《H3C_低端交换机防ARP攻击特性总结(11页).doc》由会员分享,可在线阅读,更多相关《H3C_低端交换机防ARP攻击特性总结(11页).doc(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-H3C_低端交换机防ARP攻击特性总结-第 12 页目 录一、支持防ARP攻击特性的设备型号和版本21、H3C品牌2(1)H3C S3100-52P_E1522(2)H3C S3100-EI_E126A2(3)H3C S3100-SI_E126_S2126-EI2(4)H3C S3600-EI2(5)H3C S3600-SI_E328_E3522(6)H3C S3610_S55102(7)H3C S5100-EI3(8)H3C S5100-SI3(9)H3C S5500-EI3(10)H3C S5500-SI3(11)H3C S56003(12)H3C S5500TP-SI32、Quidwa
2、y品牌4(1)S3026EFGTC_PWR-E026-E026T4(2)S3526E_3526EF_3526C4(3)S3528_3552_3552F4(4)S39004(5)S56004(6)E328_E3524(7)S5100-EI5(8)其他未列出型号的设备,表示不支持该特性。5二、ARP防攻击特性的简单介绍61、ARP 入侵检测简介6(1)“中间人攻击”简介6(2)ARP 入侵检测功能72、配置ARP 入侵检测功能7三、ARP防攻击特性的实施111、网络中使用DHCP Server动态分配客户端IP地址的实施方案11(1)交换机上所需配置:11(2)注意事项:112、网络中使用静态指定
3、方式分配客户端IP地址的实施方案12(1)交换机上所需配置:12(2)注意事项:123、网络中使用CAMS服务器实现该功能的实施方案13一、支持防ARP攻击特性的设备型号和版本1、H3C品牌(1)H3C S3100-52P_E152正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(2)H3C S3100-EI_E126A正式版本:E2102及后续版本。受限版本:F2200L01。(3)H3C S3100-SI_E126_S2126-EI正式版本:目前尚无版本支持。受限版本:目前尚无版本支持。(4)H3C S3600-EI正式版本:目前尚无版本支持。受限版本:F1600L01及
4、后续版本。(5)H3C S3600-SI_E328_E352正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(6)H3C S3610_S5510正式版本:目前尚无版本支持。受限版本:目前尚无版本支持。(7)H3C S5100-EI正式版本:R2200及后续版本。受限版本:E2200。(8)H3C S5100-SI正式版本:R2200及后续版本。受限版本:E2200。(9)H3C S5500-EI正式版本:目前尚无版本支持。受限版本:目前尚无版本支持。(10)H3C S5500-SI正式版本:目前尚无版本支持。受限版本:目前尚无版本支持。(11)H3C S5600正式版本:目前
5、尚无版本支持。受限版本:F1600L01及后续版本。(12)H3C S5500TP-SI正式版本:目前尚无版本支持。受限版本:目前尚无版本支持。2、Quidway品牌(1)S3026EFGTC_PWR-E026-E026T正式版本:R0039P01及后续版本。受限版本:目前尚无版本支持。(2)S3526E_3526EF_3526C正式版本:R0042及后续版本。受限版本:目前尚无版本支持。(3)S3528_3552_3552F正式版本:R0029及后续版本。受限版本:目前尚无版本支持。(4)S3900正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(5)S5600正式版本:目
6、前尚无版本支持。受限版本:F1600L01及后续版本。(6)E328_E352正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(7)S5100-EI正式版本:R2200及后续版本。受限版本:目前尚无版本支持。(8)其他未列出型号的设备,表示不支持该特性。二、ARP防攻击特性的简单介绍1、ARP 入侵检测简介(1)“中间人攻击”简介按照ARP 协议的设计,一个主机即使收到的ARP 应答并非自身请求得到的,也会将其IP 地址和MAC 地址的对应关系添加到自身的ARP 映射表中。这样可以减少网络上过多的ARP 数据通信,但也为“ARP 欺骗”创造了条件。如下图所示,Host A和H
7、ost C通过Switch进行通信。此时,如果有黑客(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。(2)ARP 入侵检测功能为了防止黑客或攻击者通过ARP 报文实施“中间人”攻击,以太网交换机支持ARP 入侵检测功
8、能,即:将经过交换机的所有ARP(请求与回应)报文重定向到CPU,利用DHCP Snooping 表或手工配置的IP 静态绑定表对ARP报文进行合法性检测。开启ARP 入侵检测功能后,如果ARP 报文中的源MAC 地址、源IP 地址、接收ARP 报文的端口编号以及端口所在VLAN 与DHCP Snooping 表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的ARP 报文,进行转发;否则认为是非法ARP 报文,直接丢弃。用户可以通过配置信任端口,灵活控制ARP 报文检测。对于来自信任端口的所有ARP 报文不进行检测,对其它端口的ARP 报文通过查看DHCPSnooping 表或手工配置
9、的IP 静态绑定表进行检测。用户可以通过配置ARP 严格转发功能,使ARP 请求报文仅通过信任端口进行转发;对于接收到的ARP 应答报文,首先按照报文中的目的MAC 地址进行转发,若目的MAC 地址不在MAC 地址表中,则将此ARP 应答报文通过信任端口进行转发。2、配置ARP 入侵检测功能配置ARP 入侵检测功能之前,需要先在交换机上开启DHCP Snooping 功能,并设置DHCP Snooping 信任端口。目前,以太网交换机在端口上配置的IP 静态绑定表项,其所属VLANID 为端口的缺省VLAN ID。因此,如果ARP 报文的VLAN TAG 与端口的PVID值不同,报文将无法通过
10、根据IP 静态绑定表项进行的ARP 入侵检测。当ARP 入侵检测功能与VLAN Mapping 功能配合使用时,为保证功能的正确实现,需要在原始VLAN 和映射后的VLAN 内同时开启ARP 入侵检测功能。一般情况下,需要配置交换机的上行端口作为ARP 信任端口。在开启ARP 严格转发功能之前,需要先在交换机上开启ARP 入侵检测功能,并配置ARP 信任端口。建议用户不要在汇聚组中的端口或Fabric 端口上配置ARP 入侵检测功能。具体配置命令如下:当网络中存在未使用DHCP Server动态分配客户端IP地址的组网方式时,需使用DHCP Snooping功能中“IP过滤”特性,对IP和MA
11、C地址进行静态的绑定。由于DHCP Snooping 表项只记录了通过DHCP 方式动态获取IP 地址的客户端信息,如果用户手工配置了固定IP 地址,其IP 地址、MAC 地址等信息将不会被DHCPSnooping 表记录,因此不能通过基于DHCP Snooping 表项的IP 过滤检查,导致用户无法正常访问外部网络。为了能够让这些拥有合法固定IP 地址的用户访问网络,交换机支持手工配置IP 静态绑定表的表项,即:用户的IP 地址、MAC 地址及连接该用户的端口之间的绑定关系。以便顺利转发该用户的报文。交换机对IP 报文的两种过滤方式:、根据报文中的源IP 地址进行过滤。如果报文的源IP 地址
12、、接收报文的交换机端口编号,与DHCP Snooping 表或手工配置的IP 静态绑定表表项一致,则认为该报文是合法的报文,直接转发;否则认为是非法报文,直接丢弃。、根据报文中的源IP 地址和源MAC 地址进行过滤。如果报文的源IP 地址、源MAC 地址、接收报文的交换机端口编号,与DHCP Snooping 表或手工配置的IP 静态绑定表表项一致,则认为该报文是合法的报文,直接转发;否则认为是非法报文,直接丢弃。需要注意的是:配置IP 过滤功能之前,需要先开启交换机的DHCP Snooping 功能,并配置信任端口。请用户不要在汇聚组中的端口或Fabric 端口上配置IP 过滤功能。如果某端
13、口下开启IP 过滤功能时,指定了mac-address 参数,则此端口下配置的IP 静态绑定表项必须指定mac-address mac-address 参数,否则该固定IP 地址的客户端发送的报文无法通过IP 过滤检查。以太网交换机上手工配置的IP 静态绑定表项的优先级高于DHCP Snooping 动态表项。具体表现在:如果手工配置的IP 静态绑定表项中的IP 地址与已存在的DHCP Snooping 动态表项的IP 地址相同,则覆盖DHCP Snooping 动态表项的内容;如果先配置了IP 静态绑定表项,再开启交换机的DHCP Snooping 功能,则DHCP 客户端不能通过该交换机获
14、取到IP 静态绑定表项中已经存在的IP 地址。在端口上配置的IP 静态绑定表项,其所属VLAN 为端口的缺省VLAN ID。三、ARP防攻击特性的实施1、网络中使用DHCP Server动态分配客户端IP地址的实施方案(1)交换机上所需配置:vlan 1 arp detection enable interface Vlan-interface1 ip address 1.1.1.1 255.0.0.0 interface Ethernet1/0/3 (连接DHCP Server的接口) dhcp-snooping trust ip source static binding ip-addre
15、ss 1.1.1.10 mac-address 0000-0000-0002 (若想ping通DHCP Server,需绑定该Server的IP和MAC) dhcp-snooping (2)注意事项:、要想PC可以ping通DHCP Server的IP地址,需在连接DHCP Server的接口上配置“arp detection trust”或绑定该Server的IP和MAC。、DHCP Relay是三层的功能,DHCP Snooping是二层的功能,DHCP Relay对DHCP报文作三层转发,DHCP Snooping对DHCP报文作二层透传,因此两者无法同时使用。、 DHCP Relay和
16、DHCP Snooping对涉及对表项进行记录,同时提供给dot1x认证模块使用,两个功能同时使用,则dot1x功能也会混乱。、如果DHCP Server和ARP防攻击功能在同一台设备上开启,那么下连PC无法ping通接口地址池所在VLAN虚接口的IP地址,如果开启全局地址池,那么下连PC无法ping通该设备上和上层设备的虚接口IP地址。2、网络中使用静态指定方式分配客户端IP地址的实施方案(1)交换机上所需配置:vlan 1 arp detection enable interface Vlan-interface1 ip address 1.1.1.2 255.0.0.0 interfac
17、e Aux1/0/0 interface Ethernet1/0/1 interface Ethernet1/0/2 (连接PC的接口) ip source static binding ip-address 1.1.1.1 mac-address 0015-c50d-1645 dhcp-snooping (2)注意事项:、在网络环境中,如果没有使用DHCP Server,那么要使能防ARP攻击的功能,就需要配置IP静态绑定表。在配置静态绑定时,只有配置了IP和MAC绑定关系后,才能实现该特性。如果只在接口下配置检测IP地址,那么arp功能没有起作用,配置如下:vlan 1 arp detec
18、tion enable interface Vlan-interface1 ip address 1.1.1.2 255.0.0.0 interface Aux1/0/0 interface Ethernet1/0/1 interface Ethernet1/0/2 (连接PC的接口) ip source static binding ip-address 1.1.1.1 dhcp-snooping 、在该配置方案中,无需配置“dhcp-snooping trust”。、要想PC可以ping通上层设备的IP地址,需在上行口上配置“arp detection trust”或绑定上层设备的IP和MAC。3、网络中使用CAMS服务器实现该功能的实施方案交换机上无需特别配置,实现防ARP攻击特性的具体操作需在CAMS服务器上进行配置。