DAI(動(dòng)態(tài)ARP監(jiān)控技術(shù))和IP Source Guard

DAI（動(dòng)態(tài)ARP監(jiān)控技術(shù)）和IPSourceGuard一、ARPPoisoning（ARP毒化技術(shù)）ARPTni>leinB1<J1,11-MACCCCC10112-MACAAAAIP10113MACBB6BCCHP642-813switch1.ARPTni>leinB1<J1,11-MACCCCC10112-MACAAAAIP10113MACBB6BCCHP642-813switch1.032S.pngTSutrawu-iBm-goiiMrtOwflARPIOYemriietegrbnrKatarepb?#|￡二111btajiidIQHB@「口*怕1123網(wǎng)舊七曰且m~ipin11zmaca^aaARPTMhA10.1（（=MACB卻日*t■MMACcccc正常情況下PC-A是正常PC,路由器是我們的網(wǎng)關(guān)，正常情況下PC-A作一個(gè)ARPRequest請問這個(gè)網(wǎng)關(guān)的MAC地址是多少，網(wǎng)關(guān)正常就會(huì)回網(wǎng)關(guān)是，MAC地址是C.C.C.C，PC-A會(huì)有一個(gè)正常的ARP條目:ARPTabicinA這樣PC-A就可以正常把流量交給網(wǎng)關(guān)了就上網(wǎng)10.1.這樣PC-A就可以正常把流量交給網(wǎng)關(guān)了就上網(wǎng)了，但是現(xiàn)在PC-B這個(gè)攻擊者作了ARP毒化的處理，它會(huì)偽裝網(wǎng)關(guān)給PC-A發(fā)送一個(gè)免費(fèi)ARP毒化PC-A的ARP的映射表項(xiàng)，讓PC-A的ARP映射表項(xiàng)AHPTabicinAin]ii=M&rRRRR映射為… …——這個(gè)時(shí)候PC-A上網(wǎng)的流量就會(huì)送給PC-B，然后PC-B代理交給服務(wù)器，同樣PC-B還會(huì)作一個(gè)毒化ARP的映射去毒化網(wǎng)關(guān)的ARP說的MAC地址是B.B.B.B，這樣網(wǎng)關(guān)回的包也會(huì)繞到PC-B，這樣去回的包都要受攻擊者來控制。毒化的過程（1）ARP這種解析是后到者優(yōu)先，當(dāng)你們正常合法的映射已經(jīng)完成時(shí)，攻擊者就會(huì)作一個(gè)免費(fèi)ARP的Replies來毒化你們的ARP的緩存。(2)免費(fèi)ARP:免費(fèi)ARP有好處，也有壞處的。免費(fèi)ARP好處：比如我一個(gè)PC的地址設(shè)置為，當(dāng)我開機(jī)的時(shí)候可能會(huì)彈出一個(gè)報(bào)錯(cuò)，什么MAC地址跟我的IP址重疊，這是怎么發(fā)現(xiàn)的呢？比如PC開機(jī)就會(huì)發(fā)送一個(gè)免費(fèi)ARP，免費(fèi)ARP的內(nèi)容是請問的MAC地址是多少，自己問自己IP地址的MAC地址是多少，它不希望任何人可以回應(yīng)這個(gè)，如果沒有人回應(yīng)MAC地址就沒有重疊，如果有人回應(yīng)了說我是我的MAC地址是什么什么，這時(shí)PC就會(huì)報(bào)一個(gè)錯(cuò)說這個(gè)MAC地址它的IP地址和我的重疊了，這是免費(fèi)ARP的好處。免費(fèi)ARP的壞處：ARP這種解析是后到者優(yōu)先，當(dāng)你們正常合法的映射已經(jīng)完成時(shí)，攻擊者就會(huì)作一個(gè)免費(fèi)ARP的Replies來毒化你們的ARP的緩存。二、啟用DAI動(dòng)態(tài)ARP監(jiān)控技術(shù)能夠抵御這種ARP毒化攻擊(1)能保護(hù)ARP毒化的攻擊DAI技術(shù)需要使用DHCPSnooping的綁定表，就是利用這個(gè)綁定表的資源來判斷這個(gè)ARP是正確的，還是有問題的(3)這個(gè)綁定表是通過來追蹤整個(gè)DHCP一個(gè)過程構(gòu)建起來的，了解到是合法IP和MAC地址的映射，這樣我基于這個(gè)綁定表作DAI抵御ARP的欺騙。(4)會(huì)丟掉那些有問題的免費(fèi)ARP的包(5)會(huì)抵御由于ARP毒化所造成中間人攻擊(6)對ARP的包進(jìn)行限速，抵御端口的掃描攻擊關(guān)于DAIDAI關(guān)聯(lián)每一個(gè)接口為Trust或Untrust⑵被配置為DAI的trust接口，就是所有ARP都不校驗(yàn)被配置為DAI的Untrust接口，它對所有ARP的包要通過DAI校驗(yàn)，校驗(yàn)每一個(gè)ARP的包是不是映射正確，映射正確過，映射不正確丟掉DHCPSnooping這個(gè)綁定表是非常重要的，因?yàn)槲覀內(nèi)绾蝸泶_認(rèn)什么是正確的IP和MAC映射就基于這個(gè)綁定表的內(nèi)容來確認(rèn)。(5)一般面向普通客戶的接口被配置成Untrust，上的接口配置成trust.三、DAI的配置swiR1 R2(1)依然的配置IPDHCPSnooping,依然要在某些VLAN上啟用。R1(config)#intf0/0R1(config-if)#noshR2(config)#intf0/0//R2的這個(gè)接口手工配置一個(gè)IP地址R2(config-if)#ipaddR2(config-if)#noshR2(config-if)#endSW1(config)#vlan2SW1(config-vlan)#exitSW1(config)#intrangef0/1,f0/2SW1(config-if-range)#switchmodeaccessSW1(config-if-range)#switchaccessvlan2SW1(config-if-range)#exitSW1(config)#intvlan2SW1(config-if)#ipadd54SW1(config-if)#end在交換機(jī)上配置DHCP服務(wù)器SW(config)#servicedhcp//默認(rèn)為啟用DHCP服務(wù)SW(config)#ipdhcppoolVLAN2SW(dhcp-config)#networkSW(dhcp-config)#default-router54SW(dhcp-config)#end下面讓R1模擬一臺(tái)PC客戶端R1(config)#intf0/0R1(config-if)#ipaddressdhcpR1(config-if)#endR1#showipinterfacebriefRlHshipinterbrieInterfaceIP-FiddressD爐MethodStatusProtocolFastEthernet0/0VESDHCPUPupSenaiO/aAun日wwigiietiVESlinnetrjdninistrativel^down<hwnFastEthernet0/1VESun^etidninis+rativ^lydo^ndowjt下面開始DHCPSnooping的配置SW(config)#ipdhcpsnooping//全局激活SW(config)#ipdhcpsnoopingvlan2//在vian2上啟用這個(gè)技術(shù)，此時(shí)所于VLAN2的所有接口都是Untrust,這個(gè)實(shí)驗(yàn)不需要設(shè)置trust，因?yàn)檫B接客戶端PC的交換機(jī)本身就是DHCP服務(wù)器(2)在有的DHCPSnooping，有了綁定表的基礎(chǔ)上，再配置DAISW(config)#iparpinspectionvlan2//啟用ARP的監(jiān)控技術(shù)SW(config)#intf0/24 //把上行接口配置TrustSW(config-if)#iparpinspectiontrust〃交換機(jī)之間鏈路配置DAI信任端口，用戶端口則在默認(rèn)的非信任端口

SW#showipdhcpsnoopingbingding〃這個(gè)DHCPSnooping綁定表中現(xiàn)在只有R1的綁定條目，R2是我手工配置的綁定表，所在不在DHCPSnooping綁定表中R1#ping 〃這個(gè)時(shí)候R1PINGR2也是不通的，通不了的愿意是解析不了。AlHping16.11.2Ivpeescapesequencetoabort.Sending5,193-byteICHPEchosto10,14/2.tiweoutis2seconds:Successrateis0percent(0/3)RlHsharpastEtherneia/0R1M|TesrSVB-krtrLOL:lb(!?h0?:JISW_I)RI-4-1HCP_SM(]|]PrNR_DI-NV1En^iidRRPs⑴丹訂anFdfi/P,ulnn2.(11)017Sjm7.2d2BZW.1.1.2/eaie.7351'^W/lfl.l.1.3/01:16707DIGHenMar11W911Test.SN*T齡I.卿uTeU.SU**Har1 XSUMI-4-DHCPSNOOPINGDENV1InvalidRRPs【Res)onFaO/2.ulan2.tL6ftl7.5iw72d?8/lfl1L2/0B167351.9288/10.1I1/01-.1.(5:09UTCMenMat1199311f帕r101l16j12.529:%SLI(MI-4DHCPSHOUPLMGDLNV.1liwalidflRPs<R^IonFa0/2,^Idii2(Le?17.5da了一2￡8/101丄裁飾IB7351購酣10丄1陽骯：1￡"1DTCHonUnr11対3】I 但這個(gè)網(wǎng)絡(luò)是通的，比如我ping網(wǎng)關(guān)，如下圖所示|R1Hping101ypeescapesequencetoabort.Sending5,100-byteICMPEchosto54,tiweoutis2seconds:dtM!SuccessrateisB0pcrccnt(4/5).round-trip?in/avg/tnaK-1/2/4msRl?|有些是就手工配置的IP地址，就是沒有映射怎么辦呢？我們可以手工配置ARP的映射，通過ARP的訪問控制列表來現(xiàn)實(shí)。R2#showarp//R2的MAC地址是0017.5aa7.2d28SW(config)#arpaccess-listtestSW(config-arp-nac)#permitiphostmachost0017.5aa7.2d28

//這是手工配置的ARP訪問控制列表，其實(shí)也就是作一個(gè)手工的映射。SW(config)#iparpinspectionfiltertestvlan2//相當(dāng)于把這個(gè)手工的映射應(yīng)用到VLAN2上面。IlnUrnm101J2RlHping1H,1.1.2-I雹!l'lII丨IlnUrnm101J2RlHping1H,1.1.2-I雹!l'lII丨rJ：i-■：■'LiTypeescnDesequencetoabort,Internetl.fl.1.1.30018.13519280flRPflFastFtherne10/0Internet5490Olci.2fdc.f3tlAftPflInternetl.fl.1.1.30018.13519280flRPflFastFtherne10/0Internet5490Olci.2fdc.f3tlAftPflFastEtherneW/flrih|^uLcessrateis80percentIft/bI,round-tripuiLn/avg/mcix=1/2/AmsRlMsh^rpPjioIjqgpL限制接口ARP的數(shù)量SW（config）#intf0/1SW（config-if#iparpinspectionlimit10〃限制這個(gè)接口ARP的數(shù)量，ARP包的數(shù)量每秒超過10個(gè)這個(gè)接口也會(huì)被ShutdownIPSourceGuardProtectionAgainstSpoofedIPAddress（IPSourceGuard保護(hù)抵御IP地址的欺騙）―、這是一個(gè)在交換機(jī)上面抵御IP地址欺騙的技術(shù)（1）保護(hù)交換機(jī)抵御IP地址的的欺騙（2）也是要基于DHCPSnooping綁定表（3）跟蹤IP地址到端口的關(guān)聯(lián)，也就說我們綁定表不是有IP和MAC還有端口的關(guān)聯(lián)嗎，我這個(gè)接口就認(rèn)定是這個(gè)IP地址，換成其它的IP地址那就不行了，也就是說本來你是DHCP獲得的5，你非要偽裝為你是0，就會(huì)被交換機(jī)給干掉。（4）動(dòng)態(tài)會(huì)產(chǎn)生一個(gè)端口訪問列表，來丟掉流量不是源自于DHCP推送IP地址的流量。（5）IPDHCPSnooping必須要被配置，來確認(rèn)源IP地址（6）在配置了DHCPSnooping的基礎(chǔ)之上配置端口安全，這樣就能夠?qū)P地址欺騙進(jìn)行控制，還能對MAC地址欺騙進(jìn)行控制，也就是說IPSourceGurad技術(shù)你可以基于IP來作過慮，也可以基于IP和MAC兩個(gè)條件來作過濾。（7）IPSourceGuard建議在Untrust接口來配置，因?yàn)閁ntrust接口才會(huì)有綁定表，基于綁定表可以基于IP或IP和MAC作確認(rèn)。二、IPSourceGuard配置SW#showipdhcpsnoopingSW#showipdhcpsnoopingbinding我們先介紹一下IP和MAC的過慮SW(config)#intfO/1〃下面的兩條命令實(shí)現(xiàn)IP和MAC地過濾。SW(config-if)#switchportport-securitySW(config-if)#ipverifysourceport-securitySW#showipveritysource〃看一下fO/1是基于IP和MAC的過濾intertace1!IpverifysourceforctnGutpiHnodifiersinterIdCe<cr>Test.SUtt^hipuerlfysourceIrderfoceFilter-typeFilter-?odeTP-addressHac-addressVIanlEeft/1.ip-raeic aciive川l.l00:19:73:51:92:802SW的F0/2口連接的R2又是手工配置的IP地址，剛才ARP沒有這個(gè)綁定表，ARP我們手工敲好一個(gè)映射，現(xiàn)在又出現(xiàn)這個(gè)問題了，我還想使用IPSourceGuard技術(shù)，但是沒有綁定表，我們也可以手敲一個(gè)綁定表。SW(config)#ipsourcebinding0017.5aa7.2d28vlan2f0/2SW(config)#intf0/2SW(config-if)#ipverifysource//這是基于IP的過濾。//這是基于IP地址的過濾Test.SWttshipuerifysourceiP-addressMsic-ciddrAKs:tJlarInferfriceFi1ter-typpFi11er-wodeFflB/lrn—ns匚鬥匚true IB11.3Sl：9?：8flIF血？ _ WI12注意：就算你不用DHCP，你全部手敲，你要讓這個(gè)效果能作的出來、能夠?qū)崿F(xiàn)過濾（如果你想作IPSourceGuard技術(shù)），你依然需要配上ipdhcpsnooping和ipdhcpsnoopingvlan*,只有這個(gè)才能生效。DAI也是一樣的，DAI你說我全部都是手工綁定，你不想用DHCP，你還是要敲上ipdhcpsnooping和ipdhcpsnoopingvlan*我們可測試一下SW#showipverifysourceR1(config)#intf0/0 //把MAC改一下R1(config-if)#mac-address1.1.1R1(config-if)#endR1#ping //此時(shí)就不通了。RlHping-Mav181267:08.365;XSYS-5-C0NHG_I；ConfiguredFromcotisoIgbyconsoJelTypooscapQsequoncQtoabort.Sehdind5,