齐头并进 堵源治本--高校校园网ARP攻击防御解决方案

齐头并进 堵源治本

高校校园网ARP攻击防御解决方案

DIGTIAL CHINA DIGITAL CAMPUS

神州数码网络有限公司

2008-07

前 言

自2006年以来，基于病毒的arp攻击愈演愈烈，几乎所有的校园网都有遭遇过。地址转换协议ARP（Address Resolution Protocol）是个链路层协议，它工作在OSI参考模型的第二层即数据链路层，与下层物理层之间通过硬件接口进行联系，同时为上层网络层提供服务。ARP攻击原理虽然简单，易于分析，但是网络攻击往往是越简单越易于散布，造成的危害越大。对于网络协议，可以说只要没有验证机制，那么就已经存在欺骗攻击，可以被非法利用。下面我们介绍几种常见ARP攻击典型的症状：

上网的时候经常会弹出一些广告，有弹出窗口形式的，也有嵌入网页形式的。下载

的软件不是原本要下载的，而是其它非法程序。

网关设备ARP表项存在大量虚假信息，上网时断时续；网页打开速度让使用者无

法接受。

终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。 对于ARP攻击，可以简单分为两类：

一、ARP欺骗攻击，又分为ARP仿冒网关攻击和ARP仿冒主机攻击。 二、ARP泛洪（Flood）攻击，也可以称为ARP扫描攻击。

对于这两类攻击，攻击程序都是通过构造非法的ARP报文，修改报文中的源IP地址与（或）源MAC地址，不同之处在于前者用自己的MAC地址进行欺骗，后者则大量发送虚假的ARP报文，拥塞网络。

图一 ARP仿冒网关攻击示例

神州数码网络秉承“IT服务 随需而动”的理念，对于困扰高教各位老师已久的ARP攻击问题，结合各个学校网络现状，推出业内最全、适用面最广、最彻底的ARP整体解决方案。

神州数码网络公司从客户端程序、接入交换机、汇聚交换机，最后到网关设备，都研发了ARP攻击防护功能，高校老师可以通过根据自己学校的网络特点，选取相关的网络设备和方案进行实施。

一、接入交换机篇

接入交换机是最接近用户侧的网络设备，也最适于通过它进行相关网络攻击防护。通过对接入交换机的适当设置，我们可以将很多网络威胁隔离在交换机的每端口内，而不至于对整网产生危害。

1、AM功能

AM（access management）又名访问管理，它利用收到数据报文的信息（源IP 地址 或者源IP+源MAC）与配置硬件地址池（AM pool）相比较，如果找到则转发，否则丢弃。

AM pool 是一个地址列表，每一个地址表项对应于一个用户。每一个地址表项包括了地址信息及其对应的端口。地址信息可以有两种：

IP 地址（ip-pool），指定该端口上用户的源IP 地址信息。

MAC-IP 地址（mac-ip pool），指定该端口上用户的源MAC 地址和源IP 地址信息。

当AM使能的时候，AM模块会拒绝所有的IP报文通过（只允许IP地址池内的成员源地址通过）。

我们可以在交换机端口创建一个MAC+IP 地址绑定，放到地址池中。当端口下联主机发送的IP报文（包含ARP报文）中，所含的源IP＋源MAC不符合地址池中的绑定关系，此报文就将被丢弃。 配置命令示例如下：

举例：使能AM 并允许交接口4 上源IP为192.1.1.2，源MAC是00-01-10-22-33-10 的用户通过。

Switch(Config)#am enable

Switch(Config)#interface Ethernet 0/0/4 Switch(Config-Ethernet0/0/4)#am port

Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2

1）功能优点

配置简单，除了可以防御ARP攻击，还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。

2）功能缺点

1、需要占用交换机ACL资源；

2、网络管理员配置量大，终端移动性差。

2、ARP Guard功能

基本原理就是利用交换机的过滤表项，检测从端口输入的所有ARP 报文，如果ARP 报文的源IP 地址是受到保护的IP 地址，就直接丢弃报文，不再转发。

举例：在端口Ethernet0/0/1 启动配置ARP Guard 地址192.168.1.1（设为网关地址）。 Switch(Config)#interface ethernet0/0/1

Switch(Config- Ethernet 0/0/1)# arp-guard ip 192.168.1.1

端口Ethernet0/0/1端口发出的仿冒网关ARP报文都会被丢弃，所以ARP Guard 功能常用于保护网关不被攻击。

1）功能优点

配置简单，适用于ARP仿冒网关攻击防护快速部署。

2）功能缺点

ARP Guard需要占用芯片FFP 表项资源，交换机每端口配置数量有限。

3、DHCP Snooping功能

实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。下图为交换机DHCP Snooping功能原理说明：

1）主机A向DHCP Server发起DHCP 请求，交换机记录下发起请求的PORT和MAC。 2）DHCP Server返回分配给用户的IP地址，交换机上记录下DHCP返回的IP地址。 3）交换机根据DHCP snooping功能记录下来的信息，在相应的交换机端口上绑定合法的IP、MAC信息。

举例：如上图在交换机在端口Ethernet0/0/2 启动DHCP Snooping功能，并进行ARP绑定。

Switch(Config)#ip dhcp snooping enable Switch(Config)#ip dhcp snooping binding enable Switch(Config)#interface ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#ip dhcp snooping trust //DHCP服务器连接端口需设置为Trust

Switch(Config-Ethernet0/0/1)#interface ethernet 0/0/2 Switch(C …… 此处隐藏：3521字，全部文档内容请下载后查看。喜欢就下载吧 ……