H3C低端交换机防ARP攻击特性总结.docx

1、H3C低端交换机防ARP攻击特性总结一、 支持防ARP攻击特性的设备型号和版本 21、 H3C品牌 2（1） H3C S3100-52P_E152 2（2） H3C S3100-EI_E126A 2（3） H3C S3100-SI_E126_S2126-EI 2（4） H3C S3600-EI 2（5） H3C S3600-SI_E328_E352 2（6） H3C S3610_S5510. 2（7） H3C S5100-EI 3（8） H3C S5100-SI 3（9） H3C S5500-EI 3（10） H3C S5500-SI 3（11） H3C S5600 3（12） H3C S55

2、00TP-SI 32、 Quidway 品牌 4（1） S3026EFGTC_PWR-E026-E026T 4（2） S3526E_3526EF_3526C 4（3） S3528_3552_3552F 4（4） S3900 4（5） S5600 4（6） E328_E352 4（7） S5100-EI 5（8 ）其他未列出型号的设备，表示不支持该特性。 5二、 ARP防攻击特性的简单介绍 61、 ARP入侵检测简介 6（1） “中间人攻击”简介 6（2） ARP入侵检测功能 72、 配置 ARP入侵检测功能 7三、 ARP防攻击特性的实施 111、 网络中使用 DHCP Server动态分配客

3、户端IP地址的实施方案 11（1） 交换机上所需配置： 11（2） 注意事项： 112、 网络中使用静态指定方式分配客户端 IP地址的实施方案 12（1） 交换机上所需配置： 12（2） 注意事项： 123、 网络中使用CAMS服务器实现该功能的实施方案 13一、支持防ARP攻击特性的设备型号和版本1、H3C品牌（1） H3C S3100-52P_E152正式版本：目前尚无版本支持。受限版本：F1600L01及后续版本。（2） H3C S3100-EI_E126A正式版本：E2102及后续版本。受限版本：F2200L01。（3） H3C S3100-SI_E126_S2126-EI正式版本：目

4、前尚无版本支持。受限版本：目前尚无版本支持。（4） H3C S3600-EI正式版本：目前尚无版本支持。受限版本：F1600L01及后续版本。（5） H3C S3600-SI_E328_E352正式版本：目前尚无版本支持。受限版本：F1600L01及后续版本。（6） H3C S3610_S5510正式版本：目前尚无版本支持。受限版本：目前尚无版本支持。(7)H3C S5100-EI正式版本：R2200及后续版本。受限版本：E220O(8)H3C S5100-SI正式版本：R2200及后续版本。受限版本：E220O(9)H3C S5500-EI正式版本：目前尚无版本支持。受限版本：目前尚无版本支

5、持。(10)H3C S5500-SI正式版本：目前尚无版本支持。受限版本：目前尚无版本支持。(11)H3C S5600正式版本：目前尚无版本支持。受限版本：F1600L01及后续版本(12)H3C S5500TP-SI正式版本：目前尚无版本支持。受限版本：目前尚无版本支持。2、Quidway 品牌（1） S3026EFGTC_PWR-E026-E026T正式版本：R0039P01及后续版本。受限版本：目前尚无版本支持。（2） S3526E_3526EF_3526C正式版本：R0042及后续版本。受限版本：目前尚无版本支持。（3） S3528_3552_3552F正式版本：R0029及后续版本。

6、受限版本：目前尚无版本支持。（4） S3900正式版本：目前尚无版本支持。受限版本：F1600L01及后续版本。（5） S5600正式版本：目前尚无版本支持。受限版本：F1600L01及后续版本。（6） E328_E352正式版本：目前尚无版本支持。受限版本：F1600L01及后续版本(7)S5100-EI正式版本：R2200及后续版本。受限版本：目前尚无版本支持。(8)其他未列出型号的设备，表示不支持该特性。二、ARP防攻击特性的简单介绍1、ARP入侵检测简介(1) “中间人攻击”简介按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的， 也会将其IP地址和MAC地址的对应关

7、系添加到自身的 ARP映射表中。这样可 以减少网络上过多的ARP数据通信，但也为“ ARP欺骗”创造了条件。如下图所示，Host A和Host C通过Switch进行通信。此时，如果有黑客(Host B)想探听Host A和HostC之间的通信，它可以分别给这两台主机发送伪造的 ARP应答报文，使 Host A和Host C用MAC_Bg新自身ARP映射表中与对方IP 地址相应的表项。此后，Host A和Host C之间看似“直接”的通信，实际上都 是通过黑客所在的主机间接进行的，即 Host B担当了“中间人”的角色，可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-ln-Th

8、e-Middle) 攻击”。Sir; rchIP_BARF 中IMA.-(2) ARP入侵检测功能为了防止黑客或攻击者通过 ARP报文实施“中间人”攻击，以太网交换机支 持ARP入侵检测功能，即：将经过交换机的所有 ARP(请求与回应)报文重定向 到CPU利用DHCP Snooping表或手工配置的IP静态绑定表对ARP 报文进行合法性检测。开启ARP入侵检测功能后，如果 ARP报文中的源MAC地址、源IP地址、 接收ARP报文的端口编号以及端口所在 VLAN与DHCP Snooping表或手工配置 的IP静态绑定表表项一致，则认为该报文是合法的 ARP报文，进行转发；否则 认为是非法ARP报

9、文，直接丢弃。用户可以通过配置信任端口，灵活控制ARP报文检测。对于来自信任端口的 所有ARP报文不进行检测，对其它端口的 ARP报文通过查看DHCPS noop ing表 或手工配置的IP静态绑定表进行检测。用户可以通过配置 ARP严格转发功能，使 ARP请求报文仅通过信任端口进 行转发；对于接收到的ARP应答报文，首先按照报文中的目的 MAC地址进行转 发，若目的MAC地址不在MAC地址表中，则将此ARP应答报文通过信任端口进 行转发。2、配置ARP入侵检测功能配置ARP入侵检测功能之前，需要先在交换机上开启 DHCPS no opi ng功能， 并设置DHCP Snooping信任端口。

10、目前，以太网交换机在端口上配置的 IP静态绑定表项，其所属 VLANID为 端口的缺省VLAN ID。因此，如果ARP报文的VLAN TAG与端口的PVID值不同， 报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。当ARP入侵检测功能与VLANMapping功能配合使用时，为保证功能的正确 实现，需要在原始VLAN和映射后的VLAN同时开启ARP入侵检测功能。一般情况下，需要配置交换机的上行端口作为 ARP信任端口。在开启ARP严格转发功能之前，需要先在交换机上开启 ARP入侵检测功能，并配置ARP信任端口建议用户不要在汇聚组中的端口或 Fabric端口上配置ARP入侵检测功能具体配置

11、命令如下:system-view-沪DHCP Snocpinjdhc（）snooping下，的 DHCPSnooping 吐 f 战珂粒 L迥入以太期瑞口理用inteffdc interface-type*瓦赛 DHCP Snooping 信任端口dhrfi-ncwifilnp trutttWffiSITr 开 JB DHCPSnoopino 功应届.ttftMDflT 堆口均丼李惜住堆口quit込人VWI段阳vinn vian-icf-开1：為RP入决检测期试衬魂下* SCVLAN内及 有増口的ARP人便4M肚赴quit朗入以太网划11稅圈i n tenac e mie Tace-type

12、（mrlBcnurjtp detection trust快書馆紀下.1* 口 ARPM任堺口 迥榭卒帝址叫阖quitiiAVLAN WEIIvlan vlan-id-“J arf rarp restncted-forwirdiriQ enableWitftRP il(ft址于崔制找臺当网络中存在未使用 DHCP Server动态分配客户端IP地址的组网方式时， 需使用DHCPSnooping功能中“ IP过滤”特性，对IP和MAC地址进行静态的绑 定。由于DHCP Snooping表项只记录了通过DHCP方式动态获取IP地址的客户 端信息，如果用户手工配置了固定IP地址，其IP地址、MAC地址

13、等信息将不 会被DHCPS noopi ng表记录，因此不能通过基于 DHCPS no opi ng表项的IP过滤 检查，导致用户无法正常访问外部网络为了能够让这些拥有合法固定IP地址的用户访问网络，交换机支持手工配 置IP静态绑定表的表项，即：用户的IP地址、MAC地址及连接该用户的端口 之间的绑定关系。以便顺利转发该用户的报文。交换机对IP报文的两种过滤方式：1、根据报文中的源IP地址进行过滤。如果报文的源IP地址、接收报文的交 换机端口编号，与DHCP Snooping表或手工配置的IP静态绑定表表项一致， 则认为该报文是合法的报文，直接转发；否则认为是非法报文，直接丢弃。2、根据报文中

14、的源IP地址和源MAC地址进行过滤。如果报文的源IP地址、 源MAC地址、接收报文的交换机端口编号，与 DHCP Snooping表或手工配置 的IP静态绑定表表项一致，则认为该报文是合法的报文，直接转发；否则认为是非法报文，直接丢弃損作入棗城视用system-view-退入M太网端UWEI引interface interfce-numbef-丿瞪1P过滤功能p check source ip-iddre 侯有馆汉下* 口上的IF过滤 功链殖:丁关闭狀审KK IP U末辉定诙哽ip aource static binding ip-addrs ip address缺肯惰况下，没育配置IF肿击需

15、要注意的是：配置IP过滤功能之前，需要先开启交换机的 DHCPSnooping功能，并配置 信任端口。请用户不要在汇聚组中的端口或 Fabric端口上配置IP过滤功能。如果某端口下开启IP过滤功能时，指定了 mac-address参数，则此端口下 配置的IP静态绑定表项必须指定 mac-address mac-address参数，否则该固定 IP地址的客户端发送的报文无法通过IP过滤检查。以太网交换机上手工配置的IP静态绑定表项的优先级高于 DHCP Snooping动态表项。具体表现在：如果手工配置的IP静态绑定表项中的IP地 址与已存在的DHCP Snooping动态表项的IP地址相同，则

16、覆盖 DHCP Snooping 动态表项的容；如果先配置了 IP静态绑定表项，再开启交换机的DHCP5nooping 功能，则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的 IP地址。在端口上配置的IP静态绑定表项，其所属 VLAN为端口的缺省VLAN ID。三、ARP防攻击特性的实施1、网络中使用DHCP Server动态分配客户端IP地址的实施方案（1） 交换机上所需配置：#vlan 1arp detection enable#interface Vlan-interface1ip address 1.1.1.1 255.0.0.0#interface Ethernet

17、1/0/3 （连接 DHCP Server的接口）dhcp-snooping trustip source static binding ip-address 1.1.1.10 mac-address 0000-0000-0002 （若想 ping 通 DHCPServer，需绑定该Server的IP和MAC#dhcp-snooping#（2） 注意事项：、要想PC可以ping通DHCP Server的IP地址，需在连接 DHCP Server的接 口上配置“ arp detection trust ”或绑定该 Server 的 IP 和 MAC、DHCP Relay是三层的功能，DHCP S

18、nooping是二层的功能，DHCP Relay对DHCP报文作三层转发，DHCP Snooping对DHCPS文作二层透传，因此两者无法 同时使用。、DHCP Relay和DHCP Snooping对涉及对表项进行记录，同时提供给 dot1x认证模块使用，两个功能同时使用，则 dot1x功能也会混乱。、如果DHCP Serve和AR防攻击功能在同一台设备上开启，那么下连 PC无法ping通接口地址池所在VLAN虚接口的IP地址，如果开启全局地址池，那么下连PC 无法ping通该设备上和上层设备的虚接口 IP地址。2、网络中使用静态指定方式分配客户端IP地址的实施方案（1） 交换机上所需配置：

19、#vlan 1arp detection enable#interface Vlan-interfacelip address 1.1.1.2 255.0.0.0#interface Aux1/0/0#interface Ethernet1/0/1#interface Ethernet1/0/2 （连接 PC的接口）ip source static binding ip-address 1.1.1.1 mac-address 0015-c50d-1645#dhcp-snooping#（2） 注意事项：、在网络环境中，如果没有使用DHCFServer ,那么要使能防ARF攻击的功能, 就需要配置

20、IP静态绑定表。在配置静态绑定时，只有配置了 IP和MACS定关系 后，才能实现该特性。如果只在接口下配置检测 IP地址，那么arp功能没有起作用，配置如下：#vlan 1arp detection enable#interface Vlan-interface1ip address 1.1.1.2 255.0.0.0#interface Aux1/0/0#interface Ethernet1/0/1#interface Ethernet1/0/2 （连接 PC的接口）ip source static binding ip-address 1.1.1.1#dhcp-snooping、在该配置方案中，无需配置“ dhcp-s noop ing trust ”。、要想PC可以ping通上层设备的IP地址，需在上行口上配置“ arp detectiontrust ”或绑定上层设备的IP和MAC3、网络中使用CAMS艮务器实现该功能的实施方案交换机上无需特别配置，实现防 ARP攻击特性的具体操作需在CAM驭务器 上进行配置。