低端交換機(jī)安全技術(shù)原理以及配置

交換機(jī)端口安全技術(shù)日期：杭州華三通信技術(shù)有限公司版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播第一節(jié)802.1X認(rèn)證基本原理及配置第二節(jié)MAC地址認(rèn)證基本原理及配置第三節(jié)端口隔離技術(shù)及配置第四節(jié)端口綁定技術(shù)及配置第五節(jié)ARP防攻擊相關(guān)技術(shù)及配置目錄802.1x協(xié)議起源802.1x協(xié)議起源于802.11協(xié)議，后者是標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)協(xié)議，802.1x協(xié)議的全稱(chēng)是基于端口的訪問(wèn)控制協(xié)議，主要目的是為了解決無(wú)線局域網(wǎng)用戶(hù)的接入認(rèn)證問(wèn)題，它通過(guò)控制端口訪問(wèn)節(jié)點(diǎn)來(lái)提供無(wú)線局域網(wǎng)用戶(hù)接入認(rèn)證和安全性，隨著局域網(wǎng)寬帶接入的不斷普及，局域網(wǎng)接入用戶(hù)需要進(jìn)行認(rèn)證的要求越發(fā)迫切，802.1x現(xiàn)在已經(jīng)開(kāi)始被應(yīng)用于一般的有線LAN的接入。802.1x協(xié)議簡(jiǎn)介802.1x協(xié)議首先是一個(gè)認(rèn)證協(xié)議，是一種對(duì)用戶(hù)進(jìn)行認(rèn)證的方法和策略802.1x協(xié)議是IEEE為了解決基于端口的接入控制而定義的一個(gè)標(biāo)準(zhǔn)802.1x的認(rèn)證的最終目的就是確定一個(gè)端口是否可用，對(duì)于一個(gè)端口，如果認(rèn)證成功那么就“打開(kāi)”這個(gè)端口，允許所有的報(bào)文通過(guò)；如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”，此時(shí)只允許802.1x的認(rèn)證報(bào)文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通過(guò)。802.1x協(xié)議簡(jiǎn)介802.1x認(rèn)證系統(tǒng)組成SupplicantEAPOLAuthenticatorAuthenticationServerEAPOverRadiusORStandardRadius802.1x體系結(jié)構(gòu)SupplicantSystemAuthenticatorSystemAuthenticationServerSystemPAE：認(rèn)證機(jī)制中負(fù)責(zé)處理算法和協(xié)議的實(shí)體。EAP：ExtensibleAuthenticationProtocol802.1x體系結(jié)構(gòu)受控端口設(shè)備端為客戶(hù)端提供接入局域網(wǎng)的端口，這個(gè)端口被劃分為兩個(gè)虛端口：受控端口和非受控端口非受控端口:始終處于雙向連通狀態(tài)，主要用來(lái)傳遞EAPOL協(xié)議幀，保證客戶(hù)端始終能夠發(fā)出或接受認(rèn)證。受控端口:在授權(quán)狀態(tài)下處于連通狀態(tài)，用于傳遞業(yè)務(wù)報(bào)文；在非授權(quán)狀態(tài)下處于斷開(kāi)狀態(tài)，禁止傳遞任何報(bào)文。802.1x體系結(jié)構(gòu)端口受控方向E3/0/1E3/0/2單向雙向Internet我司產(chǎn)品在實(shí)現(xiàn)時(shí)，對(duì)端口在非授權(quán)狀態(tài)下，實(shí)行入方向單向受控，即禁止從客戶(hù)端接收幀，但允許向客戶(hù)端發(fā)送幀。因此常常會(huì)發(fā)現(xiàn)，端口由授權(quán)狀態(tài)轉(zhuǎn)變成非授權(quán)狀態(tài)后，用戶(hù)主機(jī)的IPTV客戶(hù)端仍然可以持續(xù)播放視頻幾分鐘，就是這個(gè)原因。但由于收不到用戶(hù)主機(jī)發(fā)來(lái)的組播組成員報(bào)告，隨著組播組的老化被刪除，最終IPTV被中斷

雙向受控單向受控雙向受控對(duì)受控端口的輸入流和輸出流都進(jìn)行控制，在端口未授權(quán)前兩個(gè)方向的流量都不能通過(guò)受控端口802.1x的工作方式客戶(hù)端和設(shè)備端通過(guò)EAPOL幀來(lái)交互消息設(shè)備端和認(rèn)證服務(wù)器端可以通過(guò)EAP中繼方式或EAP終結(jié)方式交互信息設(shè)備端和認(rèn)證服務(wù)器端可以分布在兩個(gè)不同的實(shí)體上也可以集中在同一個(gè)實(shí)體上客戶(hù)端PAE設(shè)備端PAE認(rèn)證服務(wù)器EAPOLRADIUS協(xié)議承載的EAP/PAP/CHAP交換802.1x端口受控方式基于MAC的認(rèn)證方式啟用802.1X認(rèn)證的端口下只要有一個(gè)用戶(hù)通過(guò)了認(rèn)證則該端口打開(kāi)，其余下掛在這個(gè)端口下的用戶(hù)也可以通過(guò)這個(gè)端口傳輸數(shù)據(jù)基于端口的認(rèn)證方式兩種端口受控方式：基于端口的認(rèn)證：只要該物理端口下的第一個(gè)用戶(hù)認(rèn)證成功后，其他接入用戶(hù)無(wú)須認(rèn)證就可使用網(wǎng)絡(luò)資源，當(dāng)?shù)谝粋€(gè)用戶(hù)下線后，其他用戶(hù)也會(huì)被拒絕使用網(wǎng)絡(luò)。基于MAC地址認(rèn)證：該物理端口下的所有接入用戶(hù)都需要單獨(dú)認(rèn)證。當(dāng)某個(gè)用戶(hù)下線時(shí)，也只有該用戶(hù)無(wú)法使用網(wǎng)絡(luò)。通過(guò)認(rèn)證的用戶(hù)可以使用網(wǎng)絡(luò)資源，沒(méi)有通過(guò)的用戶(hù)則不能，即使他們都接入了同一個(gè)端口802.1x報(bào)文發(fā)送方式AssignmentValuePAEgroupaddress01-80-C2-00-00-03組播方式客戶(hù)端程序可以選擇采用組播報(bào)文發(fā)送，此時(shí)客戶(hù)端發(fā)送的所有EAPoL報(bào)文封裝組播地址，有些情況下客戶(hù)端程序也可以選擇單播報(bào)文發(fā)送，此時(shí)客戶(hù)端初次發(fā)送EAPoL-Start報(bào)文封裝組播地址，回應(yīng)設(shè)備端的response報(bào)文封裝設(shè)備的端口地址采用單播發(fā)送，對(duì)于設(shè)備端發(fā)送的報(bào)文，若設(shè)備端知道客戶(hù)端的地址，則封裝客戶(hù)端的地址采用單播發(fā)送，否則封裝組播地址，采用組播發(fā)送廣播方式客戶(hù)端也可以選擇廣播方式發(fā)送報(bào)文，這時(shí)客戶(hù)端初次發(fā)送EAPoL-Start報(bào)文封裝廣播地址，其余報(bào)文可以采用單播發(fā)送802.1x報(bào)文封裝EAPOL的報(bào)文格式PAEEthernettypeProtocolversionTypeLengthPacketBody2346N0PAEEthernetType占2字節(jié)，固定為0x888EProtocolVersion占1字節(jié)，固定為1Type占1字節(jié)，EAP-Packet（00EAPOL-Start（01）EAPOL-Logoff（02）EAPOL-Key（03）EAPOL-Encapsulated-ASF-Alert（04)Length占2字節(jié)，指定packetbody字段的長(zhǎng)度PacketBody當(dāng)PacketType字段為EAPoL-Start或EAPoL-Logoff時(shí)，此字段為空802.1x報(bào)文封裝EAPOL報(bào)文示例802.1x報(bào)文封裝EAP的報(bào)文格式Code域?yàn)橐粋€(gè)字節(jié)，表示了EAP數(shù)據(jù)包的類(lèi)型，EAP的Code的值指定意義如下

Code＝1——RequestCode＝2——ResponseCode＝3——SuccessCode＝4——FailureIndentifier域?yàn)橐粋€(gè)字節(jié)，輔助進(jìn)行request和response的匹配。每一個(gè)request都應(yīng)該有一個(gè)response相對(duì)應(yīng)，這樣的一個(gè)Indentifier域就建立了一個(gè)對(duì)應(yīng)關(guān)系Length域?yàn)閮蓚€(gè)字節(jié)，表明了EAP數(shù)據(jù)包的長(zhǎng)度，包括Code、Identifier、Length以及Data等各域。超出Length域范圍的字節(jié)應(yīng)該視為數(shù)據(jù)鏈路層填充（padding）在接收時(shí)將被忽略掉。Data域?yàn)?個(gè)或者多個(gè)字節(jié)，Data域的格式由Code的值來(lái)決定。當(dāng)Code為3或4時(shí)，data域?yàn)?個(gè)字節(jié)。CodeIdentifierLengthData0124N802.1x報(bào)文封裝Request/Respone報(bào)文Data域Type：占1個(gè)字節(jié)，該字段值指定Request或Response的類(lèi)型。在EAP的Request或Response中必須出現(xiàn)且僅出現(xiàn)一個(gè)Type1Identity2Notification3Nak(Responseonly)4MD5-Challenge5One-TimePassword(OTP)(RFC1938)6GenericTokenCardTypedata：內(nèi)容隨不同類(lèi)型的Request和Response而不同。TypeTypeData01N802.1x報(bào)文封裝EAP報(bào)文示例802.1x認(rèn)證過(guò)程兩種EAP認(rèn)證方式EAP中繼方式EAP終結(jié)方式用來(lái)對(duì)用戶(hù)口令信息進(jìn)行加密處理的隨機(jī)加密字由Radius服務(wù)器生成，交換機(jī)只是負(fù)責(zé)將EAP報(bào)文透?jìng)鱎adius服務(wù)器，EAP中繼方式要求Radius服務(wù)器支持EAP屬性：EAP-Message（值為79）和Message-Authenticator（值為80）,整個(gè)認(rèn)證處理都由Radius服務(wù)器來(lái)完成。EAP中繼方式有四種認(rèn)證方法：EAP-MD5、EAP-TLS（TransportLayerSecurity，傳輸層安全）、EAP-TTLS（TunneledTransportLayerSecurity，隧道傳輸層安全）和PEAP（ProtectedExtensibleAuthenticationProtocol，受保護(hù)的擴(kuò)展認(rèn)證協(xié)議）。用來(lái)對(duì)用戶(hù)口令信息進(jìn)行加密處理的隨機(jī)加密字由交換機(jī)生成，之后交換機(jī)會(huì)通過(guò)標(biāo)準(zhǔn)Radius報(bào)文把用戶(hù)名、隨機(jī)加密字和客戶(hù)端加密后的口令信息一起送給Radius服務(wù)器，進(jìn)行相關(guān)的認(rèn)證處理。802.1x認(rèn)證過(guò)程EAP中繼方式客戶(hù)端交換機(jī)RADIUS服務(wù)器EAPOLEAPOREAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5ChallengeEAP-SuccessEAP-Response/MD5ChallengeRADIUSAccess-Request(EAP-Response/Identity)RADIUSAccess-Challenge(EAP-Request/MD5Challenge)RADIUSAccess-Accept(EAP-Success)RADIUSAccess-Request(EAP-Response/MD5Challenge)端口被授權(quán)握手定時(shí)器超時(shí)握手請(qǐng)求報(bào)文[EAP-Request/Identity]握手應(yīng)答報(bào)文[EAP-Response/Identity]EAPOL-Logoff......端口非授權(quán)802.1x認(rèn)證過(guò)程EAP終結(jié)方式客戶(hù)端交換機(jī)RADIUS服務(wù)器EAPOLRADIUSEAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5ChallengeEAP-SuccessEAP-Response/MD5ChallengeRADIUSAccess-Request(CHAP-Response/MD5Challenge)RADIUSAccess-Accept(CHAP-Success)端口被授權(quán)握手定時(shí)器超時(shí)握手請(qǐng)求報(bào)文[EAP-Request/Identity]握手應(yīng)答報(bào)文[EAP-Response/Identity]EAPOL-Logoff......端口非授權(quán)802.1X典型配置案例802.1X典型配置案例#開(kāi)啟全局802.1x特性。<Sysname>system-viewSystemView:returntoUserViewwithCtrl+Z.[Sysname]dot1x#開(kāi)啟指定端口Ethernet1/0/1的802.1x特性。[Sysname]dot1xinterfaceEthernet1/0/1#設(shè)置接入控制方式（該命令可以不配置，因?yàn)槎丝诘慕尤肟刂圃谌笔∏闆r下就是基于MAC地址的）。[Sysname]dot1xport-methodmacbasedinterfaceEthernet1/0/1#創(chuàng)建RADIUS方案radius1并進(jìn)入其視圖。[Sysname]radiusschemeradius1802.1X典型配置案例#設(shè)置主認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器的IP地址。[Sysname-radius-radius1]primaryauthentication[Sysname-radius-radius1]primaryaccounting#設(shè)置備份認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器的IP地址。[Sysname-radius-radius1]secondaryauthentication[Sysname-radius-radius1]secondaryaccounting#設(shè)置系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報(bào)文時(shí)的加密密碼。[Sysname-radius-radius1]keyauthenticationname#設(shè)置系統(tǒng)與計(jì)費(fèi)RADIUS服務(wù)器交互報(bào)文時(shí)的加密密碼。[Sysname-radius-radius1]keyaccountingmoney#設(shè)置系統(tǒng)向RADIUS服務(wù)器重發(fā)報(bào)文的時(shí)間間隔與次數(shù)。[Sysname-radius-radius1]timer5[Sysname-radius-radius1]retry5802.1X典型配置案例#設(shè)置系統(tǒng)向RADIUS服務(wù)器發(fā)送實(shí)時(shí)計(jì)費(fèi)報(bào)文的時(shí)間間隔。[Sysname-radius-radius1]timerrealtime-accounting15#指示系統(tǒng)從用戶(hù)名中去除用戶(hù)域名后再將之傳給RADIUS服務(wù)器。[Sysname-radius-radius1]user-name-formatwithout-domain[Sysname-radius-radius1]quit#創(chuàng)建域并進(jìn)入其視圖。[Sysname]#指定radius1為該域用戶(hù)的RADIUS方案，若RADIUS服務(wù)器無(wú)效，則使用本地認(rèn)證方案。[S]schemeradius-schemeradius1local#設(shè)置該域最多可容納30個(gè)用戶(hù)。[S]access-limitenable30802.1X典型配置案例#啟動(dòng)閑置切斷功能并設(shè)置相關(guān)參數(shù)。[S]idle-cutenable202000[S]quit#配置域?yàn)槿笔∮脩?hù)域。[Sysname]#添加本地接入用戶(hù)。[Sysname]local-userlocaluser[Sysname-luser-localuser]service-typelan-access[Sysname-luser-localuser]passwordsimplelocalpass第一節(jié)802.1X認(rèn)證基本原理及配置第二節(jié)MAC地址認(rèn)證基本原理及配置第三節(jié)端口隔離技術(shù)及配置第四節(jié)端口綁定技術(shù)及配置第五節(jié)ARP防攻擊相關(guān)技術(shù)及配置目錄MAC地址認(rèn)證概述兩種認(rèn)證方式的的工作流程MAC地址認(rèn)證的配置命令MAC認(rèn)證的典型配置案例#開(kāi)啟指定端口Ethernet1/0/2的MAC地址認(rèn)證特性。<Sysname>system-view[Sysname]mac-authenticationinterfaceEthernet1/0/2#配置采用MAC地址用戶(hù)名進(jìn)行認(rèn)證，并指定使用帶有分隔符的小寫(xiě)形式的MAC地址作為驗(yàn)證的用戶(hù)名和密碼。[Sysname]mac-authenticationauthmodeusernameasmacaddressusernameformatwith-hyphenlowercaseMAC認(rèn)證的典型配置案例#添加本地接入用戶(hù)。配置本地用戶(hù)的用戶(hù)名和密碼：[Sysname]local-user00-0d-88-f6-44-c1[Sysname-luser-00-0d-88-f6-44-c1]passwordsimple00-0d-88-f6-44-c1設(shè)置本地用戶(hù)服務(wù)類(lèi)型為lan-access：[Sysname-luser-00-0d-88-f6-44-c1]service-typelan-access[Sysname-luser-00-0d-88-f6-44-c1]quit#創(chuàng)建MAC地址認(rèn)證用戶(hù)所使用的域。[Sysname]NewDomainadded.#配置域采用本地認(rèn)證方式。[S]schemelocal[S]quitMAC認(rèn)證的典型配置案例#配置MAC地址認(rèn)證用戶(hù)所使用的域名為。[Sysname]#開(kāi)啟全局MAC地址認(rèn)證特性（接入控制相關(guān)特性一般將全局配置開(kāi)啟放在最后，否則相關(guān)參數(shù)未配置完成，會(huì)造成合法用戶(hù)無(wú)法訪問(wèn)網(wǎng)絡(luò)）。[Sysname]mac-authentication第一節(jié)802.1X認(rèn)證基本原理及配置第二節(jié)MAC地址認(rèn)證基本原理及配置第三節(jié)端口隔離技術(shù)及配置第四節(jié)端口綁定技術(shù)及配置第五節(jié)ARP防攻擊相關(guān)技術(shù)及配置目錄端口隔離簡(jiǎn)介端口隔離基本配置端口隔離配置舉例第一節(jié)802.1X認(rèn)證基本原理及配置第二節(jié)MAC地址認(rèn)證基本原理及配置第三節(jié)端口隔離技術(shù)及配置第四節(jié)端口綁定技術(shù)及配置第五節(jié)ARP防攻擊相關(guān)技術(shù)及配置目錄端口綁定技術(shù)簡(jiǎn)介端口綁定基本配置端口綁定典型配置舉例第一節(jié)802.1X認(rèn)證基本原理及配置第二節(jié)MAC地址認(rèn)證基本原理及配置第三節(jié)端口隔離技術(shù)及配置第四節(jié)端口綁定技術(shù)及配置第五節(jié)ARP防攻擊相關(guān)技術(shù)及配置目錄ARP攻擊原理介紹

ARP——AddressResolutionProtocol地址解釋協(xié)議幀類(lèi)型—0x0806 ARP欺騙都是通過(guò)填寫(xiě)錯(cuò)誤的源MAC-IP對(duì)應(yīng)關(guān)系來(lái)實(shí)現(xiàn)的通過(guò)偽造虛假源IP-MAC對(duì)應(yīng)的ARP報(bào)文，導(dǎo)致網(wǎng)關(guān)或主機(jī)無(wú)法找到正確的通信對(duì)象利用ARP協(xié)議本身的缺陷來(lái)實(shí)現(xiàn)可以利用幀類(lèi)型來(lái)識(shí)別ARP報(bào)文ARP攻擊來(lái)源分析一、病毒和木馬瑞星2007上半年電腦病毒排名1、帕蟲(chóng)（Worm.Pabug；金山：AV終結(jié)者；江民：U盤(pán)寄生蟲(chóng)）

2、威金蠕蟲(chóng)（Worm.Viking）

3、熊貓燒香（Worm.Nimaya；又稱(chēng)尼姆亞）

4、網(wǎng)絡(luò)游戲木馬（Trojan.PSW.OnlineGames）

5、QQ通行證（Trojan.PSW.QQPass）

6、ARP病毒（具有ARP攻擊行為的多個(gè)病毒）

二、黑客攻擊軟件網(wǎng)絡(luò)執(zhí)法官等據(jù)瑞星統(tǒng)計(jì)：上半年全國(guó)約有3500多萬(wàn)臺(tái)電腦曾經(jīng)被病毒感染常見(jiàn)ARP攻擊類(lèi)型

仿冒網(wǎng)關(guān)

ARP病毒通過(guò)發(fā)送錯(cuò)誤的網(wǎng)關(guān)MAC對(duì)應(yīng)關(guān)系給其他受害者，導(dǎo)致其他終端用戶(hù)不能正常訪問(wèn)網(wǎng)關(guān)

仿冒終端用戶(hù)/服務(wù)器欺騙網(wǎng)關(guān)發(fā)送錯(cuò)誤的終端用戶(hù)的IP＋MAC的對(duì)應(yīng)關(guān)系給網(wǎng)關(guān)，導(dǎo)致網(wǎng)關(guān)無(wú)法和合法終端用戶(hù)正常通信 欺騙終端用戶(hù)發(fā)送錯(cuò)誤的終端用戶(hù)/服務(wù)器的IP＋MAC的對(duì)應(yīng)關(guān)系給受害的終端用戶(hù)，導(dǎo)致兩個(gè)終端用戶(hù)之間無(wú)法正常通信

其他ARPFLOODING攻擊攻擊實(shí)驗(yàn)環(huán)境介紹正常用戶(hù)A網(wǎng)關(guān)攻擊者B接入交換機(jī)正常用戶(hù)C網(wǎng)絡(luò)執(zhí)法官我是攻擊者我是受害者典型局域網(wǎng)，利用網(wǎng)絡(luò)執(zhí)法官來(lái)實(shí)現(xiàn)常見(jiàn)ARP攻擊ARP欺騙攻擊1——仿冒網(wǎng)關(guān)攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報(bào)文，欺騙同網(wǎng)段內(nèi)的其它主機(jī)。主機(jī)訪問(wèn)網(wǎng)關(guān)的流量，被重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶(hù)無(wú)法正常訪問(wèn)外網(wǎng)。正常用戶(hù)A網(wǎng)關(guān)G網(wǎng)關(guān)MAC更新了網(wǎng)關(guān)ARP表項(xiàng)已更新攻擊者BIPAddressGMACG1-1-1IPAddressMACType(網(wǎng)關(guān))1-1-1DynamicIPAddressMACType（網(wǎng)關(guān)）2-2-2DynamicARP表項(xiàng)更新為這種攻擊為最為常見(jiàn)的攻擊類(lèi)型訪問(wèn)外網(wǎng)數(shù)據(jù)發(fā)向錯(cuò)誤的網(wǎng)關(guān)攻擊現(xiàn)象一、網(wǎng)絡(luò)執(zhí)法官向受害主機(jī)發(fā)送網(wǎng)關(guān)的欺騙ARP報(bào)文二、受害主機(jī)網(wǎng)關(guān)信息被欺騙，網(wǎng)絡(luò)無(wú)法正常訪問(wèn)間隔時(shí)間非常短ARP欺騙攻擊2－欺騙網(wǎng)關(guān)攻擊者偽造虛假的ARP報(bào)文，欺騙網(wǎng)關(guān)相同網(wǎng)段內(nèi)的某一合法用戶(hù)的MAC地址已經(jīng)更新網(wǎng)關(guān)發(fā)給該用戶(hù)的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶(hù)無(wú)法正常訪問(wèn)外網(wǎng)正常用戶(hù)A網(wǎng)關(guān)G用戶(hù)A的MAC更新了用戶(hù)A的ARP表項(xiàng)已更新發(fā)送偽造ARP信息攻擊者BIPAddressMACType3-3-3DynamicIPAddressMACType2-2-2DynamicARP表項(xiàng)更新為IPAddressAMACA3-3-3外網(wǎng)來(lái)的數(shù)據(jù)流被轉(zhuǎn)發(fā)到錯(cuò)誤的終端一、受害主機(jī)上正確綁定網(wǎng)關(guān)信息二、網(wǎng)絡(luò)還是無(wú)法正常訪問(wèn)攻擊現(xiàn)象ARP欺騙攻擊3－欺騙終端用戶(hù)攻擊者以偽造虛假的ARP報(bào)文，欺騙相同網(wǎng)段內(nèi)的其他主機(jī)，某一合法用戶(hù)的MAC地址已經(jīng)更新網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶(hù)的所有數(shù)據(jù)都被重定向到錯(cuò)誤的MAC地址，同網(wǎng)段內(nèi)的用戶(hù)無(wú)法正?；ピL正常用戶(hù)A網(wǎng)關(guān)G用戶(hù)C的MAC更新了知道了發(fā)送偽造ARP信息攻擊者BIPAddressGMACG1-1-1IPAddressMACType9-9-9DynamicIPAddressMACType2-2-2Dynamic用戶(hù)C的MACis2-2-2ARP表項(xiàng)更新為目的MAC源MAC…2-2-23-3-3…IPAddressAMACA3-3-3數(shù)據(jù)流被中斷IPAddressBMACB05-5-5IPAddressCMACC9-9-9正常用戶(hù)CARP泛洪攻擊攻擊者偽造大量不同ARP報(bào)文在同網(wǎng)段內(nèi)進(jìn)行廣播，導(dǎo)致網(wǎng)關(guān)ARP表項(xiàng)被占滿(mǎn)，合法用戶(hù)的ARP表項(xiàng)無(wú)法正常學(xué)習(xí)，導(dǎo)致合法用戶(hù)無(wú)法正常訪問(wèn)外網(wǎng)正常用戶(hù)A網(wǎng)關(guān)G用戶(hù)A、A1、A2、A3…的MAC更新了已更新發(fā)送大量偽造ARP信息攻擊者BIPAddressGMACG1-1-1IPAddressMACType2-2-2Dynamic2-2-3Dynamic2-2-4Dynamic2-2-5Dynamic2-2-6Dynamic………….DynamicMACis2-2-2ARP表項(xiàng)被占滿(mǎn)IPAddressAMACA033-3-3ARP表項(xiàng)無(wú)法學(xué)習(xí)IPAddressBMACB05-5-MACis2-2-MACis2-2-4……03MACis3-3-3ARP攻擊防御的三個(gè)控制點(diǎn)網(wǎng)關(guān)G用戶(hù)接入設(shè)備

網(wǎng)關(guān)防御合法ARP綁定，防御網(wǎng)關(guān)被欺騙

VLAN內(nèi)的ARP學(xué)習(xí)數(shù)量限制，防御ARP泛洪攻擊1

接入設(shè)備防御將合法網(wǎng)關(guān)IP/MAC進(jìn)行綁定，防御仿冒網(wǎng)關(guān)攻擊合法用戶(hù)IP/MAC綁定，過(guò)濾掉仿冒報(bào)文

ARP限速綁定用戶(hù)的靜態(tài)MAC2

客戶(hù)端防御合法ARP綁定，防御網(wǎng)關(guān)被欺騙3根據(jù)前述ARP攻擊原理得出解決ARP攻擊的三個(gè)控制點(diǎn)如下：防御思路1－認(rèn)證模式網(wǎng)關(guān)接入交換機(jī)利用認(rèn)證途徑來(lái)獲取合法用戶(hù)的IP-MAC關(guān)系，在接入交換機(jī)和網(wǎng)關(guān)上進(jìn)行綁定。利用認(rèn)證客戶(hù)端在終端上綁定網(wǎng)關(guān)ARP表項(xiàng)。CAMS

認(rèn)證服務(wù)器利用802.1x或者Portal認(rèn)證機(jī)制將合法用戶(hù)的IP-MAC關(guān)系上傳到認(rèn)證服務(wù)器認(rèn)證服務(wù)器將獲取到的IP-MAC對(duì)應(yīng)關(guān)系下發(fā)到網(wǎng)關(guān)認(rèn)證設(shè)備將獲取到的IP-MAC對(duì)應(yīng)關(guān)系就地綁定認(rèn)證客戶(hù)端控制點(diǎn)123X認(rèn)證通過(guò)后，CAMS將網(wǎng)關(guān)的IP-MAC對(duì)應(yīng)關(guān)系下發(fā)給客戶(hù)端進(jìn)行靜態(tài)綁定關(guān)鍵點(diǎn)認(rèn)證模式之接入綁定利用認(rèn)證途徑來(lái)獲取合法用戶(hù)的IP-MAC關(guān)系，在接入交換機(jī)（認(rèn)證設(shè)備）進(jìn)行綁定。不匹配綁定關(guān)系的ARP報(bào)文統(tǒng)統(tǒng)丟棄，并上報(bào)給管理員網(wǎng)關(guān)接入交換機(jī)CAMS

認(rèn)證服務(wù)器認(rèn)證設(shè)備將獲取到的IP-MAC對(duì)應(yīng)關(guān)系就地綁定認(rèn)證客戶(hù)端控制點(diǎn)2X想發(fā)送欺騙報(bào)文，丟棄攻擊者防御思路2－DHCP監(jiān)控模式網(wǎng)關(guān)接入交換機(jī)監(jiān)控DHCP交互報(bào)文獲取合法用戶(hù)的IP-MAC-port關(guān)系在接入交換機(jī)上綁定下掛終端的IP-MAC對(duì)應(yīng)關(guān)系，并對(duì)接收到的ARP報(bào)文進(jìn)行檢查，過(guò)濾掉所有非法報(bào)文。全網(wǎng)部署后，有效防止所有ARP常見(jiàn)攻擊類(lèi)型DHCP服務(wù)器接入交換機(jī)解析客戶(hù)端和DHCP服務(wù)器之間的交互報(bào)文，獲得合法用戶(hù)的IP-MAC-port對(duì)應(yīng)關(guān)系接入交換機(jī)將獲取到的合法用戶(hù)的IP-MAC-port綁定在入接口上控制點(diǎn)1X想發(fā)送欺騙報(bào)文？丟棄關(guān)鍵點(diǎn)攻擊者認(rèn)證綁定Vs.DHCPSNOOPING

對(duì)網(wǎng)絡(luò)設(shè)備的依賴(lài)小，對(duì)接入交換機(jī)和網(wǎng)關(guān)的綁定可以根據(jù)網(wǎng)絡(luò)狀況分別使用。適應(yīng)靜態(tài)IP地址的環(huán)境使用，適合目前多數(shù)學(xué)?，F(xiàn)狀。認(rèn)證綁定模式DHCPSNOOPING模式優(yōu)點(diǎn)局限性需要安裝客戶(hù)端需要采用H3C認(rèn)證方式可以保證網(wǎng)絡(luò)無(wú)非法ARP報(bào)文傳播，從根本防御ARP攻擊純網(wǎng)絡(luò)層面實(shí)現(xiàn)，不需要用戶(hù)安裝客戶(hù)端。對(duì)用戶(hù)應(yīng)用沒(méi)有影響要求用戶(hù)采用DHCP動(dòng)態(tài)獲取IP的方式以過(guò)濾非法報(bào)文為防御措施，要求同網(wǎng)段全網(wǎng)部署對(duì)接入交換機(jī)的型號(hào)、版本有很強(qiáng)的依賴(lài)優(yōu)點(diǎn)局限性DHCPSnooping模式的部署網(wǎng)關(guān)接入設(shè)備接入設(shè)備監(jiān)控DHCP報(bào)文信息，綁定用戶(hù)MAC-IP-PORT關(guān)系1保護(hù)屏障DHCP響應(yīng)DHCP請(qǐng)求配置命令：全局模式：dhcp－snooping（全局開(kāi)關(guān)）VLAN模式：ARPdetectionenable：（使能ARPdetectionenable檢測(cè)，限制ARP報(bào)文數(shù)量）上行接口：ARPdetectiontrust（將上行口配置為信任接口不檢查ARP）DHCP認(rèn)證模式的部署網(wǎng)關(guān)接入設(shè)備接入設(shè)備認(rèn)證客戶(hù)端綁定網(wǎng)關(guān)的IP-MAC對(duì)應(yīng)關(guān)系3iNode客戶(hù)端

iNode客戶(hù)端

iNode客戶(hù)端

iNode客戶(hù)端

CAMS服務(wù)器

IPAddressGMACG00-e0-fc-00-00-04靜態(tài)ARP綁定：H3C“全面防御，模塊定制”ARP防御總結(jié)H3C低端交換機(jī)針對(duì)ARP防御方案：1.防止泛洪攻擊配置ARP源抑制功能配置ARP黑洞路由功能配置ARP報(bào)文限速功能2.防止仿冒用戶(hù)、仿冒網(wǎng)關(guān)攻擊配置源MAC地址固定的ARP攻擊檢測(cè)功能配置ARP報(bào)文源MAC地址一致性檢查功能配置ARP主動(dòng)確認(rèn)功配置ARPDetection功能配置ARP自動(dòng)掃描、固化功能配置ARP網(wǎng)關(guān)保護(hù)功能配置ARP過(guò)濾保護(hù)功能H3CARP防御方案配置ARP防止IP報(bào)文攻擊功能如果網(wǎng)絡(luò)中有主機(jī)通過(guò)向設(shè)備發(fā)送大量目標(biāo)IP地址不能解析的IP報(bào)文來(lái)攻擊設(shè)備，可通過(guò)以下兩種方案來(lái)防止ARP攻擊。如果發(fā)送攻擊報(bào)文的源是固定的，可以采用ARP源抑制功能；如果發(fā)送攻擊報(bào)文的源不固定，可以采用ARP黑洞路由功能。1.配置ARP源抑制功能使能ARP源抑制功能arpsource-suppressionenable配置ARP源抑制的閾值arpsource-suppressionlimitlimit-value（缺省情況下，ARP源抑制的閾值為10）2.配置ARP黑洞路由功能使能ARP黑洞路由功能arpresolving-routeenable（ARP黑洞路由功能處于開(kāi)啟狀態(tài)）H3CARP防御方案配置ARPDetection功能ARPDetection功能主要應(yīng)用于接入設(shè)備上，對(duì)于合法用戶(hù)的ARP報(bào)文進(jìn)行正常轉(zhuǎn)發(fā)，否則直接丟棄，從而防止仿冒用戶(hù)、仿冒網(wǎng)關(guān)的攻擊。ARPDetection包含三個(gè)功能：用戶(hù)合法性檢查、ARP報(bào)文有效性檢查、ARP報(bào)文強(qiáng)制轉(zhuǎn)發(fā)。1.用戶(hù)合法性檢查對(duì)于ARP信任端口，不進(jìn)行用戶(hù)合法性檢查；對(duì)于ARP非信任端口，需要進(jìn)行用戶(hù)合法性檢查，以防止仿冒用戶(hù)的攻擊。用戶(hù)合法性檢查是根據(jù)ARP報(bào)文中源IP地址和源MAC地址檢查用戶(hù)是否是所屬VLAN所在端口上的合法用戶(hù)，包括基于IPSourceGuard靜態(tài)綁定表項(xiàng)的檢查、基于DHCPSnooping安全表項(xiàng)的檢查、基于802.1X安全表項(xiàng)的檢查和OUIMAC地址的檢查。(1)首先進(jìn)行基于IPSourceGuard靜態(tài)綁定表項(xiàng)檢查。如果找到了對(duì)應(yīng)源IP地址和源MAC地址的靜態(tài)綁定表項(xiàng)，認(rèn)為該ARP