《【精品IT解决方案】ARP攻击防御解决方案.ppt》由会员分享,可在线阅读,更多相关《【精品IT解决方案】ARP攻击防御解决方案.ppt(25页珍藏版)》请在三一文库上搜索。
1、“全面防御,模块定制” H3C ARP攻击防御解决方案,日期:2007.11,密级:公开,杭州华三通信技术有限公司,胶片说明,本胶片适合公司内部培训和外部交流使用。 本胶片的解决方案现H3C全部可以实现: DHCP SNOOPING CAMS+iNode配合进行客户端绑定,和接入设备弱相关。 我司的解决方案不仅限于这两种方式,其他方案后续推出,如有需求可以和网络产品部解决方案沟通。,校园网ARP攻击分析 H3C ARP攻击防御解决方案,提纲,ARP协议介绍,ARPAddress Resolution Protocol地址解释协议,帧类型0x0806,ARP欺骗都是通过填写错误的源MAC-IP对
2、应关系来实现的,ARP攻击利用ARP协议本身的缺陷来实现!,可以利用帧类型来识别ARP报文,ARP欺骗攻击仿冒网关,攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。 主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。,正常用户A,网关G,网关MAC更新了,已更新,发送伪造ARP信息,攻击者B,网关的 MAC is 2-2-2,ARP表项更新为,数据流被中断,这种攻击为ARP攻击中最为常见的攻击,ARP欺骗攻击欺骗网关,攻击者伪造虚假的ARP报文,欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网,正常用户A,网关
3、G,用户A的MAC更新了,已更新,发送伪造ARP信息,攻击者B,用户A的MAC is 2-2-2,ARP表项更新为,数据流被中断,ARP欺骗攻击欺骗终端用户,攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。,正常用户A,网关G,用户C的MAC更新了,知道了,发送伪造ARP信息,攻击者B,用户C的MAC is 2-2-2,ARP表项更新为,数据流被中断,ARP泛洪攻击,攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常
4、访问外网,正常用户A,网关G,用户A、A1、A2、A3的MAC更新了,已更新,发送大量伪造ARP信息,攻击者B,1.1.0.2 MAC is 2-2-2,ARP表项被占满,ARP表项无法学习,1.1.0.3 MAC is 2-2-3,1.1.0.4 MAC is 2-2-4,1.1.1.103 MAC is 3-3-3,ARP攻击防御的三个控制点,网关G,用户,接入设备,网关防御 合法ARP绑定,防御网关被欺骗 ARP数量限制,防御ARP泛洪攻击,1,接入设备防御 网关IP/MAC绑定,过滤掉仿冒网关的报文 合法用户IP/MAC绑定,过滤掉终端仿冒报文 ARP限速,2,校园网ARP攻击分析,A
5、RP攻 击类型,校园网中,各种ARP攻击类型都发生过。主要的攻击方式是网关仿冒(大约占80的比例)。,关键问 题分析,现网设备情况:学校网络设备款型比较老,也比较杂 终端安装可行性:学校一般不会安装多个客户端。 IP地址分配情况:静态和动态IP地址分配方式都有。用户很多,如果是静态无法采 用手工的模式来绑定合法用户的IP-MAC对应关系,现有网 络结构,有些采用大二层的网络结构,核心设备做网关。,难点:校园网情况复杂,ARP攻击防御解决思路,设备利旧,告警能力,出于校园网设备利旧考虑,ARP防攻击方案应该是多个功能点的集合。以便于适应多种校园网的实际状况,并且要尽可能减小对设备的依赖。,发现A
6、RP攻击后应该有告警能力,以便于管理人员对感染ARP病毒的主机进行取证。,思路,尽可能减少校园网投资,解决老师头疼的问题。,网络优化,建议对现有不合理的网络结构进行优化,采用标准的三层结构,汇聚层做网关。,校园网ARP攻击分析 H3C ARP攻击防御解决方案,提纲,防御ARP攻击的关键,H3C ARP防范方案DHCP 监控模式,监控DHCP交互报文获取合法用户的IP-MAC-port关系 在接入交换机上绑定,实现对ARP报文的检查,过滤掉所有非法报文。,网关,接入设备,DHCP,DHCP响应,DHCP请求,终端,监控DHCP报文实现用户的IP和MAC绑定 配置实现网关的IP和MAC绑定 ARP
7、限速,DHCP Snooping模式,方案适合场景 全网采用动态分配IP地址方式 接入交换机采用H3C支持DHCP Snooping的产品,比如E126A,E152 解决方案 第一步:接入交换机通过DHCP Snooping监控用户动态申请IP的过程,获取用户的IP-MAC对应关系 第二步:接入交换机将用户的IP-MAC-PORT对应关系进行绑定。接入交换机形成保护屏障,过滤掉所有ARP攻击报文。,配置命令 全局模式:dhcpsnooping(全局开关) VLAN模式:ARP detection enable:(使能ARP detection enable检测,限制ARP报文数量) 上行接口:
8、ARP detection trust( 将上行口配置为信任接口不检查ARP),H3C ARP防范方案认证模式,利用认证客户端在终端上绑定网关ARP表项。,网关,接入设备,CAMS,终端,监控认证报文实现用户的IP和MAC绑定 配置实现网关的IP和MAC绑定 ARP线速,CAMS下发实现用户和重要服务器的IP和MAC绑定,CAMS下发实现网关的IP和MAC绑定,网关防御,接入设备防御,客户端防御,方案适合场景 网络配置H3C CAMS和iNODE客户端。 解决方案 第一步:在H3C CAMS配置网关的IP-MAC绑定关系 第二步:把IP-MAC对应关系下发给iNODE客户端绑定 问题分析 此方
9、案适合只能解决仿冒网关,无法解决客户端之间的欺骗(这种攻击的几率较小)。,认证模式,认证模式之客户端绑定实现过程(一),步骤一、在CAMS上配置网关绑定关系,步骤二、在CAMS上配置网关绑定关系,部署三步曲:,认证模式之客户端绑定实现过程(二),步骤三、在CAMS上配置网关绑定关系,认证模式之客户端绑定实现过程(三),用户正常上线,PC上生成静态ARP表项,认证绑定 Vs. DHCP SNOOPING,对网络设备的依赖小,对接入交换机和网关的绑定可以根据网络状况分别使用。 适应静态IP地址的环境使用,适合目前多数学校现状。,认证绑 定模式,优点,局限性,需要安装客户端 需要采用H3C认证方式,
10、可以保证网络无非法ARP报文传播,从根本防御ARP攻击 纯网络层面实现,不需要用户安装客户端。对用户应用没有影响,要求用户采用DHCP动态获取IP的方式 以过滤非法报文为防御措施,要求同网段全网部署 对接入交换机的型号、版本有很强的依赖,优点,局限性,H3C ARP防御方案种类多多,适应校园网不同需求,每种方案均可 以最大程度解决令老师头疼的ARP攻击问题,全面防御,1,模块定制,2,H3C ARP防御方案可以实现用户端、接入端和网关三种模块绑定, 校园网用户可以选择任何一个模块的绑定或者三种模块绑定的组合, 实现ARP防御方案的模块化和可裁剪。,“全面防御,模块定制” H3C ARP防御解决
11、方案,H3C 校园网ARP防御解决方案,网关,S3600-28P-EI,DHCP,DHCP响应,DHCP请求,终端,监控DHCP报文实现用户的IP和MAC绑定 配置实现网关的IP和MAC绑定 ARP限速,东北大学宿舍网,S3600-28P-EI,H3C ARP防御案例,网络已经运行一段时间,老师反映效果非常好,经过改造的网络没有再次出现因为ARP病毒导致无法上网的问题。,网关,S3900-EI/SI/E026,DHCP,DHCP响应,DHCP请求,终端,监控DHCP报文实现用户的IP和MAC绑定 配置实现网关的IP和MAC绑定 ARP限速,南京师范大学校园网,H3C ARP防御案例,S3900-EI/SI/E026,