41-ARP和IP攻击防御操作
本章节下载 (210.28 KB)
按照ARP协议的设计,网络设备收到目的IP地址是本接口IP地址的ARP报文(无论此ARP报文是否为自身请求得到的),都会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
实际网络环境,特别是校园网中,最常见的ARP攻击方式是“仿冒网关”攻击。即:攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-1 “仿冒网关”攻击示意图
为了防御“仿冒网关”的ARP攻击,S2000-EA系列以太网交换机支持基于网关IP/MAC的ARP报文过滤功能。
(1) 将接入交换机下行端口(通常与用户直接相连的端口)和网关IP进行绑定。绑定后,该端口接收的源IP地址为网关IP地址的ARP报文将被丢弃,其他ARP报文允许通过。
(2) 将接入交换机级联端口或上行端口和网关IP地址、网关MAC地址进行绑定。绑定后,该端口接收的源IP地址为指定的网关IP地址,源MAC地址为非指定的网关MAC地址的ARP报文将被丢弃,其他ARP报文允许通过。
表1-1 配置基于网关IP/MAC的ARP报文过滤功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网端口视图 |
interface interface-type interface-number |
- |
配置基于网关IP地址的ARP报文过滤功能 |
arp filter source ip-address |
必选 缺省情况下,没有配置基于网关IP地址的ARP报文过滤功能 |
配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能 |
arp filter binding ip-address mac-address |
必选 缺省情况下,没有配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能 |
以太网端口上的arp filter source命令与arp filter binding命令互斥,即同一个以太网端口上只能配置基于网关IP地址的ARP报文过滤功能,或基于网关IP地址、MAC地址绑定的ARP报文过滤功能;不可同时配置。
为了防御ARP洪泛攻击,S2000-EA系列以太网交换机作为网关设备时,支持根据VLAN限定ARP表项学习数量。即:在设备的指定VLAN接口,配置允许学习动态ARP表项的最大个数。当该VLAN接口动态学习到的ARP表项超过限定的最大值后,将不进行动态地址表项的学习,从而防止某一VLAN内的恶意用户发动ARP泛洪攻击造成的危害。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
配置VLAN接口学习动态ARP表项的最大数目 |
arp max-learning-num number |
可选 缺省情况下,没有配置VLAN接口允许学习动态ARP表项的最大个数。 |
基于DHCP snooping安全特性的APR入侵检测功能和IP过滤功能,可以有效防御用户DHCP方式动态获取IP地址环境下的各种ARP攻击和IP攻击。但是当网络中大部分用户为静态IP地址分配方式时,上述功能需要逐条配置IP静态绑定表项,工作量比较大,配置容易出错。
为了适应网络中有大量用户使用静态IP地址分配的环境,S2000-EA系列以太网交换机支持基于802.1x的ARP和IP攻击防御特性。对于通过802.1x认证的客户端(无论是DHCP动态获取IP地址或手工配置静态IP地址),接入交换机记录其IP地址和MAC地址对应关系:
l 当开启802.1x认证通过的信息用于ARP入侵检测功能后,可以将802.1x认证通过的信息在手工配置的IP静态绑定表项和DHCP Snooping表项之后进一步用于ARP入侵检测功能。
l 当开启802.1x认证通过的信息用于IP过滤功能后,仅将802.1x认证通过的信息用于IP过滤功能。
基于802.1x的ARP和IP攻击防御特性,作为原有ARP入侵检测和IP过滤的补充,利用原有防攻击机制,实现了静态用户不通过手工配置大量静态的绑定表项也能进行防攻击检查。
l ARP入侵检测相关介绍请参见操作手册“ARP”模块。
l IP过滤、IP静态绑定表项,相关介绍请参见操作手册“DHCP”模块。
l 802.1x认证相关介绍请参见操作手册“802.1x及System-Guard”模块。
表1-3 配置基于802.1x的ARP/IP攻击防御功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启802.1x认证通过的信息用于ARP入侵检测的安全检查功能 |
ip source static import dot1x |
必选 缺省情况下,关闭802.1x认证通过的信息用于ARP入侵检测的安全检查功能 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
开启802.1x认证通过的信息用于IP过滤功能 |
ip check dot1x enable |
必选 缺省情况下,关闭802.1x认证通过的信息用于IP过滤功能 |
l 802.1x认证通过的信息用于ARP入侵检测功能需要和交换机基于MAC地址的802.1x功能以及ARP入侵检测功能一起配合使用。
l 802.1x认证通过的信息用于IP过滤功能需要和交换机基于MAC地址的802.1x功能一起配合使用,且与基于DHCP snooping安全特性的IP过滤功能互斥。
l 802.1x认证通过的信息用于IP过滤功能不支持端口汇聚。
l 802.1x认证通过的信息用于IP过滤功能需要对每个802.1x认证通过的表项下发ACL,如果下发ACL失败,会强制认证通过的用户下线。
l 802.1x认证通过的信息用于IP过滤功能必须配合802.1x的客户端上传IP地址,否则无法获取认证用户的IP地址。同时,在使用DHCP动态申请IP地址的环境中,为了使认证通过的用户申请到的IP地址能够正确刷新到IP-MAC对应表项中,建议开启802.1x认证的握手功能;如果不开启握手功能,则需要关闭802.1x的DHCP触发认证功能,确保认证的组播报文能够正常接收和发送。
恶意用户可能通过工具软件,伪造网络中其他设备(或主机)的源IP或源MAC地址的ARP报文,进行发送,从而导致途径网络设备上的ARP表项刷新到错误的端口上,网络流量中断。
为了防御这一类ARP攻击,增强网络健壮性,S2000-EA系列以太网交换机作为网关设备时,支持配置ARP报文源MAC一致性检查功能。通过检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,来校验其是否为伪造的ARP报文。
l 如果一致,则该ARP报文通过一致性检查,交换机进行正常的表项学习;
l 如果不一致,则认为该ARP报文是伪造报文,交换机不学习动态ARP表项的学习,也不根据该报文刷新ARP表项。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启ARP报文源MAC一致性检查功能 |
arp anti-attack valid-check enable |
必选 缺省情况下,交换机ARP报文源MAC一致性检查功能处于关闭状态 |
Host A和Host B通过接入交换机(Switch)与网关(Gateway)相连。网关的IP地址为192.168.100.1/24,MAC地址为000D-88F8-528C。为了防止Host A和Host B进行“仿冒网关”的ARP攻击,可以在接入交换机上配置基于网关IP/MAC的ARP过滤功能。
图1-2 ARP攻击防御组网图一
# 进入系统视图。
<Switch> system-view
# 在上行端口Ethernet1/0/1上配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能。
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] arp filter binding 192.168.100.1 000d-88f8-528c
[Switch-Ethernet1/0/1] quit
# 在下行端口Ethernet1/0/2上配置基于网关IP地址的ARP报文过滤功能。
[Switch] interface Ethernet 1/0/2
[Switch-Ethernet1/0/2] arp filter source 192.168.100.1
[Switch-Ethernet1/0/2] quit
# 在下行端口Ethernet1/0/3上配置基于网关IP地址的ARP报文过滤功能。
[Switch] interface Ethernet 1/0/3
[Switch-Ethernet1/0/3] arp filter source 192.168.100.1
[Switch-Ethernet1/0/3] quit
Host A和Host B通过二层交换机(Switch B)与网关(Switch A)相连。为了防御ARP泛洪等ARP攻击。
l 在Switch A上开启ARP报文源MAC一致性检查功能,过滤掉源MAC地址和以太网报文头中的源MAC地址不一致的伪造ARP报文。
l 在Switch A的Vlan-interface1上配置允许学习动态ARP表项的最大数目功能,实现根据VLAN限定ARP表项学习数量。
图1-3 ARP攻击防御组网图二
# 进入系统视图。
<SwitchA> system-view
# 开启交换机的ARP报文源MAC一致性检查功能。
[SwitchA] arp anti-attack valid-check enable
# 进入Vlan-interface1接口视图。
[SwitchA] interface Vlan-interface 1
# 配置Vlan-interface1接口的IP地址。
[SwitchA-Vlan-interface1] ip address 192.168.1.1/24
# 配置Vlan-interface1接口允许学习的ARP数量最大为256条。
[SwitchA-Vlan-interface1] arp max-learning-num 256
[SwitchA-Vlan-interface1] quit
l 接入用户Host A使用手工配置的静态IP地址。且安装了802.1x客户端。
l 服务器采用H3C公司的CAMS认证、授权、计费服务器。
l 在接入交换机Switch上开启802.1x认证通过的信息用于ARP入侵检测与IP过滤功能,防御接入用户的ARP攻击。
图1-4 基于802.1x的ARP/IP攻击防御组网图
# 进入系统视图。
<Switch> system-view
# 全局开启802.1x认证功能。
[Switch] dot1x
# 在VLAN1内开启ARP入侵检测功能。
[Switch] vlan 1
[Switch-vlan1] arp detection enable
[Switch-vlan1] quit
# 设置端口Ethernet1/0/2,Ethernet1/0/3为ARP入侵检测信任端口。
[Switch] interface Ethernet1/0/2
[Switch-Ethernet1/0/2] arp detection trust
[Switch-Ethernet1/0/2] quit
[Switch] interface Ethernet1/0/3
[Switch-Ethernet1/0/3] arp detection trust
[Switch-Ethernet1/0/3] quit
# 在Switch 上开启802.1x认证通过的信息用于ARP Detection的安全检查功能。
[Switch] ip source static import dot1x
# 端口Ethernet 1/0/1上开启802.1x功能。
[Switch] interface Ethernet1/0/1
[Switch-Ethernet1/0/1] dot1x
# 端口Ethernet 1/0/1上开启802.1x认证通过的信息用于IP过滤功能。
[Switch-Ethernet1/0/1] ip check dot1x enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!