H3C-ARP攻击防御解决方案主打胶片

“全面防御，模块定制”H3CARP攻击防御解决方案日期：2008.6密级：公开杭州华三通信技术有限公司ARP攻击分析H3CARP攻击防御解决方案提纲协议介绍ARP——AddressResolutionProtocol地址解释协议，RFC826为IP地址到MAC地址提供动态映射，定位到目的IP的对应MAC才能实现数据交换以太网目的地址以太网源地址帧类型硬件地址协议类型硬件地址长度协议地址长度OP发送端以太网地址目的以太网地址发送端IP地址目的IP地址662222116644以太网首部28字节ARP请求/应答谁是10.1.1.8？告诉我MAC地址10.1.1.8的MAC地址是AARP请求ARP应答免费ARP10.1.1.6的MAC地址是C10.1.1.2MACA10.1.1.4MACB10.1.1.6MACC10.1.1.8MACD欺骗攻击—仿冒网关攻击者发送伪造的网关ARP报文，可广播给同网段内的所有其他主机主机访问网关的流量，被重定向到错误的MAC地址，无法正常访问外网是最常见的ARP攻击方式，导致网络瘫痪，甚至数据被窃取用户A的ARP表项IPAddressMACType1.1.1.1GDynamic1.1.1.5BDynamic1.1.1.1BDynamic目的MAC源MAC目的IP源IP5-5-5A1.1.1.11.1.1.3用户A的上网流量被错误的发送到攻击者B攻击者BIP：1.1.1.5MAC：B用户AIP：1.1.1.3MAC：A网关GIP：1.1.1.1MAC：G1.1.1.1的MAC地址是B欺骗攻击—欺骗网关攻击者伪造虚假的用户ARP报文，发给网关网关发给该用户的数据重定向到错误的MAC地址，该用户收不到网关返回的数据而无法正常访问外网目的MAC源MAC目的IP源IP5-5-5G1.1.1.31.1.1.1网关发给用户A的流量被错误的发送到攻击者B攻击者BIP：1.1.1.5MAC：B用户AIP：1.1.1.3MAC：A网关GIP：1.1.1.1MAC：G网关的ARP表项IPAddressMACType1.1.1.3ADynamic1.1.1.5BDynamic1.1.1.3BDynamic1.1.1.3的MAC地址是B欺骗攻击—欺骗终端用户攻击者伪造虚假的用户ARP报文，发送给网段内的其他主机网段内的其他主机发给该用户的数据被重定向到错误的MAC地址，该用户与其他主机无法互访目的MAC源MAC目的IP源IP5-5-5A1.1.1.91.1.1.3网关发给用户A的流量被错误的发送到攻击者B攻击者BIP：1.1.1.5MAC：B用户AIP：1.1.1.3MAC：A网关GIP：1.1.1.1MAC：G用户CIP：1.1.1.9MAC：C用户A的ARP表项IPAddressMACType1.1.1.1GDynamic1.1.1.5BDynamic1.1.1.9CDynamic1.1.1.9BDynamic1.1.1.9的MAC地址是B泛洪攻击攻击者伪造大量不同ARP报文在网段内进行广播导致网关ARP表项被占满，无法正常学习合法用户的ARP，网络瘫痪大量广播报文消耗交换机和网络资源，网络明显变慢大量的ARP广播报文攻击者BIP：1.1.1.5MAC：B用户AIP：1.1.1.3MAC：A网关GIP：1.1.1.1MAC：GARP广播报文1.1.1.3对应的MAC是A无法学习！网关的ARP表项(存在大量虚假ARP)IPAddressMACType10.0.0.10-0-1Dynamic10.0.0.20-0-2Dynamic10.0.0.30-0-3Dynamic10.0.0.40-0-4Dynamic……Dynamic用户接入设备网关防御合法ARP绑定，防御网关被欺骗VLAN内的ARP学习数量限制，防御ARP泛洪攻击1接入设备防御将合法网关IP-MAC进行绑定，防御仿冒网关攻击ARP入侵检测ARP限速，防止大流量ARP报文冲击网络绑定用户的静态MAC2客户端防御合法网关ARP绑定，防止网关仿冒攻击绑定该主机的合法IP-MAC，过滤掉所有非法ARP报文ARP限速3根据前述ARP攻击原理，解决ARP欺骗攻击有以下三个控制点：校园网ARP攻击分析H3CARP攻击防御解决方案提纲ARPDetection将经过交换机的所有ARP报文与维护的绑定表项进行一致性检查，过滤掉虚假ARP报文该功能启用后，可防止任何形式的ARP欺骗ARP攻击防御技术--ARPDetectionARPDetectionEnabled攻击者BIP：1.1.1.5MAC：B用户AIP：1.1.1.3MAC：A网关GIP：1.1.1.1MAC：G1.1.1.1的MAC地址是B用户A的ARP表项IPAddressMACType1.1.1.1GDynamic1.1.1.5BDynamic与绑定表项不匹配ARP绑定表项检查绑定表项中的MAC地址、IP地址是否与ARP报文中对应的字段匹配如果匹配，允许报文通过；否则，报文被丢弃绑定表项可利用DHCPSnooping、802.1X认证监控或手工配置生成ARP攻击防御技术--ARPDetectionMacAddressIPAddressVLANInterfaceType00e0-edab-e218172.16.10.25410Ethernet1/0/23S000f-e200-300010.1.1.120Ethernet1/0/1D简单网关绑定接入交换机下行端口（通常与用户直接相连的端口）和网关IP进行绑定绑定后，该端口接收的源IP地址为网关IP地址的ARP报文将被丢弃该功能启用后，可防止网关仿冒ARP攻击防御技术—简单网关绑定下行端口，绑定网关IP攻击者BIP：1.1.1.5MAC：B用户AIP：1.1.1.3MAC：A网关GIP：1.1.1.1MAC：G1.1.1.1的MAC地址是B用户A的ARP表项IPAddressMACType1.1.1.1GDynamic1.1.1.5BDynamicARP的源IP地址为1.1.1.1，禁止通过上行端口，绑定网关IP-MAC，只允许网关ARP通过ARP报文源MAC一致性检查作为网关时，交换机检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致如果一致，学习该ARP，刷新ARP表项；否则丢弃，不刷新表项启用该功能，可防止网关欺骗、ARP泛洪ARP攻击防御技术—ARP一致性检查攻击者BIP：1.1.1.5MAC：B用户AIP：1.1.1.3MAC：A网关GIP：1.1.1.1MAC：GARP的源MAC地址不一致，丢弃网关的ARP表项IPAddressMACType1.1.1.3ADynamic1.1.1.5BDynamic大量的虚假ARP报文监控模式网关接入交换机通过DHCP监控方式建立静态绑定表项接入交换机启用ARPDetection功能，根据建立的静态绑定表项过滤非法ARP报文全网部署后，直接在接入端口丢弃ARP欺骗报文，有效防止所有类型的ARP攻击支持根据客户端IP地址的租约对DHCPSnooping表项进行老化，节省系统资源DHCP服务器接入交换机解析客户端和DHCP服务器之间的交互报文，获得合法用户的IP-MAC-port对应关系接入交换机将获取到的合法用户的IP-MAC-port绑定在入接口上控制点1X想发送欺骗报文？丢弃关键点攻击者监控模式部署方案适合场景采用动态分配IP地址方式的组网接入交换机采用H3C支持DHCPSnooping的产品配置命令全局视图：dhcp－snooping（全局开关）VLAN视图：ARPdetectionenable（在用户接入的VLAN内使能ARP检测功能）上行接口：ARPdetectiontrust（将上行口配置为信任接口不检查ARP）静态绑定命令：ipsourcestaticbindingip-addressip-address[mac-addressmac-address]部署建议信任端口设置：将连接DHCP服务器的端口设置为信任端口，不检查ARP固定IP地址的用户没有DHCP监控表项，需要手工配置静态绑定表项可配合ARP限速、DHCP限速功能，防止网络和服务器资源负担过重部署后，可彻底防止所有形式的ARP攻击攻击防御解决方案--认证模式网关接入交换机认证客户端启用“上传IP地址”功能，交换机通过1x认证监控方式建立静态绑定表项接入交换机启用ARPDetection功能，根据建立的静态绑定表项过滤非法ARP报文认证服务器向认证客户端下发网关IP-MAC对应关系并静态绑定，在接入终端防止网关仿冒支持根据客户端认证情况对静态绑定表项进行老化，节省系统资源认证服务器利用认证机制获取合法用户的IP-MAC关系认证设备将获取到的IP-MAC对应关系就地绑定认证客户端控制点2X认证通过后，CAMS将网关的IP-MAC对应关系下发给客户端进行静态绑定关键点1（完全防御模式）方案适合场景采用H3C认证服务器（CAMS/iMC）和iNode客户端采用1x认证，接入交换机支持1x认证监控特性部署建议认证客户端启用“IP地址上传”功能，接入交换机配置1x认证引入和ARP检测功能对于不启用1X认证的端口，手工配置静态绑定可配合ARP限速功能，防止网络和服务器资源负担过重部署后，可彻底防止所有形式的ARP攻击配置命令全局视图：ipsourcestaticimportdot1x（全局开关）VLAN视图：ARPdetectionenable（在用户接入的VLAN内使能ARP检测功能）上行接口：ARPdetectiontrust（将上行口配置为信任接口不检查ARP）静态绑定命令：ipsourcestaticbindingip-addressip-address[mac-addressmac-address]（终端防御模式）方案适合场景采用H3C认证服务器（CAMS/iMC）和iNode客户端不能部署DHCP监控、1x认证监控模式接入交换机不支持ARPDetection特性或者网络采用H3CPortal认证方式部署建议认证服务器配置：添加网关的IP-MAC绑定关系认证服务器向客户端下发正确的网关IP-MAC绑定关系，防止网关仿冒网关配置：ARP报文源MAC一致性检查，防止网关欺骗客户端功能：iNode具有异常流量检测功能，将发生ARP攻击的终端强制下线iNode客户端支持Windows、WindowsXP、WindowsVista部署后，可防止网关仿冒和网关欺骗配置命令全局视图：arpanti-attackvalid-checkenable（开启ARP报文源MAC一致性检查功能）步骤一、进入CAMS网关绑定配置界面步骤二、在CAMS上增加网关绑定关系用户启用iNode认证，正常上线PC上生成静态ARP表项攻击防御解决方案--简单网关绑定模式方案适合场景未采用H3C认证服务器（CAMS/iMC）和iNode客户端未采用1x认证接入交换机支持简单网关绑定