有关ARP欺骗攻击提出cisco交换机解决方案
近期arp攻击行为，其实大部分是Cisco交换网络里，可以通过帮定每台设备的ip和mac地址可以解决。但是这样做比较麻烦，可以用思科 Dynamic ARP Inspection 机制解决。 　　防范方法 　　思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定， 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。 　　3.3配置示例 　　IOS 全局命令： 　　ip dhcp snooping vlan 100,200 　　no ip dhcp snooping information option 　　ip dhcp snooping 　　ip arp inspection vlan 100,200 /* 定义对哪些 VLAN 进行 ARP 报文检测 　　ip arp inspection log-buffer entries 1024 　　ip arp inspection log-buffer logs 1024 interval 10 　　IOS 接口命令： 　　ip dhcp snooping trust 　　ip arp inspection trust /* 定义哪些接口是信任接口，通常是网络设备接口， TRUNK 接口等 　　ip arp inspection limit rate 15 (pps) /* 定义接口每秒 ARP 报文数量 　　对于没有使用 DHCP 设备可以采用下面办法： 　　arp access-list static-arp 　　permit ip host 10.66.227.5 mac host .d387 　　ip arp inspection filter static-arp vlan 201 　　3.3配置DAI后的效果： 　　* 在配置 DAI技术的接口上，用户端不能采用指定地址地址将接入网络。 　　* 由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系，无法实施中间人攻击，攻击工具失效。下表为实施中间人攻击是交换机的警告： 　　3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/00/192.168.1.2 　　* 由于对 ARP请求报文做了速度限制，客户端无法进行认为或者病毒进行的IP扫描、探测等行为，如果发生这些行为，交换机马上报警或直接切断扫描机器。如下表所示： 　　3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******报警 　　3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state ******切断端口 　　I49-4500-1#.....sh int f.5/30 　　FastEthernet5/30 is down, line protocol is down (err-disabled) 　　Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d) 　　MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, 　　reliability 255/255, txload 1/255, rxload 1/255 　　I49-4500-1#...... 　　* 用户获取 IP地址后，用户不能修改IP或MAC，如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可，对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的报警： 　　3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30, vlan 1.([000d./192.168.1.100/00/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])
阅读本文后您有什么感想? 已有
人给出评价!
08-09-1704-10-1504-10-1504-10-1504-10-0804-10-0804-10-0804-10-08
注：您的评论需要经过审核才会显示出来
Copyright &
PC6下载().All Rights Reserved
备案编号:湘ICP备号&ARP攻击三层交换机判断方法
秒后自动跳转到登录页
(奖励5下载豆)
快捷登录：
举报类型：
不规范：上传重复资源
不规范：标题与实际内容不符
不规范：资源无法下载或使用
其他不规范行为
违规：资源涉及侵权
违规：含有危害国家安全等内容
违规：含有反动/色情等内容
违规：广告内容
详细原因：
任何违反下载中心规定的资源，欢迎Down友监督举报，第一举报人可获5-10下载豆奖励。
视频课程推荐
ARP攻击三层交换机判断方法
上传时间：
技术分类：
资源评价：
（7位用户参与评价）
已被下载&58&次
一般应用而言，三层交换机已是核心层，但是，它的正常运行直接关系整个局域网的生死攸关。本文档，就其中一个安全隐患提供一个快捷的诊断方法，希望能给从事这方面的同行，给予帮助。
本资料共包含以下附件：
ARP攻击三层交换机判断方法.docx
（7位用户参与评价）
down友评价
51CTO下载中心常见问题：
1.如何获得下载豆？
1)上传资料
2)评论资料
3)每天在首页签到领取
4)购买VIP会员服务，无需下载豆下载资源
5)更多途径：点击此处
2.如何删除自己的资料？
下载资料意味着您已同意遵守以下协议：
1.资料的所有权益归上传用户所有
2.未经权益所有人同意，不得将资料中的内容挪作商业或盈利用途
3.51CTO下载中心仅提供资料交流平台，并不对任何资料负责
4.本站资料中如有侵权或不适当内容，请邮件与我们联系（）
5.本站不保证资源的准确性、安全性和完整性, 同时也不承担用户因使用这些资料对自己和他人造成任何形式的伤害或损失
下载1216次
下载1323次
下载1140次
下载2592次
下载1506次
相关专题推荐
不论你是黑客发烧友，还是网络安全工
网络管理人员应认真分析各种可能的入
DDOS全名是Distributed Denial of se
本着学习和研究的精神，以知己知彼为
本视频专题包涵从了解互联网世界，服
本专题收集了渗透中常用的一些工具（
本专题为黑客入侵基础视频教程，共10
　　目前国内发行量最大的网络安全（
本专题为电脑报随书视频——《黑客入
本专题为黑鹰破解视频教程基础篇，掌
本专题为黑客入门常用dos命令视频教程
网络安全管理视频，阐述网络安全的基
TCP/IP协议详解，包括了链路层、ARP、
本专题为学习黑客技术朋友们提供的新
本专题为WEB安全-渗透测试安全培训视
本专题为华中红客基地的网站入侵视频
意见或建议：
联系方式：
您已提交成功！感谢您的宝贵意见，我们会尽快处理ARP攻击方案
ARP攻击方案
ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例，其ARP协议运行的主要交互机制如下
&& 近年来，随着网络的普及，网络病毒泛滥，基于病毒的ARP攻击也愈演愈烈，对于单位管理人员和网络管理员对这类病毒攻击更是恨之入骨、苦不堪言。
　　为了能更好的对付ARP攻击，我们先简单了解一下它。
　　ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例，其ARP协议运行的主要交互机制如下：
　　1.如果A需要向B发起通信，A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有，则进行下面的步骤：
　　2.A在局域网上广播一个ARP请求，查询B的IP地址所对应的MAC地址;
　　3.本局域网上的所有主机都会收到该ARP请求;
　　4.所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求，则发送一个ARP应答给A,告知A自己的MAC地址;
　　5.主机A收到B的ARP应答后,会在自己的 ARP缓存中写入主机B的ARP表项.
　　如上所述，利用ARP协议，可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。导致在ARP协议中没有认证的机制，从而导致针对ARP协议的欺骗攻击非常容易。
　　对于ARP攻击，可以简单分为两类：
　　1、ARP欺骗攻击，又分为ARP仿冒网关攻击和ARP仿冒主机攻击。
　　2、ARP泛洪(Flood)攻击，也可以称为ARP扫描攻击。
　　对于这两类攻击，攻击程序都是通过构造非法的ARP报文，修改报文中的源IP地址与(或)源MAC地址，不同之处在于前者用自己的MAC地址进行欺骗，后者则大量发送虚假的ARP报文，拥塞网络。
　　针对传播广泛、日益泛滥的ARP攻击问题，BMC凭借深厚技术积累，推出具有增强的安全特性全系列交换机，从用户接入到网络汇聚、核心，提供完整全面安全体系架构，从而更加有效的防御ARP攻击。
　　1、接入层防范
　　接入交换机是最接近用户侧的网络设备，也最适于通过它进行相关网络攻击防护。通过对接入交换机的适当设置，我们可以将很多网络威胁隔离在交换机的每端口内，而不至于对整网产生危害。
　　(1)AM功能
　　AM(access management)又名访问管理，它利用收到数据报文的信息(源IP 地址
　　或者源IP+源MAC)与配置硬件地址池(AM pool)相比较，如果找到则转发，否则丢弃。
　　AM pool 是一个地址列表，每一个地址表项对应于一个用户。每一个地址表项包括了地址信息及其对应的端口。地址信息可以有两种：
　　·IP 地址(ip-pool)，指定该端口上用户的源IP 地址信息。
　　·MAC-IP 地址(mac-ip pool)，指定该端口上用户的源MAC 地址和源IP 地址信息。
　　当AM使能的时候，AM模块会拒绝所有的IP报文通过(只允许IP地址池内的成员源地址通过)。
　　我们可以在交换机端口创建一个MAC+IP 地址绑定，放到地址池中。当端口下联主机发送的IP报文(包含ARP报文)中，所含的源IP+源MAC不符合地址池中的绑定关系，此报文就将被丢弃。
　　功能特点：
　　配置简单，除了可以防御ARP攻击，还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。
　　(2)ARP Guard功能
　　基本原理就是利用交换机的过滤表项，检测从端口输入的所有ARP报文，如果ARP报文的源IP地址是受到保护的IP地址(网关或服务器)，就直接丢弃报文，不再转发，从而避免非法PC冒充网关或服务器进行ARP欺骗。
　　功能特点：
　　配置简单、快速部署，适用于ARP仿冒网关攻击防护。
　　(3)DHCP Snooping功能
　　实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。
　　功能特点：
　　被动侦听，自动绑定，对信息点数量没有要求，适用于IP地址动态分配环境下广泛实施。
　　(4)端口ARP限速功能
　　BMC系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特征的主机或端口，将切断攻击源头，保障网络的安全。
　　有两种方式来防ARP 扫描：基于端口和基于IP。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量，若超过了预先设定的阈值，则会down掉此端口。基于IP 的ARP 扫描则计算一段时间内从网段内某IP收到的ARP报文的数量，若超过了预先设置的阈值，则禁止来自此IP 的任何流量，而不是down 与此IP相连的端口。此两种防ARP 扫描功能可以同时启用。端口或IP被禁掉后，可以通过自动恢复功能自动恢复其状态。
　　功能特点：
　　全局使能，无须在端口模式下配置，配置简单。适用于对ARP扫描或者flood攻击防御，建议和交换机其它功能一起使用。
　　2、汇聚层防御
　　很多用户的网络经过多次升级、扩充，部署的接入交换机的品牌多、型号多。而其中不可网管、不支持ACL的交换机数量也不在少数。所以在保护用户现有投资、不升级接入交换机的前提下，全网防御ARP病毒攻击，成为了BMC产品的关注点。下面我们介绍一种通过BMC汇聚交换机实现全网防御ARP攻击的解决方案。
　　(1)端口隔离功能介绍
　　端口隔离是一个基于端口的独立功能，作用于端口和端口之间，隔离相互之间的流量，常用的方式是用户端口间相互隔离，每个用户端口仅能和上联端口通信。利用端口隔离的特性，可以实现VLAN内部的端口隔离，从而节省VLAN资源，增加网络的安全性，现在大多数接入交换机都具备此功能。
　　(2)Local ARP Proxy功能介绍
　　Local ARP proxy：本地ARP代理功能。是指在一个VLAN内，通过使用一台三层交换机(一般为汇聚交换机)，来作为指定的设备对另一设备作出ARP请求的应答，实现限制ARP报文在同一VLAN内的转发，从而引导数据流量通过交换机进行三层转发。
　　该功能通常需要和其他的安全功能配合使用，例如在汇聚交换机上配置local arp proxy，而在下连的二层交换机上配置端口隔离功能，这样将会引导所有的IP流量通过汇聚交换机上进行三层转发，二层交换机下联主机不能相互ARP欺骗。
　　(3)防御ARP攻击原理
　　如下图所示，端口Eth0/0/2和Eth0/0/3在Vlan100内，接入交换机开启端口隔离功能，主机A和主机B二层流量不可达。网关地址为192.168.1.1，汇聚交换机启用Local ARP proxy功能。
　　1. 接入交换机启用端口隔离功能;汇聚交换机启用ARP Local Proxy功能和端口ARP限速功能;
　　2. 动态IP环境中，汇聚交换机通过DHCP Snooping检测ARP;静态IP环境中，可以使用BMC专有的DHCP Snooping绑定工具，对汇聚交换机ARP表项进行初始化(静态地址环境下，还需要结合关闭交换机arp自动更新或者自动学习);
　　3. 由于主机A没有主机B的MAC地址，因此主机A发送ARP Request并广播出去;
　　4. 在启动ARP Local Proxy的情况下，交换机向主机A发送ARP Reply报文(填充自己的MAC地址);
　　5. 主机A收到该ARP Reply之后，创建ARP表项，发送IP报文，封装的以太网帧头的目的MAC为交换机的MAC;
　　6. 当交换机收到该IP报文之后，交换机查询路由表(创建路由缓存)，并下发硬件表项;
　　7. 当交换机有主机B的ARP表项情况下，直接封装以太网头部并发送报文(目的MAC为主机B);如果交换机没有主机B的ARP表项，那么会请求主机B的ARP，然后发送IP报文。
　　(4)方案说明
　　对接入交换机要求低，只需要支持端口隔离功能即可;而且动态IP地址环境下配置简单，易于管理、实现。
　　3、802.1X认证防御
　　BMC交换机全面支持802.1X的认证机制，配合Radius服务器实施IP+MAC+端口号三重绑定，可以实现完美的ARP攻击防御。
　　(1)主机IP地址静态配置时，终端发给802.1x认证，Radius验证通过后，将该用户的IP、MAC等绑定信息自动下发给接入交换机。
　　(2)动态分配IP地址时，接入交换机启用DHCP Snooping侦听主机分配到的IP地址，并将此IP地址，以及对应的MAC地址、交换机端口发送给Radius服务器。
　　方案特点：
　　静态、动态IP地址混杂模式下，可以完美解决内网ARP攻击问题，并且人工配置量小，适用于信息点众多的大型办公网络。
　　BMC ARP防御思路总结
　　接入层防御
　　·在接入层交换机上开启DHCP snooping功能，并配置与DHCP服务器相连的端口为DHCP snooping信任端口。
　　·在接入层交换机上为静态IP地址分配模式的主机或者服务器配置对应的IP静态绑定表项。
　　·在接入层交换机对应VLAN上开启ARP入侵检测功能，并配置该交换机的上行口为ARP信任端口。
　　·在接入层交换机的直接连接客户端的端口上配置ARP报文限速功能，同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。
　　汇聚层防御
　　·在接入层交换机上配置端口隔离功能
　　·在汇聚层交换机上开启Local ARP Proxy功能，隔离接入端口之间的ARP报文
　　·在汇聚层交换机上开启端口ARP限速功能，防御ARP Flood攻击
　　认证模式防御
　　·在接入交换机上开启802.1X认证，并配置Radius服务器端
　　·在接入交换机上开启DHCP Snooping，并配置信任端口
　　·在Radius上，手工设置IP+MAC+Port三重绑定
发表评论：
TA的最新馆藏[转]&温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
这个BLOG主要用于学习网络技术、存储技术,我的QQ是
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
阅读(7833)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
在LOFTER的更多文章
loftPermalink:'',
id:'fks_081071',
blogTitle:'华为交换机上防止ARP欺骗攻击',
blogAbstract:'\r\n交换机上防止ARP欺骗攻击\r\n\r\n1 特性简介\r\n1.1 动态ARP 检测特性\r\n为了防止黒客或攻击者通过ARP\r\n报文实施欺骗行为，将经过交换机的所有ARP（请求与回应）报文重定向到CPU，由上层软件去进行合法性检测并转发；如果源IP\r\n源MAC、端口号和valn id 在Snooping 表项或者静态绑定表中，则认为合法，进行正常处理或转发，否则认为是非法ARP\r\n报文，丢弃，并通过debug\r\n信息给出提示。同时该模块还支持信任端口和非信任端口（考虑聚合端口组处理，具体参见详细设计文档），如果端口被配置为信任端口，则在该端口不进行ARP\r\n检测，否则进行ARP 检测。\r\n1.2 IP 过滤特性\r\n为防止黑客仿冒他人IP/MAC 进行攻击，需下发ACL 由硬件判断IP 报文IP、MAC 和vlan id对应关系是否在Snoop',
blogTag:'',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:7,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:1,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'这个BLOG主要用于学习网络技术、存储技术,我的QQ是',
hmcon:'0',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}}