篇文我們提到ARP協(xié)議缺陷導(dǎo)致的ARP攻擊種類(lèi)分為兩種,ARP欺騙和ARP泛洪攻擊。
今天的主要講講針對(duì)這兩種攻擊種類(lèi)的防范和配置(銳捷和華為)
ARP欺騙和ARP泛洪攻擊主要原因是終端和交換機(jī)對(duì)于學(xué)習(xí)到的ARP信息無(wú)法校驗(yàn)真?zhèn)?����,?dǎo)致終端和交換機(jī)對(duì)學(xué)習(xí)到ARP信息重新變更和記錄原有的記錄信息��。
所以要想針對(duì)局域網(wǎng)內(nèi)ARP協(xié)議安全防護(hù)�����,需要從欺騙和攻擊原理進(jìn)行防護(hù)���。
ARP欺騙原理及解決方案
ARP欺騙原理
我們知道��,ARP欺騙主要是攻擊者通過(guò)發(fā)送偽造的ARP報(bào)文���,修改設(shè)備或網(wǎng)絡(luò)被攻擊終端的ARP表項(xiàng)�����,造成用戶或網(wǎng)絡(luò)的報(bào)文通信異常,所以找出中間人,對(duì)轉(zhuǎn)發(fā)節(jié)點(diǎn)采取信任節(jié)點(diǎn)識(shí)別是安全防護(hù)的手段。
ARP欺騙分為主機(jī)欺騙和網(wǎng)關(guān)欺騙兩種�����。
ARP主機(jī)欺騙防護(hù)
在講解ARP主機(jī)欺騙防護(hù)之前我們?cè)倭私庀翧RP欺騙的過(guò)程�。
- PC1向PC2請(qǐng)求MAC地址信息�,因?yàn)锳RP請(qǐng)求報(bào)文為廣播報(bào)文�����,所以當(dāng)報(bào)文到達(dá)交換機(jī)后�����,交換機(jī)將收到的ARP報(bào)文向除了收到的A報(bào)文接口以外的其他所有端口發(fā)送。
- PC2和PC3同時(shí)收到PC1關(guān)于PC2的ARP請(qǐng)求報(bào)文�����,正常情況下��,PC2向PC1發(fā)送一條單播響應(yīng)報(bào)文,告知PC1,PC2的MAC地址是什么�。而PC3因?yàn)榭吹秸?qǐng)求包數(shù)據(jù)不是給自己的���,直接丟棄掉�����。
- 當(dāng)PC3想要攻擊PC1時(shí)候,偽造一個(gè)ARP應(yīng)答報(bào)文�����,告知PC1“我就是PC2”����。這時(shí)候PC會(huì)根據(jù)新收到的ARP應(yīng)答報(bào)文重新更改自己的ARP表,把原來(lái)學(xué)習(xí)到正確的PC2的MAC表刪除掉�。記錄下:pc2的IP地址和偽造的PC2的MAC地址����。
同理���,PC3也可以用同樣的方式偽造PC1的MAC信息��,告知PC2�����,并使得PC2更改PC1正確IP和MAC映射關(guān)系。
這樣就達(dá)到了PC1和PC2相互訪問(wèn)數(shù)據(jù)到達(dá)PC3這里。
看到這里,相信大家也應(yīng)該明白針對(duì)這種主機(jī)欺騙的行為該如何防護(hù)了吧���。
對(duì)。針對(duì)ARP欺騙有兩種方式����。
1、下載防詐騙APP����,保證電腦不會(huì)收到詐騙電話�����。
2、對(duì)于收到的ARP應(yīng)答包和更新包保持一顆懷疑的心態(tài)��。
如何保證終端不會(huì)收到詐騙電話���,如何讓終端始終快速的識(shí)別詐騙電話呢����?
ARP欺騙解決方案及配置
在之前“什么是ARP”一文中我們提到arp協(xié)議類(lèi)型有動(dòng)態(tài)的有靜態(tài)的,動(dòng)態(tài)的ARP信息是自主學(xué)習(xí)到的���,具有老化時(shí)間也會(huì)被新的ARP報(bào)文更新掉。
終端ARP靜態(tài)綁定
要想不被騙�,就把所有終端上靜態(tài)綁定其他終端IP和MAC的對(duì)應(yīng)關(guān)系���。(win7以上操作系統(tǒng)要使用管理員模式)
可是這種方式會(huì)因?yàn)榫W(wǎng)卡壞掉���,導(dǎo)致原來(lái)綁定信息不正確�,需要?jiǎng)h除重新綁定,而且在大的局域網(wǎng)中�����,這個(gè)對(duì)于管理人員是一個(gè)大的挑戰(zhàn)��。
正所謂���,傷其十指不如斷其一臂,從源頭上打掉詐騙集團(tuán)或者攔截掉詐騙集團(tuán)的欺騙信息才是最有效的防護(hù)手段��。
中間和網(wǎng)關(guān)設(shè)備ARP防護(hù)方法
通過(guò)上文ARP報(bào)文交互的過(guò)程我們可以看到���,交換機(jī)對(duì)于廣播報(bào)文和單播報(bào)文采用無(wú)條件信任轉(zhuǎn)發(fā)����,所以,建立安全可靠的MAC和IP地址表項(xiàng)在交換機(jī)上��,對(duì)于接收到的ARP報(bào)文�,檢查ARP報(bào)文報(bào)文頭的源目MAC和ARP報(bào)文中的源目MAC是否一致,就可以很輕松的防止中間人偽造報(bào)文進(jìn)行欺騙����。
如何在交換機(jī)上建立安全可靠的MAC和IP地址關(guān)系通常根據(jù)現(xiàn)場(chǎng)終端采用靜態(tài)分配IP地址和動(dòng)態(tài)IP地址�,采用不同的應(yīng)對(duì)方案����,但不論哪種方案基本核心思想都是交換機(jī)建立安全地址表項(xiàng)。
靜態(tài)分配IP地址防范ARP攻擊
端口安全+ARPCheck
通過(guò)手工方式將IP和MAC地址對(duì)應(yīng)關(guān)系配置交換機(jī)的端口�����,開(kāi)啟ARP合規(guī)檢查�����。
銳捷配置 | 華為配置 |
Ruijie(config)#interface fastEthernet 0/1 Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding 0021.CCCF.6F70 vlan 10 192.168.1.1 ------>把屬于vlan10 �,且mac地址是0021.CCCF.6F70 �����,ip地址192.168.1.1的PC綁定在交換機(jī)的第一個(gè)百兆接口上 Ruijie(config-if-FastEthernet 0/1)#switchport port-security ------>開(kāi)啟端口安全功能 Ruijie(config-if-FastEthernet 0/1)#arp-check ------>開(kāi)啟arp-check功能 Ruijie(config-if-FastEthernet 0/1)#exit | [HUAWEI] user-bind static ip-address 192.168.2.1 mac-address 0021-CCCF-6F70 interface gigabitethernet 0/0/1 vlan 10 [HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable |
說(shuō)明:以上只是各個(gè)廠家針對(duì)靜態(tài)IP地址終端,端口安全案例,實(shí)際在實(shí)際項(xiàng)目中還可以使用全局的綁定�����,詳細(xì)配置方式可以參考各個(gè)廠家命令手冊(cè)和案例集��。
華為等廠家針對(duì)ARP欺騙解決方案除了上述方法外����,還有ARP表項(xiàng)固化功能�����、ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能���、發(fā)送免費(fèi)ARP報(bào)文等功能����。
動(dòng)態(tài)分配IP地址防范ARP攻擊
動(dòng)態(tài)IP地址環(huán)境下防范ARP攻擊需要結(jié)合DHCP Snooping功能進(jìn)行配置����。
主要技術(shù)原理是:連接終端的接入設(shè)備收到終端DHCP ACK報(bào)文后,會(huì)從該報(bào)文中提取終端的MAC地址以及獲取到的IP地址、地址租期等信息,并獲取開(kāi)啟DHCP Snooping功能的接口信編號(hào)及該接口所屬的VLAN�����,根據(jù)這些信息生成DHCP Snooping綁定表�����。
相對(duì)于靜態(tài)綁定�,DHCP Snooping具有靈活可變,不會(huì)因?yàn)槿藛T位置變動(dòng)或者網(wǎng)卡信息變動(dòng)導(dǎo)致管理員重新配置。
動(dòng)態(tài)IP環(huán)境下針對(duì)ARP防范可根據(jù)是否消耗硬件資源表項(xiàng)分為:IP SourceGuard和DAI(Dynamic ARP Inspection動(dòng)態(tài)ARP檢測(cè))兩種方式。
兩則原理都是一樣���,通過(guò)提取DHCP Snooping表中IP和MAC地址信息����,校驗(yàn)收到的ARP報(bào)文源IP和源MAC信息。
兩則區(qū)別在于IP Source Guard是通過(guò)交換機(jī)的硬件表項(xiàng)進(jìn)行處理����,而DAI是通過(guò)CPU過(guò)濾源MAC/源IP不在Snooping表中的ARP報(bào)文�。
動(dòng)態(tài)IP環(huán)境下ARP安全防護(hù)相關(guān)配置
方案 | 銳捷配置 | 華為配置 |
IP Source Guard | Ruijie(config)#ip dhcp snooping //開(kāi)DHCPsnooping功能
Rulie(config)#interface gigabitEthernet 0/49
Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust //設(shè)信任端口
Ruljie(config)#interface range fastEthernet 0/1-2
Ruijie(config-if-range)# ip verify source port-security //開(kāi)IP Source Guard 功能
Rulie(config-if-range)# arp-check //開(kāi)啟ARP校驗(yàn) | [HUAWEI]dhcp snooping enable ///開(kāi)啟DHCP Snoogping功能 [HUAWEI]interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1]dhcp snooping trusted ///設(shè)信任端口 [HUAWEI- [HUAWEI]interface gigabitethernet 1/0/2 [HUAWEI-GigabitEthernet1/0/2] arp validate
[HUAWEI-GigabitEthernet1/0/2]ip source check user-bind enable //開(kāi)IP Source Guard 功能 |
DAI | Ruijie(config)#ip dhcp snooping //開(kāi)啟DHCPsnooping功能
Ruijie(config)#interface gigabitEthernet 0/49
Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust //設(shè)查信任端口
Ruijie(config)#ip arp inspection van 10//對(duì)van1開(kāi)DAI測(cè)功能 | [HUAWEI]dhcp snooping enable [HUAWEI] vlan 10 [HUAWEI-vlan10]dhcp snooping enable [HUAWEI-vlan10]dhcp snooping trusted interface gigabitethernet 0/0/1 [HUAWEI]Interface gigabitethernet0/0/2
[HUAWEI-GigabitEthernet1/0/2] arp anti-attack check user-bind enable ////使能動(dòng)態(tài)ARP檢測(cè)功能 [HUAWEI-vlan10] ip source check user-bind enable |
ARP欺騙解決方案對(duì)比分析
項(xiàng)目 | 端口安全 | 全局IP+MAC綁定 | IP Source Guard | DAI方案 |
適用環(huán)境 | 靜態(tài)IP地址/動(dòng)態(tài)IP地址 | 靜態(tài)IP地址/動(dòng)態(tài)IP地址 | 動(dòng)態(tài)IP地址 | 動(dòng)態(tài)IP地址 |
表項(xiàng)檢測(cè)方式 | 硬件檢測(cè) | 硬件檢測(cè) | 硬件檢測(cè) | CPU檢測(cè) |
優(yōu)點(diǎn) | 嚴(yán)格管控 | 管控更為嚴(yán)格 | 管控靈活簡(jiǎn)單 | 管控靈活簡(jiǎn)單 |
缺點(diǎn) | 配置復(fù)雜�,靈活性低 | 配置復(fù)雜,靈活性高 | 對(duì)交換機(jī)性能要求較高,需支持IPSG | 對(duì)交換機(jī)性能要求較高��。 |
ARP泛洪攻擊原理及解決方案
ARP泛洪攻擊原理
ARP 泛洪攻擊與ARP欺騙的區(qū)別在于�����,攻擊者通過(guò)不斷向網(wǎng)絡(luò)中被攻擊設(shè)備發(fā)送大量的ARP請(qǐng)求報(bào)文��,從而消耗殆盡被攻擊者ARP表項(xiàng),又因?yàn)锳RP報(bào)文一般是送交CPU處理,ARP泛洪攻擊同樣也也會(huì)消耗CPU的資源,大量的ARP廣播報(bào)文因?yàn)閺V播特性,會(huì)占用大量網(wǎng)絡(luò)帶寬�����,引起網(wǎng)絡(luò)堵塞����。
ARP泛洪攻擊解決方案
由ARP攻擊原理可知,ARP泛洪攻擊主要是消耗設(shè)備性能��,所以針對(duì)ARP防洪攻擊解決手段各個(gè)廠家都有不同的手段�����,但所有的廠家都會(huì)有以下防護(hù)手段�。
ARP報(bào)文報(bào)文限速或限制��,ARP隔離等。下面以華為配置為例�����。
ARP報(bào)文限速:
設(shè)備對(duì)單位時(shí)間內(nèi)收到的ARP報(bào)文進(jìn)行數(shù)量統(tǒng)計(jì)�,如果ARP報(bào)文的數(shù)量超過(guò)了配置的閾值,超出部分的ARP報(bào)文將被忽略����,設(shè)備不作任何處理�,有效防止ARP表項(xiàng)溢出����。
包括:源MAC地址或源IP地址進(jìn)行ARP報(bào)文限速;全局��、VLAN和接口的ARP報(bào)文限速����。
ARP報(bào)文配置示例:針對(duì)源IP限速,每秒50個(gè)ARP報(bào)文
<HUAWEI> system-view
[HUAWEI] arp speed-limit source-ip maximum 50
ARP表項(xiàng)嚴(yán)格學(xué)習(xí)和限制:包括全局限制和接口限制�����。
<HUAWEI> system-view
[HUAWEI] arp learning strict ////全局限制
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] arp learning strict force-enable ///接口限制���。
好了�,ARP安全攻擊原理以及防護(hù)手段已經(jīng)知道了,針對(duì)ARP攻擊方法還有很多方案和解決辦法��,在不同場(chǎng)景針對(duì)不同的攻擊靈活合理采用不同的方案����,這就要靠現(xiàn)場(chǎng)工程師和運(yùn)維人員是否能夠找出攻擊源以及攻擊形式。
我們?nèi)绾尾拍馨l(fā)現(xiàn)和揪出網(wǎng)絡(luò)中針對(duì)ARP協(xié)議的攻擊者呢����?下篇文章我們繼續(xù)分析。
概述
為何網(wǎng)絡(luò)設(shè)備配置ARP靜態(tài)綁定����,卻不能防止ARP中間人欺騙攻擊呢�����?
當(dāng)攻擊主機(jī)(以下簡(jiǎn)稱A)向受攻擊主機(jī)(以下簡(jiǎn)稱B)發(fā)起ARP欺騙攻擊時(shí)�����,網(wǎng)絡(luò)設(shè)備二層轉(zhuǎn)發(fā)此信息給主機(jī)B,主機(jī)B接收到更新的arp信息�,那么它也就淪陷了���。
問(wèn)題來(lái)了���,網(wǎng)絡(luò)設(shè)備配置ARP靜態(tài)綁定意欲何為呢����?
我的理解是這樣滴:
站在網(wǎng)絡(luò)設(shè)備的角度���,它可以有效控制主機(jī)的接入網(wǎng)絡(luò)中����,特別是綁定物理接口的ARP靜態(tài)綁定信息。
舉個(gè)場(chǎng)景案例:
一臺(tái)核心交換機(jī)配置用戶網(wǎng)關(guān)192.168.100.254/24(vlanif 100),10臺(tái)主機(jī)分配的IP是192.168.100.1-192.168.100.10,核心交換機(jī)配置10條ARP靜態(tài)綁定信息對(duì)應(yīng)10臺(tái)主機(jī)�;此外�,針對(duì)剩余可用的IP�,核心交換機(jī)配置243條錯(cuò)誤的ARP靜態(tài)綁定信息,最終實(shí)現(xiàn)防止非授信主機(jī)的接入網(wǎng)絡(luò)的技術(shù)目標(biāo)。
那么,該如何防止ARP中間人欺騙攻擊呢?本期文章將向各位小伙伴總結(jié)分享��。
防止ARP中間人欺騙攻擊
技術(shù)解決方案:
DHCP snooping+DAI(Dynamic ARP Inspection)動(dòng)態(tài)ARP檢測(cè)��;
組網(wǎng)拓?fù)涿枋觯?/p>
兩臺(tái)主機(jī)接入到交換機(jī),交換機(jī)配置配置用戶網(wǎng)關(guān)192.168.100.254/24,主機(jī)A靜態(tài)分配IP:192.168.100.5,主機(jī)B動(dòng)態(tài)獲取IP��。
華為交換機(jī)配置案例
#交換機(jī)開(kāi)啟DHCP服務(wù)
[SW-HUAWEI]dhcp enable
#交換機(jī)配置dhcp snooping
[SW-HUAWEI]dhcp snooping enable
#配置靜態(tài)綁定表,主機(jī)A的IP:192.168.100.5和MAC:e86a-0001-0001
[SW-HUAWEI]user-bind static ip-address 192.168.100.5 mac-address e86a-0001-0001
#創(chuàng)建vlan并啟用dhcp snooping 功能
[SW-HUAWEI]vlan 110
[SW-HUAWEI-vlan110]dis this
vlan 110
dhcp snooping enable
#創(chuàng)建用戶網(wǎng)關(guān)IP并調(diào)用dhcp功能
[SW-HUAWEI]interface Vlanif 110
[SW-HUAWEI-Vlanif110]dis this
interface Vlanif110
ip address 192.168.100.254 255.255.255.0
dhcp select interface
[SW-HUAWEI-Vlanif110]
#定義DHCP地址池
[SW-HUAWEI]ip pool 110
[SW-HUAWEI-ip-pool-110]dis this
ip pool 110
gateway-list 192.168.100.254
network 192.168.110.0 mask 255.255.255.0
[SW-HUAWEI-ip-pool-110]
#配置連接主機(jī)B的物理接口
#使能動(dòng)態(tài)ARP檢測(cè)功能和動(dòng)態(tài)ARP檢測(cè)丟棄報(bào)文告警功能
[SW-HUAWEI] interface GigabitEthernet 0/0/20
[SW-HUAWEI-GigabitEthernet0/0/20]dis this
interface GigabitEthernet0/0/20
port link-type access
port default vlan 110
arp anti-attack check user-bind enable
arp anti-attack check user-bind alarm enable
[SW-HUAWEI-GigabitEthernet0/0/20]
#配置連接主機(jī)A的物理接口
#使能動(dòng)態(tài)ARP檢測(cè)功能和動(dòng)態(tài)ARP檢測(cè)丟棄報(bào)文告警功能
[SW-HUAWEI] interface GigabitEthernet 0/0/22
[SW-HUAWEI-GigabitEthernet0/0/22]dis this
interface GigabitEthernet0/0/22
port link-type access
port default vlan 110
arp anti-attack check user-bind enable
arp anti-attack check user-bind alarm enable
[SW-HUAWEI-GigabitEthernet0/0/22]
發(fā)起ARP中間人欺騙攻擊
主機(jī)A向主機(jī)B發(fā)起ARP中間人欺騙攻擊前����,查看dhcp snooping配置及動(dòng)態(tài)綁定表,如下圖所示;
主機(jī)A向主機(jī)B發(fā)起ARP中間人欺騙攻擊前�����,查看接口動(dòng)態(tài)ARP檢測(cè)的ARP報(bào)文丟棄計(jì)數(shù)�����,顯示為0�����,如下圖所示;
當(dāng)主機(jī)A向主機(jī)B發(fā)起ARP中間人欺騙攻擊時(shí)�,查看接口動(dòng)態(tài)ARP檢測(cè)的ARP報(bào)文丟棄計(jì)數(shù)發(fā)現(xiàn):連接主機(jī)A的物理接口G0/0/22,“Dropped ARP packet number is”字段數(shù)值一直在增加��,如下圖所示;
攻擊報(bào)文在G0/0/22接口即已丟棄�,也實(shí)現(xiàn)了有效防止ARP中間人欺騙攻擊的目標(biāo)�;
總結(jié)
本期文章就防止ARP中間人欺騙攻擊的技術(shù)方案及配置案例向各位小伙伴總結(jié)分享����,不足支持,歡迎各位小伙伴留言指正���。
留一個(gè)討論話題,主機(jī)B本地系統(tǒng)配置arp靜態(tài)綁定����,能防止ARP中間人欺騙攻擊呢�����?
