H3C ARP攻击防御解决方案.docx

1、H3C ARP攻击防御解决方案H3C ARP攻击防御解决方案方案概述近来， ARP攻击问题日渐突出。严重者甚至造成大面积网络不能正常访问外网，众多学校和企业深受其害。为了应对目前大量爆发的ARP攻击问题，H3C公司开发了ARP防攻击解决方案。通过对ARP攻击的种类，特点进行分析，找到 ARP攻击防御的最佳控制点。有效解决了ARP攻击问题。ARP攻击防御解决方案技术白皮书关键词：ARP ARP攻击摘 要：本文介绍了H3C公司ARP攻击防御解决方案的思路。同时阐述了ARP攻击防御解决方案的技术细节和特点。缩略语清单：Abbreviations缩略语Full spelling 英文全名Chinese

2、 explanation 中文解释ARPAddress Resolution Protocol地址解析协议CAMS服务器AAA服务器（认证、授权、计费服务器）iNode客户端安装在网络终端设备（用户PC）上的软件，用来发起认证请求DHCP SnoopingDHCP监听，记录通过二层设备申请到IP地址的用户信息。1 概述1.1 ARP攻击日益严重近来， ARP攻击问题日渐突出。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H3C公司根据ARP攻击的特点，给出了有效的防ARP攻击解决方案。要解决ARP攻击问题，首先必须了解ARP欺骗攻击的类型和原理，以便于更好的防范和避免ARP攻击的带来

3、的危害。1.2 ARP攻击这么容易进行呢ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例，其ARP协议运行的主要交互机制如下：1 如果A需要向B发起通信，A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有，则进行下面的步骤：2 A在局域网上广播一个ARP请求，查询B的IP地址所对应的MAC地址;3 本局域网上的所有主机都会收到该ARP请求;4 所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求，则发送一个ARP应答给A,告知A自己的MAC地址;5 主机A收到B的ARP应答后,

4、会在自己的 ARP缓存中写入主机B的ARP表项.如上所述，利用ARP协议，可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。导致在ARP协议中没有认证的机制，从而导致针对ARP协议的欺骗攻击非常容易。1.3 ARP攻击的类型目前ARP攻击中有如下三种类型。我们根据影响范围和出现频率分别介绍如下： 1.3.1 网关仿冒ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图： 图1 网关仿冒攻击示意图如上图所示，攻击者发送伪造的网关ARP报文，

5、欺骗同网段内的其它主机。从而网络中主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。1.3.2 欺骗网关攻击者发送错误的终端用户的IPMAC的对应关系给网关，导致网关无法和合法终端用户正常通信。这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。见下图： 图2 欺骗网关攻击示意图如上图，攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。1.3.3 欺骗终端用户这种攻击类型，攻击者发送错误的终端用户/服务器的IPMAC的对应关系给

6、受害的终端用户，导致同网段内两个终端用户之间无法正常通信。这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。见下图： 图3 欺骗终端攻击示意图如上图，攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机该网段内某一合法用户的MAC地址已经更新。导致该网段内其他主机发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。1.3.4 ARP泛洪攻击这种攻击类型，攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网。主要是一种对局域网资源消耗的攻击手段。这种攻击在校园网

7、中也有发生，但概率和上述三类欺骗性ARP攻击类型相比，相对较少。如下图：2 解决方案介绍通过对上述的ARP攻击类型的介绍。我们可以很容易发现当前ARP攻击防御的关键所在：如何获取到合法用户和网关的IP-MAC对应关系，并如何利用该对应关系对ARP报文进行检查，过滤掉非法ARP报文。H3C公司有两条思路来解决这一关键问题，即认证模式和DHCP监控模式。分别对用户认证的过程和IP地址申请过程的监控，获取到合法用户的IP-MAC对应关系，从而解决不同环境下的ARP防攻击问题。2.1 认证模式2.1.1 总体思路用户在认证时，通过CAMS服务器下发网关的IP-MAC对应关系到INOD客户端。INOD客

8、户端将该对应关系在主机上绑定。从而有效防止主机被虚假的网关ARP表项欺骗。即，最为常见的网关仿冒攻击。业务流程如下图： 图4 认证模式示意图2.1.2 处理机制及流程1. 处理机制H3C iNode客户端，通过同CAMS服务器配合，由管理员在CAMS上设置正确的网关IP、MAC对应列表，并传送至客户端，客户端无论当前ARP缓存是何种状态，均按照CAMS系统下发的IP、MAC列表更新本地的ARP缓存，并周期性更新，保证用户主机网关MAC地址的正确性，从而保证用户主机报文发往正确的设备。2. 处理流程a客户端联动防御模式，第一步是设置本地正确的ARP列表。本地ARP列表设置流程如下图所示： 图5

9、iNode设置本地ARP流程iNode客户端在发起1x认证后，CAMS在认证成功报文中返回管理员预设置的ARP列表。用户主机在获取IP地址、获取网关IP后，在CAMS下发的ARP列表中查询是否有同本主机网关IP对应的ARP列表项，如果存在，则根据CAMS下发的信息更新本地ARP缓存，如果不存在，则向用户发出告警信息，错误原因可能是管理员配置不当，也可能是用户的DHCP请求没有得到正确的DHCP Server回应，造成本地网关IP不在CAMS下发的ARP列表范围内。b为了防止用户上线过程中，网关ARP列表信息被篡改，iNode客户端根据CAMS下发的正确信息周期性的更新本地ARP缓存。2.2 D

10、HCP 监控模式2.2.1 总体思路接入交换机通过监控用户的正常动态IP地址获取过程，获取正常用户的IP-MAC对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的ARP报文，来防止接入的用户主机进行ARP欺骗攻击。这种防攻击手段能够有效防御本文所描述的所有攻击类型（详见1.2）。业务流程如下图： 图6 DHCP SNOOPING模式示意图2.2.2 相关技术1. ARP入侵检测机制为了防止ARP中间人攻击，H3C接入交换机支持对收到的ARP报文判断合法性。这是如何做到的呢？H3C接入交换机可以动态获取（即，DHCP snooping表项）或者静态配置合法用户的IP-MAC对应关系

11、。并且在收到用户发送到ARP报文时，可以检查报文中的源IP地址及源MAC地址的绑定关系与所获取的合法用户IP-MAC对应关系表项是否匹配来判断该报文是否为合法ARP报文。通过过滤掉所有非法ARP报文的方式来实现，所有ARP欺骗攻击。如下图： 图7 ARP入侵检测功能示意图2. 动态IP地址分配环境的工作机制当用户为动态IP地址分配环境时。接入交换机可以通过监控用户的IP地址申请过程，从而自动学习到合法用户的IP-MAC对应关系。并依据该表项实现对合法ARP报文的确认和非法ARP报文的过滤。那么这些动态表项是如何形成的呢？当开启DHCP Snooping功能后，H3C接入交换机采取监听DHCP-

12、REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。目前，H3C接入交换机的DHCP Snooping表项主要记录的信息包括：分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息，如图4 所示。 图8 DHCP Snooping表项示意图为了对已经无用的DHCP Snooping动态表项进行定期进行老化删除，以节省系统的资源，和减少安全隐患，H3C接入交换机支持根据客户端IP地址的租约对DHCP Snooping表项进行老化。具体实现过程为：当DHCP Snooping至少记录了一条正式表项时，交换机会启动20秒的租约定时器，即每隔20

13、秒轮询一次DHCP Snooping表项，通过表项记录的租约时间、系统当前时间与表项添加时间的差值来判断该表项是否已经过期。若记录的表项租约时间小于系统当前时间与表项添加时间的差值，则说明该表项已经过期，将删除该条表项，从而实现DHCP Snooping动态表项的老化。需要注意的是：当DHCP服务器端的租约设置为无限期或者很长时，会出现老化不及时的现象。3. 静态IP地址分配环境的工作机制对于不能通过动态IP地址获取的部分用户，以及打印机等服务器。H3C的交换机也支持手工配置合法用户的IP-MAC对应关系，形成静态合法用户的IP-MAC表项，即：用户的IP地址、MAC地址及连接该用户的端口之间

14、的绑定关系。静态配置的IP-MAC表项拥有和动态学习的DHCP Snooping表项的同样功能。接入交换机可以依据配置的静态表项实现对合法ARP报文的确认，和非法ARP报文的过滤。从而可以很好的解决静态IP地址分配环境下的部署问题。4. ARP信任端口设置在实际组网中，交换机的上行口会接收其他设备的请求和应答的ARP报文，这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题，交换机支持通过配置ARP信任端口，灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测，对其

15、它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。5. ARP限速功能H3C低端以太网交换机还支持端口ARP报文限速功能，来避免此类攻击对局域网造成的冲击。开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。3 典型组网

16、部署3.1 DHCP 监控模式的部署3.1.1 典型组网3.1.2 部署思路 在接入交换机上开启DHCP snooping功能，并配置与DHCP服务器相连的端口为DHCP snooping信任端口。 在接入交换机上为静态IP地址分配模式的主机或者服务器配置对应的IP静态绑定表项。 在接入交换机对应VLAN上开启ARP入侵检测功能，并配置该交换机的上行口为ARP信任端口。 在接入交换机的直接连接客户端的端口上配置ARP报文限速功能，同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。3.2 认证模式的部署3.2.1 典型组网3.2.2 部署步骤1. 步骤一：在CAMS上选择配置用户网关2. 步骤二：在CAMS上配置网关绑定关系3. 步骤三：选择立即生效4. 步骤四：用户正常上线4 总结H3C推出的ARP攻击防御解决方案，可以很好的缓解和解决校园网的ARP攻击问题。同时拥有很强的适应性，有利于现有校园网的设备利旧问题。