下，需要配置交换机的上行端口作为ARP信任端口。

在开启ARP严格转发功能之前，需要先在交换机上开启ARP入侵检测功能，并配置ARP信任端口。

建议用户不要在汇聚组中的端口或Fabric端口上配置ARP入侵检测功能。

具体配置命令如下：

当网络中存在未使用DHCPServer动态分配客户端IP地址的组网方式时，需使用DHCPSnooping功能中“IP过滤”特性，对IP和MAC地址进行静态的绑定。

由于DHCPSnooping表项只记录了通过DHCP方式动态获取IP地址的客户端信息，如果用户手工配置了固定IP地址，其IP地址、MAC地址等信息将不会被DHCPSnooping表记录，因此不能通过基于DHCPSnooping表项的IP过滤检查，导致用户无法正常访问外部网络。

为了能够让这些拥有合法固定IP地址的用户访问网络，交换机支持手工配置IP静态绑定表的表项，即：

用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。

以便顺利转发该用户的报文。

交换机对IP报文的两种过滤方式：

、根据报文中的源IP地址进行过滤。

如果报文的源IP地址、接收报文的交换机端口编号，与DHCPSnooping表或手工配置的IP静态绑定表表项一致，

则认为该报文是合法的报文，直接转发；

否则认为是非法报文，直接丢弃。

、根据报文中的源IP地址和源MAC地址进行过滤。

如果报文的源IP地址、源MAC地址、接收报文的交换机端口编号，与DHCPSnooping表或手工配置

的IP静态绑定表表项一致，则认为该报文是合法的报文，直接转发；

否则认

为是非法报文，直接丢弃。

需要注意的是：

配置IP过滤功能之前，需要先开启交换机的DHCPSnooping功能，并配置信任端口。

请用户不要在汇聚组中的端口或Fabric端口上配置IP过滤功能。

如果某端口下开启IP过滤功能时，指定了mac-address参数，则此端口下配置的IP静态绑定表项必须指定mac-addressmac-address参数，否则该固定IP地址的客户端发送的报文无法通过IP过滤检查。

以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCPSnooping动态表项。

具体表现在：

如果手工配置的IP静态绑定表项中的IP地

址与已存在的DHCPSnooping动态表项的IP地址相同，则覆盖DHCPSnooping动态表项的内容；

如果先配置了IP静态绑定表项，再开启交换机的DHCPSnooping功能，则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的IP地址。

在端口上配置的IP静态绑定表项，其所属VLAN为端口的缺省VLANID。

三、ARP防攻击特性的实施

1、网络中使用DHCPServer动态分配客户端IP地址的实施方案

#

vlan1

arpdetectionenable

interfaceVlan-interface1

ipaddress1.1.1.1255.0.0.0

interfaceEthernet1/0/3（连接DHCPServer的接口）

dhcp-snoopingtrust

ipsourcestaticbindingip-address1.1.1.10mac-address0000-0000-0002（若想ping通DHCPServer，需绑定该Server的IP和MAC）

dhcp-snooping

#

、要想PC可以ping通DHCPServer的IP地址，需在连接DHCPServer的接口上配置“arpdetectiontrust”或绑定该Server的IP和MAC。

、DHCPRelay是三层的功能，DHCPSnooping是二层的功能，DHCPRelay对DHCP报文作三层转发，DHCPSnooping对DHCP报文作二层透传，因此两者无法同时使用。

、DHCPRelay和DHCPSnooping对涉及对表项进行记录，同时提供给dot1x认证模块使用，两个功能同时使用，则dot1x功能也会混乱。

、如果DHCPServer和ARP防攻击功能在同一台设备上开启，那么下连PC无法ping通接口地址池所在VLAN虚接口的IP地址，如果开启全局地址池，那么下连PC无法ping通该设备上和上层设备的虚接口IP地址。

2、网络中使用静态指定方式分配客户端IP地址的实施方案

ipaddress1.1.1.2255.0.0.0

interfaceAux1/0/0

interfaceEthernet1/0/1

interfaceEthernet1/0/2（连接PC的接口）

ipsourcestaticbindingip-address1.1.1.1mac-address0015-c50d-1645

、在网络环境中，如果没有使用DHCPServer，那么要使能防ARP攻击的功能，就需要配置IP静态绑定表。

在配置静态绑定时，只有配置了IP和MAC绑定关系后，才能实现该特性。

如果只在接口下配置检测IP地址，那么arp功能没有起作用，配置如下：

ipsourcestaticbindingip-address1.1.1.1

、在该配置方案中，无需配置“dhcp-snoopingtrust”。

、要想PC可以ping通上层设备的IP地址，需在上行口上配置“arpdetectiontrust”或绑定上层设备的IP和MAC。

3、网络中使用CAMS服务器实现该功能的实施方案

交换机上无需特别配置，实现防ARP攻击特性的具体操作需在CAMS服务器上进行配置。