自2006年以來,基於病毒的arp攻擊愈演愈烈,幾乎所有的校園網都有遭遇過。地址轉換協議ARP(Address Resolution Protocol)是個鏈路層協議,它工作在OSI參考模型的第二層即數據鏈路層,與下層物理層之間通過硬件接口進行聯系,同時為上層網絡層提供服務。ARP攻擊原理雖然簡單,易於分析,但是網絡攻擊往往是越簡單越易於散布,造成的危害越大。對於網絡協議,可以說只要沒有驗證機制,那么就可以存在欺騙攻擊,可以被非法利用。下面我們介紹幾種常見ARP攻擊典型的症狀: ¾ 上網的時候經常會彈出一些廣告,有彈出窗口形式的,也有嵌入網頁形式的。下載 的軟件不是原本要下載的,而是其它非法程序。 ¾ 網關設備ARP表項存在大量虛假信息,上網時斷時續;網頁打開速度讓使用者無 法接受。 ¾ 終端不斷彈出“本機的XXX段硬件地址與網絡中的XXX段地址沖突”的對話框。 對於ARP攻擊,可以簡單分為兩類: 一、ARP欺騙攻擊,又分為ARP仿冒網關攻擊和ARP仿冒主機攻擊。 二、ARP泛洪(Flood)攻擊,也可以稱為ARP掃描攻擊。 對於這兩類攻擊,攻擊程序都是通過構造非法的ARP報文,修改報文中的源IP地址與(或)源MAC地址,不同之處在於前者用自己的MAC地址進行欺騙,后者則大量發送虛假的ARP報文,擁塞網絡。
神州數碼網絡秉承“IT服務 隨需而動”的理念,對於困擾高教各位老師已久的ARP攻擊問題,結合各個學校網絡現狀,推出業內最全、適用面最廣、最徹底的ARP整體解決方案。 神州數碼網絡公司從客戶端程序、接入交換機、匯聚交換機,最后到網關設備,都研發了ARP攻擊防護功能,高校老師可以通過根據自己學校的網絡特點,選取相關的網絡設備和方案進行實施。
一、接入交換機篇
接入交換機是最接近用戶側的網絡設備,也最適於通過它進行相關網絡攻擊防護。通過
對接入交換機的適當設置,我們可以將很多網絡威脅隔離在交換機的每端口內,而不至於對
整網產生危害。
1、AM 功能
AM(access management)又名訪問管理,它利用收到數據報文的信息(源IP 地址
或者源IP+源MAC)與配置硬件地址池(AM pool)相比較,如果找到則轉發,否則丟棄。
AM pool 是一個地址列表,每一個地址表項對應於一個用戶。每一個地址表項包括了
地址信息及其對應的端口。地址信息可以有兩種:
¾ IP 地址(ip-pool),指定該端口上用戶的源IP 地址信息。
¾ MAC-IP 地址(mac-ip pool),指定該端口上用戶的源MAC 地址和源IP 地址信息。
當AM使能的時候,AM模塊會拒絕所有的IP報文通過(只允許IP地址池內的成員源地址
通過)。
我們可以在交換機端口創建一個MAC+IP 地址綁定,放到地址池中。當端口下聯主機
發送的IP報文(包含ARP報文)中,所含的源IP+源MAC不符合地址池中的綁定關系,此
報文就將被丟棄。 配置命令示例如下:
舉例:使能AM 並允許交接口4 上源IP為192.1.1.2,源MAC是00-01-10-22-33-10 的
用戶通過。
Switch(Config)#am enable
Switch(Config)#interface Ethernet 0/0/4
Switch(Config-Ethernet0/0/4)#am port
Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2
1)功能優點
配置簡單,除了可以防御ARP攻擊,還可以防御IP掃描等攻擊。適用於信息點不多、規
模不大的靜態地址環境下。
2)功能缺點
1、需要占用交換機ACL資源;
2、網絡管理員配置量大,終端移動性差。
2、ARP Guard 功能
基本原理就是利用交換機的過濾表項,檢測從端口輸入的所有ARP 報文,如果ARP 報
文的源IP 地址是受到保護的IP 地址,就直接丟棄報文,不再轉發。
舉例:在端口Ethernet0/0/1 啟動配置ARP Guard 地址192.168.1.1(設為網關地址)。
Switch(Config)#interface ethernet0/0/1
Switch(Config- Ethernet 0/0/1)# arp-guard ip 192.168.1.1
1)功能優點
配置簡單,適用於 ARP 仿冒網關攻擊防護快速部署。
2)功能缺點
ARP Guard需要占用芯片FFP 表項資源,交換機每端口配置數量有限。
3、DHCP Snooping 功能
實現原理:接入層交換機監控用戶動態申請IP地址的全過程,記錄用戶的IP、MAC和
端口信息,並且在接入交換機上做多元素綁定,從而在根本上阻斷非法ARP報文的傳播。
下圖為交換機DHCP Snooping功能原理說明:
1)主機 A 向 DHCP Server 發起 DHCP 請求,交換機記錄下發起請求的 PORT 和 MAC。
2)DHCP Server返回分配給用戶的 IP 地址,交換機上記錄下 DHCP 返回的 IP 地址。
3)交換機根據 DHCP snooping 功能記錄下來的信息,在相應的交換機端口上綁定合法
的 IP、MAC信息。
舉例:如上圖在交換機在端口 Ethernet0/0/2 啟動DHCP Snooping 功能,並進行 ARP
綁定。
Switch(Config)#ip dhcp snooping enable
Switch(Config)#ip dhcp snooping binding enable
Switch(Config)#interface ethernet 0/0/1
Switch(Config-Ethernet0/0/1)#ip dhcp snooping trust
//DHCP 服務器連接端口需設置為 Trust
Switch(Config-Ethernet0/0/1)#interface ethernet 0/0/2
Switch(Config-Ethernet0/0/2)#ip dhcp snooping binding arp
Switch(Config-Ethernet0/0/2)#exit
1)功能優點
被動偵聽,自動綁定,對信息點數量沒有要求,適用於 IP 地址動態分配環境下廣泛實施。
2)功能缺點
IP 地址靜態環境下,需要手工添加綁定關系,配置量較大。
4、端口 ARP 限速功能
神州數碼系列交換機防ARP 掃描的整體思路是若發現網段內存在具有ARP 掃描特征
的主機或端口,將切斷攻擊源頭,保障網絡的安全。
有兩種方式來防ARP 掃描:基於端口和基於IP。基於端口的ARP 掃描會計算一段時
間內從某個端口接收到的ARP 報文的數量,若超過了預先設定的閾值,則會down 掉此端
口。基於IP 的ARP 掃描則計算一段時間內從網段內某IP 收到的ARP 報文的數量,若超過
了預先設置的閾值,則禁止來自此IP 的任何流量,而不是down 與此IP 相連的端口。此兩
種防ARP 掃描功能可以同時啟用。端口或IP 被禁掉后,可以通過自動恢復功能自動恢復其
狀態。
舉例:如上圖在交換機的端口啟動 ARP 報文限速功能。
Switch(Config)#anti-arpscan enable //使能 Anti-arpscan
Switch(Config)#anti-arpscan port-based threshold 10 //設置每個端口每秒的 ARP 報文
上限
Switch(Config)#anti-arpscan ip-based threshold 10 //設置每個IP 每秒的 ARP 報文上限
Switch(Config)#anti-arpscan recovery enable //開啟防網段掃描自動恢復功能
Switch(Config)#anti-arpscan recovery time 90 //設置自動恢復的時間 90秒
1)功能優點
全局使能,無須在端口模式下配置,配置簡單。
2)功能缺點
不能杜絕虛假 ARP 報文,只是適用於對 ARP 掃描或者 flood 攻擊防御,建議和交換機
其它功能一起使用。
二、匯聚交換機篇
校園網內信息點眾多,部署的接入交換機的品牌雜、型號多已經是不爭的事實。在很多
高校,不可網管、不支持 ACL 的交換機數量也不在少數,所以保護學校現有投資、不升級
接入交換機的前提,全網防御 ARP 病毒攻擊,成為了神州數碼網絡的關注點。下面我們介
紹一種通過神州數碼匯聚交換機實現全網防御 ARP攻擊的解決方案。
1、端口隔離功能介紹
端口隔離是一個基於端口的獨立功能,作用於端口和端口之間,隔離相互之間的流量,
利用端口隔離的特性,可以實現 vlan 內部的端口隔離,從而節省 vlan 資源,增加網絡的安
全性,現在大多數接入交換機都具備此功能。
各個交換機的拓撲和配置如上圖所示,要求在交換機1 上配置端口隔離后,交換機1的
e0/0/1 和e0/0/2 不通,但e0/0/1 和e0/0/2 都可以和上聯口e0/0/25 通。即:所有下行端口
之間不能互通,但下行端口可以和指定的上行端口互通。
2、Local ARP Proxy功能介紹
Local ARP proxy:本地 arp 代理功能。是指在一個 vlan 內,通過使用一台三層交換機(一
般為匯聚交換機),來作為指定的設備對另一設備作出 ARP請求的應答,實現限制 arp 報文
在同一 vlan內的轉發,從而引導數據流量通過交換機進行三層轉發。
該功能通常需要和其他的安全功能配合使用,例如在匯聚交換機上配置 local arp proxy,而在下連的二層交換機上配置端口隔離功能,這樣將會引導所有的 IP 流量通過匯聚交換機
上進行三層轉發,二層交換機下聯主機不能相互 ARP欺騙。
3、防御 ARP攻擊原理
如下圖所示,端口 Eth0/0/2 和 Eth0/0/3 在 Vlan100內,接入交換機開啟端口隔離功能,
主機A和主機B二層流量不可達。網關地址為192.168.1.1,匯聚交換機啟用Local ARP proxy
功能。
1. 接入交換機啟用端口隔離功能;匯聚交換機啟用 ARP Local Proxy功能和端口 ARP
限速功能;
2. 動態 IP 環境中,匯聚交換機通過 DHCP Snooping 檢測 ARP;靜態 IP 環境中,可
以使用神州數碼專有的 DHCP Snooping 綁定工具,對匯聚交換機 ARP表項進行初
始化(靜態地址環境下,還需要結合關閉交換機 arp 自動更新或者自動學習,可參
見神州數碼交換機手冊);
3. 由於主機 A沒有主機 B的 MAC 地址,因此主機 A發送 ARP Request 並廣播出去;
4. 在啟動 ARP Local Proxy的情況下,交換機向主機 A發送 ARP Reply報文(填充自
己的 MAC 地址) ;
5. 主機 A 收到該 ARP Reply 之后,創建 ARP 表項,發送 IP 報文,封裝的以太網幀
頭的目的 MAC 為交換機的 MAC;
6. 當交換機收到該 IP報文之后,交換機查詢路由表(創建路由緩存),並下發硬件表
項;
7. 當交換機有主機 B 的 ARP 表項情況下,直接封裝以太網頭部並發送報文(目的
MAC 為主機B);如果交換機沒有主機 B 的 ARP表項, 那么會請求主機 B 的ARP,
然后發送 IP報文。
4、方案說明
1)對接入交換機要求低,只需要支持端口隔離功能即可;而且動態 IP地址環境下配置
簡單,易於管理、實現。
2)靜態 IP地址環境下,需要手工添加 ARP表項,不夠靈活。