H3C低端交换机防ARP攻击特性总结.docx
《H3C低端交换机防ARP攻击特性总结.docx》由会员分享,可在线阅读,更多相关《H3C低端交换机防ARP攻击特性总结.docx(12页珍藏版)》请在冰豆网上搜索。
H3C低端交换机防ARP攻击特性总结
一、支持防ARP攻击特性的设备型号和版本2
1、H3C品牌2
(1)H3CS3100-52P_E1522
(2)H3CS3100-EI_E126A2
(3)H3CS3100-SI_E126_S2126-EI2
(4)H3CS3600-EI2
(5)H3CS3600-SI_E328_E3522
(6)H3CS3610_S5510.2
(7)H3CS5100-EI3
(8)H3CS5100-SI3
(9)H3CS5500-EI3
(10)H3CS5500-SI3
(11)H3CS56003
(12)H3CS5500TP-SI3
2、Quidway品牌4
(1)S3026EFGTC_PWR-E026-E026T4
(2)S3526E_3526EF_3526C4
(3)S3528_3552_3552F4
(4)S39004
(5)S56004
(6)E328_E3524
(7)S5100-EI5
(8)其他未列出型号的设备,表示不支持该特性。
5
二、ARP防攻击特性的简单介绍6
1、ARP入侵检测简介6
(1)“中间人攻击”简介6
(2)ARP入侵检测功能7
2、配置ARP入侵检测功能7
三、ARP防攻击特性的实施11
1、网络中使用DHCPServer动态分配客户端IP地址的实施方案11
(1)交换机上所需配置:
11
(2)注意事项:
11
2、网络中使用静态指定方式分配客户端IP地址的实施方案12
(1)交换机上所需配置:
12
(2)注意事项:
12
3、网络中使用CAMS服务器实现该功能的实施方案13
一、支持防ARP攻击特性的设备型号和版本
1、H3C品牌
(1)H3CS3100-52P_E152
正式版本:
目前尚无版本支持。
受限版本:
F1600L01及后续版本。
(2)H3CS3100-EI_E126A
正式版本:
E2102及后续版本。
受限版本:
F2200L01。
(3)H3CS3100-SI_E126_S2126-EI
正式版本:
目前尚无版本支持。
受限版本:
目前尚无版本支持。
(4)H3CS3600-EI
正式版本:
目前尚无版本支持。
受限版本:
F1600L01及后续版本。
(5)H3CS3600-SI_E328_E352
正式版本:
目前尚无版本支持。
受限版本:
F1600L01及后续版本。
(6)H3CS3610_S5510
正式版本:
目前尚无版本支持。
受限版本:
目前尚无版本支持。
(7)H3CS5100-EI
正式版本:
R2200及后续版本。
受限版本:
E220O
(8)H3CS5100-SI
正式版本:
R2200及后续版本。
受限版本:
E220O
(9)H3CS5500-EI
正式版本:
目前尚无版本支持。
受限版本:
目前尚无版本支持。
(10)H3CS5500-SI
正式版本:
目前尚无版本支持。
受限版本:
目前尚无版本支持。
(11)H3CS5600
正式版本:
目前尚无版本支持。
受限版本:
F1600L01及后续版本
(12)H3CS5500TP-SI
正式版本:
目前尚无版本支持。
受限版本:
目前尚无版本支持。
2、Quidway品牌
(1)S3026EFGTC_PWR-E026-E026T
正式版本:
R0039P01及后续版本。
受限版本:
目前尚无版本支持。
(2)S3526E_3526EF_3526C
正式版本:
R0042及后续版本。
受限版本:
目前尚无版本支持。
(3)S3528_3552_3552F
正式版本:
R0029及后续版本。
受限版本:
目前尚无版本支持。
(4)S3900
正式版本:
目前尚无版本支持。
受限版本:
F1600L01及后续版本。
(5)S5600
正式版本:
目前尚无版本支持。
受限版本:
F1600L01及后续版本。
(6)E328_E352
正式版本:
目前尚无版本支持。
受限版本:
F1600L01及后续版本
(7)S5100-EI
正式版本:
R2200及后续版本。
受限版本:
目前尚无版本支持。
(8)其他未列出型号的设备,表示不支持该特性。
二、ARP防攻击特性的简单介绍
1、ARP入侵检测简介
(1)“中间人攻击”简介
按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。
这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
如下图所示,HostA和HostC通过Switch进行通信。
此时,如果有黑客(HostB)想探听HostA和HostC之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使HostA和HostC用MAC_Bg新自身ARP映射表中与对方IP地址相应的表项。
此后,HostA和HostC之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即HostB担当了“中间人”的角色,可以
对信息进行了窃取和篡改。
这种攻击方式就称作“中间人(Man-ln-The-Middle)攻击”。
Sir;rch
IP_B
ARF•中IMA.-
(2)ARP入侵检测功能
为了防止黑客或攻击者通过ARP报文实施“中间人”攻击,以太网交换机支持ARP入侵检测功能,即:
将经过交换机的所有ARP(请求与回应)报文重定向到CPU利用DHCPSnooping表或手工配置的IP静态绑定表对ARP报文进行合法性检测。
开启ARP入侵检测功能后,如果ARP报文中的源MAC地址、源IP地址、接收ARP报文的端口编号以及端口所在VLAN与DHCPSnooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的ARP报文,进行转发;否则认为是非法ARP报文,直接丢弃。
用户可以通过配置信任端口,灵活控制ARP报文检测。
对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCPSnooping表或手工配置的IP静态绑定表进行检测。
用户可以通过配置ARP严格转发功能,使ARP请求报文仅通过信任端口进行转发;对于接收到的ARP应答报文,首先按照报文中的目的MAC地址进行转发,若目的MAC地址不在MAC地址表中,则将此ARP应答报文通过信任端口进行转发。
2、配置ARP入侵检测功能
配置ARP入侵检测功能之前,需要先在交换机上开启DHCPSnooping功能,并设置DHCPSnooping信任端口。
目前,以太网交换机在端口上配置的IP静态绑定表项,其所属VLANID为端口的缺省VLANID。
因此,如果ARP报文的VLANTAG与端口的PVID值不同,报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。
当ARP入侵检测功能与VLANMapping功能配合使用时,为保证功能的正确实现,需要在原始VLAN和映射后的VLAN同时开启ARP入侵检测功能。
一般情况下,需要配置交换机的上行端口作为ARP信任端口。
在开启ARP严格转发功能之前,需要先在交换机上开启ARP入侵检测功能,
并配置ARP信任端口
建议用户不要在汇聚组中的端口或Fabric端口上配置ARP入侵检测功能
具体配置命令如下:
system-view
-
沪'DHCPSnocpinj
dhc()snooping
下,的DHCP
Snooping吐f战珂粒L
迥入以太期瑞口理用
inteffdc«interface-type
*
瓦赛DHCPSnooping信任端口
dhrfi-^ncwifilnptru^t
ttWffiSITr开JBDHCP
Snoopino功应届.ttftMDflT堆口均丼李惜住堆口
quit
■
込人VWI段阳
vinnvian-icf
-
开1:
為RP入决检测期
试衬■魂下*SCVLAN内及有増口的ARP人便4M肚赴
quit
■
朗入以太网划11稅圈
intenacemieTace-type(mrlBc^nur^^
jtpdetectiontrust
快書馆紀下.1*口ARPM
任堺口]
迥榭卒帝址叫阖
quit
iiAVLANWEI^I
vlanvlan-id
-
“J■arfr
arprestncted-forwirdiriQenable
Wit
ftRPil
(ft址于崔制找臺
当网络中存在未使用DHCPServer动态分配客户端IP地址的组网方式时,需使用DHCPSnooping功能中“IP过滤”特性,对IP和MAC地址进行静态的绑^定。
由于DHCPSnooping表项只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCPSnooping表记录,因此不能通过基于DHCPSnooping表项的IP过滤检查,导致用户无法正常访问外部网络
为了能够让这些拥有合法固定IP地址的用户访问网络,交换机支持手工配置IP静态绑定表的表项,即:
用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。
以便顺利转发该用户的报文。
交换机对IP报文的两种过滤方式:
1、根据报文中的源IP地址进行过滤。
如果报文的源IP地址、接收报文的交换机端口编号,与DHCPSnooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的报文,直接转发;否则认为是非法报文,直接丢弃。
2、根据报文中的源IP地址和源MAC地址进行过滤。
如果报文的源IP地址、源MAC地址、接收报文的交换机端口编号,与DHCPSnooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的报文,直接转发;否则认
为是非法报文,直接丢弃
損作
入棗城视用
system-view
-
退入M太网端UWEI引
interfaceinterf^ce-numbef
-
丿『瞪1P过滤功能
侯有馆汉下*■口上的IF过滤功链殖:
丁关闭狀审
KKIPU末辉定诙哽
ipaourcestaticbindingip-addr«^sipaddress
缺肯惰况下,没育配置IF肿击
需要注意的是:
配置IP过滤功能之前,需要先开启交换机的DHCPSnooping功能,并配置信任端口。
请用户不要在汇聚组中的端口或Fabric端口上配置IP过滤功能。
如果某端口下开启IP过滤功能时,指定了mac-address参数,则此端口下配置的IP静态绑定表项必须指定mac-addressmac-address参数,否则该固定IP地址的客户端发送的报文无法通过IP过滤检查。
以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCPSnooping
动态表项。
具体表现在:
如果手工配置的IP静态绑定表项中的IP地址与已存在的DHCPSnooping动态表项的IP地址相同,则覆盖DHCPSnooping动态表项的容;如果先配置了IP静态绑定表项,再开启交换机的DHCP5nooping功能,则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的IP地址。
在端口上配置的IP静态绑定表项,其所属VLAN为端口的缺省VLANID。
三、ARP防攻击特性的实施
1、网络中使用DHCPServer动态分配客户端IP地址的实施方案
(1)交换机上所需配置:
#
vlan1
arpdetectionenable
#
interfaceVlan-interface1
ipaddress1.1.1.1255.0.0.0
#
interfaceEthernet1/0/3(连接DHCPServer的接口)
dhcp-snoopingtrust
ipsourcestaticbindingip-address1.1.1.10mac-address0000-0000-0002(若想ping通DHCP
Server,需绑定该Server的IP和MAC
#
dhcp-snooping
#
(2)注意事项:
①、要想PC可以ping通DHCPServer的IP地址,需在连接DHCPServer的接口上配置“arpdetectiontrust”或绑定该Server的IP和MAC
③、DHCPRelay是三层的功能,DHCPSnooping是二层的功能,DHCPRelay对
DHCP报文作三层转发,DHCPSnooping对DHCPS文作二层透传,因此两者无法同时使用。
③、DHCPRelay和DHCPSnooping对涉及对表项进行记录,同时提供给dot1x
认证模块使用,两个功能同时使用,则dot1x功能也会混乱。
③、如果DHCPServe和AR防攻击功能在同一台设备上开启,那么下连PC无法
ping通接口地址池所在VLAN虚接口的IP地址,如果开启全局地址池,那么下连PC无法ping通该设备上和上层设备的虚接口IP地址。
2、网络中使用静态指定方式分配客户端IP地址的实施方案
(1)交换机上所需配置:
#
vlan1
arpdetectionenable
#
interfaceVlan-interfacel
ipaddress1.1.1.2255.0.0.0
#
interfaceAux1/0/0
#
interfaceEthernet1/0/1
#
interfaceEthernet1/0/2(连接PC的接口)
ipsourcestaticbindingip-address1.1.1.1mac-address0015-c50d-1645
#
dhcp-snooping
#
(2)注意事项:
①、在网络环境中,如果没有使用DHCFServer,那么要使能防ARF攻击的功能,就需要配置IP静态绑定表。
在配置静态绑定时,只有配置了IP和MACS定关系后,才能实现该特性。
如果只在接口下配置检测IP地址,那么arp功能没有起
作用,配置如下:
#
vlan1
arpdetectionenable
#
interfaceVlan-interface1
ipaddress1.1.1.2255.0.0.0
#
interfaceAux1/0/0
#
interfaceEthernet1/0/1
#
interfaceEthernet1/0/2(连接PC的接口)
ipsourcestaticbindingip-address1.1.1.1
#
dhcp-snooping
③、在该配置方案中,无需配置“dhcp-snoopingtrust”。
③、要想PC可以ping通上层设备的IP地址,需在上行口上配置“arpdetection
trust”或绑定上层设备的IP和MAC
3、网络中使用CAMS艮务器实现该功能的实施方案
交换机上无需特别配置,实现防ARP攻击特性的具体操作需在CAM驭务器上进行配置。