《局域网ARP欺骗攻击及安全防范策略毕业设计.docx》由会员分享,可在线阅读,更多相关《局域网ARP欺骗攻击及安全防范策略毕业设计.docx(32页珍藏版)》请在三一办公上搜索。
1、新疆机电职业技术学院毕业论文新疆机电职业技术学院计算机系毕业论文题 目:局域网ARP攻击及防范专 业:计算机网络技术年 级:高计算机10班学生姓名:王文瑞学 号:20101898指导教师:李 欣2012年12月12日28局域网ARP攻击及防范摘要: ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。目前,ARP欺骗是黑客常用的攻击手段之一,且ARP欺骗攻击的后果一般都是比较非常严重的,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线
2、的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器被认为是“罪魁祸首”,而事实并非如此。鉴于此,本文将论述ARP地址解析协议的含义和工作原理,分析了ARP协议所存在的安全漏洞,分析网段内和跨网段ARP欺骗的实现过程。最后,结合网络管理的实际工作,介绍IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等技术等几种能够有效防御ARP欺骗攻击的安全防范策略。最后通过使用文中介绍安全防范策略成功阻止P2P终结者、Arpkiller等ARP攻击软件的攻击验证了该安全策略的有效性。关键词: ARP协议
3、 IP地址 局域网 MAC地址 网络安全 LAN ARP attack and protectionAbstract: ARP attack, which is based on Ethernet addresses analytical protocol (ARP) an attack technology. This attack may let the attacker has a local-area network packets of data or even tamper with the packet, and allows network on specific comput
4、er or all computer cannot normal connection. At present, the ARP deception is hackers commonly used attack means one, and the consequences of ARP deception attack is usually compare very serious, in most circumstances will caused extensive calls. Some network administrator are not well understood, m
5、alfunction, think PC no problem, switches didnt dropped skill, telecom does not acknowledge broadband fault. And if the first kind of ARP deception occurs, as long as the restart router, the network can fully recover, that problem must be on a router. Therefore, broadband router is considered the ch
6、ief culprit, but this is not the case. In view of this, this article will be discussed the meaning of ARP address analytical protocol and working principle, analyzes the existing ARP agreement security vulnerabilities, analyzing network segment within and across the network segment the realization p
7、rocess of ARP deception. Finally, combined with the practical work of network management, introduces the IP address and MAC address binding, switch port and MAC address binding, as well as several vlans isolation technology can effectively defense ARP deception attack security preventive strategy. F
8、inally through the use of introduced safety preventive strategy prevented P2P terminator, Arpkiller etc ARP attack software attack verified the effectiveness of the security strategy.Keyords: ARP agreement IP address Bureau area net MAC address Network security目 录引 言2第一章. ARP协议简介2第二章. ARP协议的工作原理3第三章
9、. 分析ARP协议存在的安全漏洞5一、 分析ARP协议存在的安全漏洞5二、 ARP欺骗检测方法5(一)主机级检测方法5(二)网络级检测方法5第四章. ARP欺骗攻击的实现过程6一、 通过路由器实现VLAN间的通信6二、 公司网络实现vlan间通信6第五章. ARP攻击简介6一、仿冒网关7二、欺骗网关7三、欺骗终端用户7四、“中间人”攻击8五、 ARP报文泛洪攻击8第六章.攻击安全防范策略8一、 DHCP Snooping功能9二、 IP静态绑定功能9三、 ARP入侵检测功能9四、 ARP报文限速功能9五、 CAMS下发网关配置功能10第七章. ARP攻击防御配置举例10一、 DHCP监控模式下
10、的ARP攻击防御配置举例10(一)组网需求10(二)组网图11(三)配置思路11(四)配置步骤11(五)注意事项14二、认证模式下的ARP攻击防御配置举例15(一)组网需求15(二)组网图16(三)配置思路16(四)配置步骤16(五)注意事项27第八章. 结 论27参考文献28致 谢28引 言在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。网吧是最常见的局域网,在使用过程中有时出现别人可以正常上网而自己却无法访问任何页面和网络信息的情况,虽然造成这种现象的情况有 很多,但是目前最常见的就是A
11、RP欺骗了,很多黑客工具甚至是病毒都是通过ARP欺骗来实现对主机进行攻击和阻止本机访问任何网络信息的目的。首先我们可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确的,只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,一般来说
12、IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等, 可以随时发送ARP欺骗数据包和ARP恢复数据包,这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否, 甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。这点在以前是不可能的,因为普通计算机没有管理权限来控制网关,而现在却成为可 能,所以说ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包,这样就增加了网
13、络管理员查找真凶的难度,所以跟踪防范局域网ARP欺骗类攻击的最新技术,做到防范于未然就必不可少。第一章. ARP协议简介ARP(Address Resolution Protocol) ,是由David CPlummer在826internet标准(草案)提出,当时是为了美国数字设备公司、英特尔公司施乐复印机公司等三个公司的10 Mbit以太网所设计,在推广时也允许其它类型的网络使用。ARP也即地址解析协议,该协议是将IP地址与网络物理地址一一对应的协议。负责IP地址和网卡实体地址(MAC)之间的转换。也就是将网络层(IP层,也就是相当于ISO/OSI 的第三层)地址解析为数据连接层(MAC层
14、,也就是相当于ISO/OSI的第二层)的MAC地址。TCP/IP协议中规定,IP地址为32位,由网络号和网络内的主机号构成,每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中,源主机和目的主机通信时,源主机不仅要知道目的主机的IP地址,还要知道目的主机的数据链路层地址,即网卡的MAC地址,同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址,并实现双方通信。第二章. ARP协议的工作原理在网络中的任何一台主机,都有两个唯一的标识。一个是由32位二进制组成lP地址,用于在网络层当中标识和查找计算机,另一个是由48位二进制组成的MAC
15、地址,用于在数据链路层中标识和查找计算机。IP地址是不能直接用来通讯的,因为IP地址只是主机在网络层中的地址,如果要将网络层中传输的数据报交给目的主机,还要传到链路层变成MAC帧才能发送到实际的网络上。因此IP地址与MAC地址之间就必须存在一个映射表,而ARP协议就很好的解决了这些问题。每一台安装有TCP/IP协议的计算机内部都有一张ARP高速缓存表,该缓存表记录了最近一段时间内区域网内与该计算机通讯的其他计算机的IP地址与其相应的MAC地址之间的对应关系。当源主机要发送lP数据报时,数据链路层必须将IP数据报封装成以太网数据帧,才能在以太网中传输。在封装过程中,为了找到与目的IP地址对应的M
16、AC地址,源主机先会把目的主机的lP的地址与子网掩码进行逻辑与操作,以判断目的主机是否与自己在同一个网段内。如果在同一网段内,源主机会先查看ARP高速缓存是否有与目的IP地址对应的MAC地址信息,如果MAC地址已存在,就直接使用。如果对应的信息不存在,就向本地网段发起一个包含ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、MAC地址、以及目的主机的lP地址。网络中所有的主机收到这个ARP请求后。会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包,如果相同,则给源主机发送一个ARP响应数据包,通过该报文使源主机获得目标主机的M
17、AC地址信息则可利用此信息开始数据的传输。假如目的主机与源主机不在同一个网段内,源主机会在ARP高速缓存中查找默认网关所对应的MAC地址,由默认网关再对该分组进行转发。如果没有,源主机就会发送一个广播包,查询默认网关对应的MAC地址。主机每隔一段时间或者每收到新的ARP应答就会更新ARP缓存,以保证自己拥有最新的地址解析缓存。ARP协议工作原理详见以下图1和图2。图1 网段内ARP工作原理图2 夸网段ARP工作原理我们还是来通过实验更加深入直观地了解ARP协议的工作原理吧。我们假设有两台主机:A机的IP地址是192.168.0.1,MAC地址是52-54-ab-27-82-83 。B机的IP地
18、址是192.168.0.2,MAC地址是52-54-ab-27-82-84 。当主机A想与主机B进行通讯时,A机只知道B机的IP地址是192.168.0.2,当数据包封装到MAC层时他如何知道B的MAC地址呢,一般的OS中是这样做的,在OS的内核中保存一分MAC地址表,就是我们一中介始到的。用arp -a就可以看见这个表的内容了,例如: C:/arp -a Interface: 192.168.0.X on Interface 0x1000002 Internet Address Physical Address Type 192.168.0.1 52-54-ab-27-82-83 dynam
19、ic 其中表内有IP和MAC地址的对应关系,当要过进行通讯时,系统先查看这个表中是否有相关的表项,如果有就直接使用,如果没有系统就会发出一个ARP请求包,这个包的目的地址为ffffffffffff的广播地址,他的作用就是询问局域网内IP地址为192.168.0.2的主机的MAC地址,就像是A在局域网中发信息找一个IP地址为192.168.0.2的主机MAC地址,同样A机把自已的MAC地址告诉出去是52-54-ab-27-82-83 ,随后所有主机都会接收到这个包,但只有IP为192.168.0.2的B才会响应一个ARP应答包给主机A, B机会回信息给A机说他的MAC地址是52-54-ab-27
20、-82-84,好这下主机A就知道B的MAC地址了,于时他就可以封包发送了,同时主机A将B的MAC地址放入ARP缓冲中,隔一定时间就将其删除,确保不断更新。 注意,在这个过程中,如果主机A在发送ARP请求时,假如该局域网内有一台主机C的IP和A相同,C就会得知有一台主机的IP地址同自已的IP地址相同,于时就蹦出一个IP冲突的对话筐。与ARP相对应的还有一个协议RARP(Reverse Address Resolution Protocol),反向地址解析协议,该协议主要用于工作站模型动态获取IP的过程中,作用是由MAC地址向服务器取回IP地址。第三章. 分析ARP协议存在的安全漏洞一、 分析AR
21、P协议存在的安全漏洞 ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它的主要漏洞有以下三点。(1)主机地址映射表是基于高速缓存、动态更新的,ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间,它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。(2)由于ARP是无状态的协议,即使没有发送ARP请求报文,主机也可以接收ARP应答,只要接受到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可
22、以做“中间人”。(3)任何ARP应答都是合法的,ARP应答无须认证,只要是区域内的ARP应答分组,不管(其实也不知道)是否是合法的应答,主机都会接受ARP应答,并用其lPMAC信息篡改其缓存。这是ARP的另一个隐患。目前主要存在2种检测ARP欺骗的机制。在主机级,普通主机可以采用两种方法检测自己的是否正在被其它主机欺骗:一种是主动探查可疑的主机;另一种是被动检查网络ARP广播报文。在网络级,处于网络管理员控制下的机器将检查所有的ARP请求与响应以查明异常并判断是否出现ARP欺骗行为。二、 ARP欺骗检测方法(一) 主机级检测方法主动检测。当主机收到ARP应答报文时,从应答报文中提取MAC地址。
23、然后构造一个RARP请求报文,这样就可以得到这个MAC地址对应的IP地址,比较两个IP地址,如果不同,就说明有主机进行了ARP欺骗。还有另外一种方法就是:主机定期向区域网发送查询自己IP地址的ARP请求报文。如果收到其它主机的应答。就说明该区域网可能存在ARP欺骗。被动检测。当系统接收到来自局域网上的ARP请求时,系统检查该请求发送端的IP地址是否与自己的IP地址相同。如果相同,则说明该网络上另有一台机器与自己具有相同的IP地址。当然还有一种情况,就是每当系统启动时或更改主机IP地址时,ARP协议自动地向本地网络发送一个广播请求包,通告自己的IP地址并检测是否存在IP地址冲突。由上可知,主机级
24、检测出来的异常情况。可能是由于用户操作失误或者其它原因造成的,并不能有效和准确的检测出ARP欺骗。下面介绍的检测方法更能有效的检测出ARP欺骗。(二) 网络级检测方法通过配置主机定期向中心管理主机报告其ARP缓存的内容。这样中心管理主机上的程序就会查找出两台或者多台主机报告信息的不一致,以及同一台主机前后报告内容的变化。根据这些情况可以初步确定谁是进攻者。谁被进攻者。这里需要考虑的是:每台主机向衷心管理主机发送数据的时间间隔,如果发送的间隔太短会占用通讯的信道。影响整个区域网通讯的性能。如果间隔太长,以至超过攻击者一次进攻的时间。进攻者可能在短时间内攻击之后又把一切都恢复了,则失去意义。中心管
25、理主机上保存着可信任的IPMAC映射表,然后通过检查匹配网络的IPMAC映射表,检测ARP欺骗。可信任的IPMAC映射表可以有管理员手动配置。也可以在网络正常时通过ARP扫描获取网内的IPMAC映射表。第四章. ARP欺骗攻击的实现过程一、 通过路由器实现VLAN间的通信ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射对,并以此更新目标主机缓存。设在同一网段的三台主机分别为,,详见表1。表1:同网段主机IP地址和MAC地址对应表用户主机IP地址MAC地址A1010100100-E0-4C-11-11-11B1010100200-E0-4C
26、-22-22-22C1010100300-E0-4C-33-33-33假设与是信任关系,欲向发送数据包。攻击方通过前期准备,可以发现的漏洞,使暂时无法工作,然后发送包含自己MAC地址的ARP应答给。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以接收到应答后,就更新它的ARP缓存,建立新的IP和MAC地址映射对,即的IP地址10101002对应了的MAC地址00-E0-4C-33-33-33。这样,导致就将发往的数据包发向了,但和B却对此全然不知,因此C就实现对A和B的监听。二、 公司网络实现vlan间通信跨网段的ARP欺骗比同一网段的AR
27、P欺骗要复杂得多,它需要把ARP欺骗与ICMP重定向攻击结合在一起。假设和在同一网段,在另一网段,详见表2。表2:跨网段主机IP地址和MAC地址对应表用户主机IP地址MAC地址A1010100100-E0-4C-11-11-11B1010100200-E0-4C-22-22-22C1010100300-E0-4C-33-33-33首先攻击方修改IP包的生存时间,将其延长,以便做充足的广播。然后和上面提到的一样,寻找主机的漏洞,攻击此漏洞,使主机暂时无法工作。此后,攻击方发送IP地址为的IP地址10101002,MAC地址为的MAC地址00-E0-4C-33-33-33的ARP应答给。接收到应答
28、后,更新其ARP缓存。这样,在主机上的IP地址就对应的MAC地址。但是,在发数据包给时,仍然会在局域网内寻找10101002的MAC地址,不会把包发给路由器,这时就需要进行ICMP重定向,告诉主机到10101002的最短路径不是局域网,而是路由,请主机重定向路由路径,把所有到10101002的包发给路由器。主机在接受到这个合理的ICMP重定向后,修改自己的路由路径,把对10101002的数据包都发给路由器。这样攻击方就能得到来自内部网段的数据包。第五章. ARP攻击简介ARP欺骗按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自
29、身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。校园网中,常见的ARP攻击有如下几中形式。一、仿冒网关攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。如下图:“仿冒网关”攻击示意图二、欺骗网关攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合
30、法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。如下图:“欺骗网关”攻击示意图三、欺骗终端用户攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。如下图:“欺骗终端用户”攻击示意图四、“中间人”攻击ARP “中间人”攻击,又称为ARP双向欺骗。如ARP“
31、中间人”攻击示意图所示,Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。如下图:ARP“中间人”攻击示意图五、 ARP报文泛洪攻击恶意用户利用
32、工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。第六章.攻击安全防范策略本文根据ARP攻击的特点,给出了DHCP监控模式下的ARP攻击防御解决方案和认证模式下的ARP攻击防御解决方案。前者通过接入交换机上开启DHCP Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击;后者不需要在接入交换机上进行防攻击配置,而需要通过CAMS服务器下发网关的IP/MAC对应关系给客户端,防御“仿冒网关”攻击。详见常见网络攻击和防范对照表。常见网络攻击和防范对照表攻击方式防御方法动态获取IP地址的用户
33、进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”配置DHCP Snooping、ARP入侵检测功能手工配置IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”配置IP静态绑定表项、ARP入侵检测功能ARP泛洪攻击配置ARP报文限速功能动态和手工配置IP地址的用户进行“仿冒网关”攻击配置认证模式的ARP攻击防御解决方案(CAMS下发网关配置功能)一、 DHCP Snooping功能DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系; 通过设置DHCP
34、Snooping信任端口,保证客户端从合法的服务器获取IP地址。l 信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。l 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。二、 IP静态绑定功能DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCP Snooping表记录。因此,交换机支持手工配置IP静态绑定表的表项,实现用户的IP地址、MAC地址及接入交换机
35、连接该用户的端口之间的绑定关系。这样,该固定用户的报文就不会被ARP入侵检测功能过滤。三、 ARP入侵检测功能H3C低端以太网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。l 当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。l 当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Sno
36、oping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃。四、 ARP报文限速功能H3C低端以太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU的冲击。开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。同时,设备支持配置端口
37、状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。五、 CAMS下发网关配置功能CAMS(Comprehensive Access Management Server,综合访问管理服务器)作为网络中的业务管理核心,可以与以太网交换机等网络产品共同组网,完成用户的认证、授权、计费和权限管理。如CAMS组网示意图所示。CAMS组网示意图认证模式的ARP攻击防御解决方案,不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过802.1x认证登录网络,并在CAMS上进行用户网关的设置,CAMS会通过接入交换机,下发网关的IP/MAC对
38、应关系给客户端,来防御“仿冒网关”攻击。第七章. ARP攻击防御配置举例一、 DHCP监控模式下的ARP攻击防御配置举例(一) 组网需求某校园网内大部分用户通过接入设备连接网关和DHCP服务器,动态获取IP地址。管理员通过在接入交换机上全面部署ARP攻击防御相关特性,形成保护屏障,过滤掉攻击报文。详细网络应用需求分析如下。l 校园网用户分布在两个区域Host area1和Host area2,分别属于VLAN10和VLAN20,通过接入交换机Switch A和Switch B连接到网关Gateway,最终连接外网和DHCP。l Host area1所在子网内拥有一台TFTP服务器,其IP地址为
39、192.168.0.10/24,MAC地址为000d-85c7-4e00。l 为防止仿冒网关、欺骗网关等ARP攻击形式,开启Switch A上VLAN10内、Switch B上VLAN20内ARP入侵检测功能,设置Switch A和Switch B的端口Ethernet1/0/1为ARP信任端口。l 为防止ARP泛洪攻击,在Switch A和Switch B所有直接连接客户端的端口上开启ARP报文限速功能。同时,开启因ARP报文超速而被关闭的端口的状态自动恢复功能,并设置恢复时间间隔100秒。(二) 组网图DHCP监控模式下的ARP攻击防御组网示意图(三) 配置思路l 在接入交换机Switch
40、 A和Switch B上开启DHCP snooping功能,并配置与DHCP服务器相连的端口为DHCP snooping信任端口。l 在接入交换机Switch A上为固定IP地址的TFTP服务器配置对应的IP静态绑定表项。l 在接入交换机Switch A和Switch B对应VLAN上开启ARP入侵检测功能,并配置其上行口为ARP信任端口。l 在接入交换机Switch A和Switch B直接连接客户端的端口上配置ARP报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。(四) 配置步骤使用的版本本举例中使用的接入交换机Switch A和Switch B为E126A系列
41、以太网交换机。配置客户端动态获取IP地址。配置客户端自动获取IP地址示意图配置Switch A# 创建VLAN10,并将端口Ethernet1/0/1到Ethernet1/0/4加入VLAN10中。 system-viewSwitchA vlan 10SwitchA-vlan10 port Ethernet 1/0/1 to Ethernet 1/0/4SwitchA-vlan10 quit# 配置Switch A的上行口为DHCP snooping信任端口。SwitchA interface ethernet1/0/1SwitchA-Ethernet1/0/1 dhcp-snooping t
42、rustSwitchA-Ethernet1/0/1 quit# 开启DHCP snooping。SwitchA dhcp-snooping# 在Switch A的端口Ethernet1/0/4上配置IP静态绑定表项。SwitchA interface Ethernet1/0/4SwitchA-Ethernet1/0/4 ip source static binding ip-address 192.168.0.10 mac-address 000d-85c7-4e00SwitchA-Ethernet1/0/4 quit# 配置Switch A的上行口为ARP信任端口。SwitchA inter
43、face ethernet1/0/1SwitchA-Ethernet1/0/1 arp detection trustSwitchA-Ethernet1/0/1 quit# 开启VLAN 10内所有端口的ARP入侵检测功能。SwitchA vlan 10SwitchA-vlan10 arp detection enableSwitchA-vlan10 quit# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3上的ARP报文限速功能。SwitchA interface Ethernet1/0/2SwitchA-Ethernet1/0/2 arp rate-lim
44、it enableSwitchA-Ethernet1/0/2 arp rate-limit 20SwitchA-Ethernet1/0/2 quitSwitchA interface Ethernet1/0/3SwitchA-Ethernet1/0/3 arp rate-limit enableSwitchA-Ethernet1/0/3 arp rate-limit 20SwitchA-Ethernet1/0/3 quit# 配置端口状态自动恢复功能,恢复时间间隔为100秒。SwitchA arp protective-down recover enableSwitchA arp protec
45、tive-down recover interval 100# 配置网关的缺省路由。SwitchA ip route-static 0.0.0.0 0 192.168.0.1配置Switch B# 创建VLAN20,并将相应端口加入VLAN20中。 system-viewSwitchB vlan 20SwitchB-vlan20 port Ethernet 1/0/1 to Ethernet 1/0/4SwitchB-vlan20 quit# 配置Switch B的上行口为DHCP snooping信任端口。SwitchB interface ethernet1/0/1SwitchB-Ethe
46、rnet1/0/1 dhcp-snooping trustSwitchB-Ethernet1/0/1 quit# 开启DHCP snooping。SwitchB dhcp-snooping# 配置Switch B的上行口为ARP信任端口。SwitchB interface ethernet1/0/1SwitchB-Ethernet1/0/1 arp detection trustSwitchB-Ethernet1/0/1 quit# 开启VLAN 20内所有端口的ARP入侵检测功能。SwitchB vlan 20SwitchB-vlan20 arp detection enableSwitch
47、B-vlan20 quit# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4上的ARP报文限速功能。SwitchB interface Ethernet1/0/2SwitchB-Ethernet1/0/2 arp rate-limit enableSwitchB-Ethernet1/0/2 arp rate-limit 20SwitchB-Ethernet1/0/2 quitSwitchB interface Ethernet1/0/3SwitchB-Ethernet1/0/3 arp rate-limit enableSwitchB-Ethernet1/0/3 arp rate-limit 20SwitchB
