0304霍芬海姆
中文版 | English
    1.  

      內網防止ARP攻擊 解決方案
        自2006年以來,基于病毒的arp攻擊愈演愈烈。地址轉換協議ARP(Address Resolution Protocol)是個鏈路層協議,它工作在OSI參考模型的第二層即數據鏈路層,與下層物理層之間通過硬件接口進行聯系,同時為上層網絡層提供服務。ARP攻擊原理雖然簡單,易于分析,但是網絡攻擊往往是越簡單越易于散布,造成的危害越大。對于網絡協議,可以說只要沒有驗證機制,那么就可以存在欺騙攻擊,可以被非法利用。下面我們介紹幾種常見ARP攻擊典型的癥狀:
      • 上網的時候經常會彈出一些廣告,有彈出窗口形式的,也有嵌入網頁形式的。下載的軟件不是原本要下載的,而是其它非法程序。
      • 網關設備ARP表項存在大量虛假信息,上網時斷時續;網頁打開速度讓使用者無法接受。
      • 終端不斷彈出“本機的XXX段硬件地址與網絡中的XXX段地址沖突”的對話框。
        對于ARP攻擊,可以簡單分為兩類:
        一、ARP欺騙攻擊,又分為ARP仿冒網關攻擊和ARP仿冒主機攻擊。
        二、ARP泛洪(Flood)攻擊,也可以稱為ARP掃描攻擊。
        對于這兩類攻擊,攻擊程序都是通過構造非法的ARP報文,修改報文中的源IP地址與(或)源MAC地址,不同之處在于前者用自己的MAC地址進行欺騙,后者則大量發送虛假的ARP報文,擁塞網絡。
        接入交換機ARP攻擊防御
        接入交換機是最接近用戶側的網絡設備,也最適于通過它進行相關網絡攻擊防護。通過對接入交換機的適當設置,我們可以將很多網絡威脅隔離在交換機的每端口內,而不至于對整網產生危害。
       1:AM功能
        AM(access management)又名訪問管理,它利用收到數據報文的信息(源IP 地址或者源IP+源MAC)與配置硬件地址池(AM pool)相比較,如果找到則轉發,否則丟棄。
        AM pool 是一個地址列表,每一個地址表項對應于一個用戶。每一個地址表項包括了地址信息及其對應的端口。地址信息可以有兩種:
      • IP 地址(ip-pool),指定該端口上用戶的源IP 地址信息。
      • MAC-IP 地址(mac-ip pool),指定該端口上用戶的源MAC 地址和源IP 地址信息。
        當AM使能的時候,AM模塊會拒絕所有的IP報文通過(只允許IP地址池內的成員源地址通過)。
        我們可以在交換機端口創建一個MAC+IP 地址綁定,放到地址池中。當端口下聯主機發送的IP報文(包含ARP報文)中,所含的源IP+源MAC不符合地址池中的綁定關系,此報文就將被丟棄。 配置命令示例如下:
        舉例:使能AM 并允許交接口4 上源IP為192.1.1.2,源MAC是00-01-10-22-33-10 的用戶通過。
      Switch(Config)#am enable
      Switch(Config)#interface Ethernet 0/0/4
      Switch(Config-Ethernet0/0/4)#am port
      Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2
        功能優點
        配置簡單,除了可以防御ARP攻擊,還可以防御IP掃描等攻擊。適用于信息點不多、規模不大的靜態地址環境下。
        功能缺點
      • 需要占用交換機ACL資源
      • 網絡管理員配置量大,終端移動性差
       2:ARP Guard功能 
        基本原理就是利用交換機的過濾表項,檢測從端口輸入的所有ARP 報文,如果ARP 報文的源IP 地址是受到保護的IP 地址,就直接丟棄報文,不再轉發。
        舉例:在端口Ethernet0/0/1 啟動配置ARP Guard 地址192.168.1.1(設為網關地址)。
      Switch(Config)#interface ethernet0/0/1
      Switch(Config- Ethernet 0/0/1)# arp-guard ip 192.168.1.1
        端口Ethernet0/0/1端口發出的仿冒網關ARP報文都會被丟棄,所以ARP Guard 功能常用于保護網關不被攻擊。
        功能優點
        配置簡單,適用于ARP仿冒網關攻擊防護快速部署。
        功能缺點
        ARP Guard需要占用芯片FFP 表項資源,交換機每端口配置數量有限。
       3:DHCP Snooping功能
        實現原理:接入層交換機監控用戶動態申請IP地址的全過程,記錄用戶的IP、MAC和端口信息,并且在接入交換機上做多元素綁定,從而在根本上阻斷非法ARP報文的傳播。下圖為交換機DHCP Snooping功能原理說明:
      1)主機A向DHCP Server發起DHCP 請求,交換機記錄下發起請求的PORT和MAC。
      2)DHCP Server返回分配給用戶的IP地址,交換機上記錄下DHCP返回的IP地址。
      3)交換機根據DHCP snooping功能記錄下來的信息,在相應的交換機端口上綁定合法的IP、MAC信息。
        舉例:如上圖在交換機在端口Ethernet0/0/2 啟動DHCP Snooping功能,并進行ARP綁定。
      Switch(Config)#ip dhcp snooping enable
      Switch(Config)#ip dhcp snooping binding enable
      Switch(Config)#interface ethernet 0/0/1
      Switch(Config-Ethernet0/0/1)#ip dhcp snooping trust  
      //DHCP服務器連接端口需設置為Trust
      Switch(Config-Ethernet0/0/1)#interface ethernet 0/0/2
      Switch(Config-Ethernet0/0/2)#ip dhcp snooping binding arp
      Switch(Config-Ethernet0/0/2)#exit
       功能優點
        被動偵聽,自動綁定,對信息點數量沒有要求,適用于IP地址動態分配環境下廣泛實施。
       功能缺點
        IP地址靜態環境下,需要手工添加綁定關系,配置量較大。
       4:端口ARP限速功能
        神州數碼系列交換機防ARP 掃描的整體思路是若發現網段內存在具有ARP 掃描特征的主機或端口,將切斷攻擊源頭,保障網絡的安全。
        有兩種方式來防ARP 掃描:基于端口和基于IP。基于端口的ARP 掃描會計算一段時間內從某個端口接收到的ARP 報文的數量,若超過了預先設定的閾值,則會down 掉此端口。基于IP 的ARP 掃描則計算一段時間內從網段內某IP 收到的ARP 報文的數量,若超過了預先設置的閾值,則禁止來自此IP 的任何流量,而不是down 與此IP 相連的端口。此兩種防ARP 掃描功能可以同時啟用。端口或IP 被禁掉后,可以通過自動恢復功能自動恢復其狀態。
        舉例:如上圖在交換機的端口啟動ARP報文限速功能。
      Switch(Config)#anti-arpscan enable //使能Anti-arpscan
      Switch(Config)#anti-arpscan port-based threshold 10  //設置每個端口每秒的ARP報文上限
      Switch(Config)#anti-arpscan ip-based threshold 10 //設置每個IP每秒的ARP報文上限
      Switch(Config)#anti-arpscan recovery enable  //開啟防網段掃描自動恢復功能
      Switch(Config)#anti-arpscan recovery time 90  //設置自動恢復的時間90秒
       功能優點
        全局使能,無須在端口模式下配置,配置簡單。
       功能缺點
        不能杜絕虛假ARP報文,只是適用于對ARP掃描或者flood攻擊防御,建議和交換機其它功能一起使用
       
  • 聯系我們 | English

    甘公網安備 62010202000429號

    Copyright ©2010-2012 甘肅萃英信息科技有限公司 版權所有 隴ICP備17005464號
    0304霍芬海姆 双色球十专家杀号汇总 天津时时彩全天在线计划 秒速赛车开奖直播 云南时时历史开奖号码 云南时时哪里 重庆时时五星号码分布图 湖北福彩楚天30选5开奖 快乐8官网下载app 彩6电竞比分网 时时彩中奖助手手机版 2019开户送300元以上的网站 江西时时历史号 新时时彩官网app下载 人多的棋牌平台 云彩店邀请码54544