DCNTSARP欺骗与DCN防御手段

1、DCN-TS16 ARP欺骗与DCN防御手段Version 1.0学习目标学完本课程，您应该能够：深刻理解ARP协议原理及其攻击手段深刻理解相应的防御手段及其原理Arp GuardDhcp SnoopingBinding ARPBinding UserControl Binding Dot1xAnti-Arpscan熟练掌握相关协议的配置、特点及其针对点掌握相关协议的分析及TroubleShooting2课程内容第一章 ARP协议原理及其攻击手段第二章 DCN防御手段及原理第三章 DCN防御协议配置第四章 典型配置案例3ARP协议介绍ARP，全称Address Resolution Proto

2、col，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。4ARP的工作原理ARP的工作原理：1. 首先，每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表

3、，以表示IP地址和MAC地址的对应关系。 2. 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，就向本网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。3. 网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，

4、然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址； 4. 源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。5RARP的工作原理RARP的工作原理：1. 发送主机发送一个本地的RARP广播，在此广播包中，声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址；2. 本地网段上的RARP服务器收到此请求后，检查其RARP列表，查找该MAC地址对应的IP地址；3. 如果存在，RARP服务器就给源主机发送一个响应数据包

5、并将此IP地址提供给对方主机使用；4. 如果不存在，RARP服务器对此不做任何的响应；5. 源主机收到从RARP服务器的响应信息，就利用得到的IP地址进行通讯；如果一直没有收到RARP服务器的响应信息，表示初始化失败。6ARP报文结构硬件类型协议类型硬件地址长度协议长度操作类型发送方的硬件地址（0-3字节）源物理地址（4-5字节）源IP地址（0-1字节）源IP地址（2-3字节）目标硬件地址（0-1字节）目标硬件地址（2-5字节）目标IP地址（0-3字节）7ARP协议报文-Request8ARP协议报文-Reply9ARP协议报文-Gratuitous10常见的ARP攻击手段ARP扫描网关欺骗单

6、播Request方式单播Reply方式广播Request方式主机欺骗单播Request方式单播Reply方式广播Request方式11ARP攻击手段ARP扫描12ARP攻击手段-网关(主机)欺骗/单播Request13ARP攻击手段-网关(主机)欺骗/单播Reply14ARP攻击手段-网关欺骗-广播Request15课程内容第一章 ARP协议原理及其攻击手段第二章 DCN防御手段及原理第三章 DCN防御协议配置第四章 典型配置案例16Arp-Guard-介绍ARP 协议的设计存在严重的安全漏洞，任何网络设备都可以发送ARP 报文通告IP 地址和MAC 地址的映射关系。这就为ARP 欺骗提供了可

7、乘之机，攻击者发送ARP request报文或者ARP reply 报文通告错误的IP 地址和MAC 地址映射关系，导致网络通讯故障。ARP Guard 功能常用于保护网关不被攻击，如果要保护网络内的所有接入PC不受ARP欺骗攻击，需要在端口配置大量受保护的ARP Guard 地址，这将占用大量芯片FFP 表项资源，可能会因此影响到其它应用功能，并不适合。17Arp-Guard-原理主要攻击形式（如上图）：ARP 欺骗的危害主要表项为两种形式：1、PC4 发送ARP 报文通告PC2 的IP 地址映射为自己的MAC 地址，将导致本应该发送给PC2 的IP 报文全部发送到了PC4，这样PC4 就可

8、以监听、截获PC2 的报文；2、PC4 发送ARP 报文通告PC2 的IP 地址映射为非法的MAC 地址，将导致PC2 无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP 欺骗，将导致整个网络瘫痪。防御手段：我们利用交换机的过滤表项保护重要网络设备的ARP 表项不能被其它设备假冒。基本原理就是利用交换机的过滤表项，检测从端口输入的所有ARP 报文，如果ARP 报文的源IP 地址是受到保护的IP 地址，就直接丢弃报文，不再转发。L3交换机PC1PC2PC3PC4PC5PC6HUBABCD18DHCP Snooping-介绍（1）防伪装DHCP Server：DHCP Snoop

9、ing 最初的应用是为了防止用户私设DHCP 服务器，通过启用DHCP Snooping，将交换机上各端口定义为Trust接口和Untrust接口，在Untrust接口判断是否有DHCP Server才能发送的DHCPOFFER、DHCPACK、DHCPNAK报文，如果截获到这些报文，将发出警告并做出相应反应（shutdown该接口或者下发blockhole）。防DHCP 过载攻击：DHCP Snooping 要对信任端口和非信任端口做DHCP 收包限速，防止过多的DHCP 报文攻击CPU，实现了防止DHCP过载攻击，防止过多的DHCP报文耗尽CPU资源。记录DHCP 绑定数据：DHCP Sn

10、ooping 在转发DHCP 报文的同时，记录DHCP SERVER 分配的绑定数据，并可以把绑定数据上载到指定的服务器进行备份。添加绑定ARP：DHCP Snooping 捕获到绑定数据之后，可以根据绑定数据中的参数添加静态绑定ARP，这样可以防止交换机的ARP表项 欺骗。19DHCP Snooping-介绍（2）添加信任用户:DHCP Snooping 捕获到绑定数据之后，可以根据绑定数据中的参数添加添加信任用户表项，这样这些用户就可以不经过DOT1X 认证而访问所有资源。自动恢复:交换机shutdown 端口或者下发blockhole 一段时间后，交换机应主动恢复该端口或源Mac的通讯，

11、同时通过syslog 发送信息到Log Server。LOG 功能:交换机检测发现异常收包时；或者自动恢复时，应自动发送syslog 信息到Log Server。20DHCP Snooping原理实现机制：DHCP Snooping 通过动态监控客户端从DHCP 服务器获取地址的过程（或者手工静态绑定），将客户端的IP、MAC关联到具体的交换机端口，并将该绑定关系下发给驱动，只有符合该绑定关系的ARP报文交换机才会转发，从而实现防ARP攻击。注意事项：必须保证手工静态绑定及第一次动态获取IP、MAC的正确性和有效性不能阻止以符合绑定关系的IP、MAC为源的网段扫描，请注意结合Anti-Arps

12、can使用21Anti-Arpscan-介绍ARP 扫描是一种常见的网络攻击方式。为了探测网段内的所有活动主机，攻击源将会产生大量的ARP 报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源；攻击源甚至有可能通过伪造的ARP 报文而在网络内实施大流量攻击，使网络带宽消耗殆尽而瘫痪。而且ARP 扫描通常是其他更加严重的攻击方式的前奏，如病毒自动感染，或者继而进行端口扫描、漏洞扫描以实施如信息窃取、畸形报文攻击，拒绝服务攻击等。由于ARP 扫描给网络的安全和稳定带来了极大的威胁，所以防ARP 扫描功能将具有重大意义。DCN系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特

13、征的主机或端口，将切断攻击源头，保障网络的安全。22Anti-Arpscan-原理实现机制：有两种方式来防ARP 扫描：基于端口和基于IP。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量，若超过了预先设定的阈值，则会down 掉此端口。基于IP 的ARP 扫描则计算一段时间内从网段内某IP 收到的ARP 报文的数量，若超过了预先设置的阈值，则禁止来自此IP 的任何流量，而不是down 掉与此IP 相连的端口。此两种防ARP 扫描功能可以同时启用。端口或IP 被禁掉后，可以通过自动恢复功能自动恢复其状态。注意事项：为了提高交换机的效率，可以配置受信任的端口和IP，交换

14、机不检测来自受信任的端口或IP 的ARP 报文，这样可以有效地减少交换机的负担。如果PC1伪造PC2发起网段扫描，Anti-Arpscan（基于IP方式）可能会将PC2给封掉，所以，请注意结合其他ARP防御手段一起使用。23课程内容第一章 ARP协议原理及其攻击手段第二章 DCN防御手段及原理第三章 DCN防御协议配置第四章 典型配置案例24Arp-Guard配置命令arp-guard ip命令：arp-guard ip no arp-guard ip 功能：添加ARP Guard 地址。参数：为受到保护的以点分十进制形式表示的IP 地址。命令模式：端口配置模式。缺省情况：没有ARP Guar

15、d 地址。25DHCP Snooping配置任务1. 启动DHCP Snooping2. 启动DHCP Snooping 绑定功能3. 启动DHCP Snooping 绑定ARP 功能（应用一）4. 启动DHCP Snooping 绑定DOT1X 功能（应用二）5. 启动DHCP Snooping 绑定USER 功能（应用三）6. 添加静态表项功能（应用四）7. 设置信任端口8. 设置防御动作9. 设置DHCP 报文速率限制26DHCP Snooping配置命令（1）ip dhcp snooping命令：ip dhcp snooping enableno ip dhcp snooping en

16、able功能：开启DHCP Snooping 功能。参数：无。命令模式：全局配置模式。缺省情况：DHCP Snooping 默认关闭。27DHCP Snooping配置命令（2）ip dhcp snooping binding命令：ip dhcp snooping binding enableno ip dhcp snooping binding enable功能：开启DHCP Snooping 绑定功能。参数：无。命令模式：全局配置模式。缺省情况：DHCP Snooping 绑定默认关闭。28DHCP Snooping配置命令（3）ip dhcp snooping binding arp命令

17、：ip dhcp snooping binding arpno ip dhcp snooping binding arp功能：开启DHCP Snooping 绑定ARP 功能。参数：无。命令模式：全局配置模式。29DHCP Snooping配置命令（4）ip dhcp snooping binding dot1x命令：ip dhcp snooping binding dot1xno ip dhcp snooping binding dot1x功能：开启DHCP Snooping 绑定DOT1X 功能。参数：无。命令模式：端口配置模式。缺省情况：所有端口默认不启动绑定DOT1X 功能。30DHC

18、P Snooping配置命令（5）ip dhcp snooping binding user-control命令：ip dhcp snooping binding user-controlno ip dhcp snooping binding user-control功能：开启DHCP Snooping 绑定用户功能。参数：无。命令模式：端口配置模式。缺省情况：所有端口默认不启动绑定用户功能。31DHCP Snooping配置命令（6）ip dhcp snooping binding user命令：ip dhcp snooping binding user address vlan inter

19、face Ethernet no Ip dhcp snooping binding user interface Ethernet 功能：配置静态绑定用户信息。参数：静态绑定用户的MAC 地址，MAC 地址是绑定用户的唯一索引值；、：静态绑定用户的IP 地址、掩码；：静态绑定用户的所属VLAN ID；：静态绑定用户的接入端口。命令模式：全局配置模式。缺省情况：DHCP Snooping 默认没有静态绑定表项。32DHCP Snooping配置命令（7）ip dhcp snooping trust命令：ip dhcp snooping trustno ip dhcp snooping trust

20、功能：设置或删除端口的DHCP Snooping 信任属性。参数：无。命令模式：端口配置模式。缺省情况：所有端口默认为非信任端口33DHCP Snooping配置命令（8）ip dhcp snooping action命令：ip dhcp snooping action shutdown|blackhole recovery no ip dhcp snooping action功能：设置或删除端口上的自动防御动作。参数：shutdown：端口检测到伪装DHCP Server 时，将shutdown 此端口；blackhole：端口检测到伪装DHCP Server 时，将以伪装数据包的vid 和

21、源mac 设置blackhole 来阻止此Mac 的流量；Recovery：用户可选设置自动防御动作执行后还可以自动恢复（no shut端口或删除相应的blackhole）；：用户指定多长时间后恢复防御动作，单位：秒，范围是 10-3600。命令模式：端口配置模式。缺省情况：没有默认的防御动作。34DHCP Snooping配置命令（9）ip dhcp snooping action MaxNum命令：ip dhcp snooping action |default功能：设置端口上同时生效的防御动作数目。参数：每个端口的防御动作数目，范围是1-200，默认为10；default：恢复默认的防御

22、动作数目。命令模式：全局配置模式。缺省情况：默认数目为10。35DHCP Snooping配置命令（10）ip dhcp snooping limit-rate命令：ip dhcp snooping limit-rate no ip dhcp snooping limit-rate功能：设置DHCP 报文速率限制。参数：每秒钟转发的DHCP 报文数量，范围是0-600，默认为100。0 表示不再转发DHCP 报文。命令模式：全局配置模式。缺省情况：默认数目为100。36Anti-Arpscan配置任务1) 启动防ARP 扫描功能2) 配置基于端口和基于IP 的防ARP 扫描的阈值3）配置信任端

23、口4）配置信任IP5) 配置自动恢复时间6) 显示和调试防ARP 扫描相关信息37Anti-Arpscan配置命令（1）anti-arpscan enable命令：anti-arpscan enableno anti-arpscan enable功能：全局启动防ARP 扫描功能；no 命令全局关闭防ARP 扫描功能。参数：无。缺省情况：关闭防ARP 扫描功能。命令模式：全局配置模式。38Anti-Arpscan配置命令（2）anti-arpscan port-based threshold 命令：anti-arpscan port-based threshold no anti-arpscan

24、 port-based threshold功能：设置基于端口的防ARP 扫描的接收ARP 报文的阈值，如果接收的ARP 报文的速率超过此设定值，则关闭此端口。单位为个/秒。no 命令恢复为默认值，即10 个/秒。参数：速率阈值，有效范围为2-200。缺省情况：10 个/秒。命令模式：全局配置模式。39Anti-Arpscan配置命令（3）anti-arpscan ip-based threshold 命令：anti-arpscan ip-based threshold no anti-arpscan ip-based threshold功能：设置基于IP 的防ARP 扫描的接收ARP 报文的阈

25、值，如果接收的ARP 报文的速率超过此设定值，则交换机所有端口都禁止接收来自此IP 的IP 报文，而且和此IP 相连的端口禁止接收来自此IP 的ARP 报文。单位为个/秒。no 命令恢复为默认值，即3 个/秒。参数：速率阈值，有效范围为1-200。缺省情况：3 个/秒。命令模式：全局配置模式。40Anti-Arpscan配置命令（4）anti-arpscan trust 命令：anti-arpscan trust no anti-arpscan trust 功能：配置为信任端口或超级信任端口；no 命令恢复为非信任端口。参数：无。缺省情况：缺省全部为非信任端口。命令模式：端口配置模式。41An

26、ti-Arpscan配置命令（5）anti-arpscan trust ip 命令：anti-arpscan trust ip ip-address no anti-arpscan trust ip ip-address 功能：配置信任IP；no 命令恢复为非信任IP。参数：IP 的子网掩码。缺省情况：缺省所有IP 都为非信任IP。掩码缺省为255.255.255.255。命令模式：全局配置模式。42Anti-Arpscan配置命令（6）anti-arpscan recovery enable命令：anti-arpscan recovery enableno anti-arpscan reco

27、very enable功能：启动自动恢复功能，no 命令取消自动恢复功能。参数：无。缺省情况：启动自动恢复功能。命令模式：全局配置模式。43Anti-Arpscan配置命令（7）anti-arpscan recovery time 命令：anti-arpscan recovery time no anti-arpscan recovery time功能：配置自动恢复时间；no 命令恢复自动恢复时间为默认值。参数：自动恢复时间值，单位为秒。有效范围为5-86400 秒。缺省情况：300 秒。命令模式：全局配置模式。44课程内容第一章 ARP协议原理及其攻击手段第二章 DCN防御手段及原理第三章

28、DCN防御协议配置第四章 典型配置案例45典型案例-拓扑图192.168.1.128/24E0/0/1DCS-3950-28CTDCRS-7608IPv4192.168.1.1/24E0/0/24 DHCP SRV192.168.1.10/24案例要求： 1.通过Anti-Arpscan防御ARP扫描; 2.通过Arp-Guard防御网关欺骗; 3.通过DHCP Snooping绑定ARP防 御交换机表项欺骗; 4.通过DHCP Snooping绑定user- control防御主机欺骗。192.168.1.2/2446典型案例Anti-Arpscan配置DCS-3950-28CT(Config)#anti-arpscan enable/全局使能Anti-arpscan功能DCS-3950-28CT(Config)#anti-arpscan port-based threshold 30/设置每个端口每秒的ARP报文上限为30个DCS-3950-28CT(Config)#anti-arpscan ip-based threshold 30/设置每个IP每秒的ARP报文上限DCS-3950-28CT(Config)#anti-arpscan recovery enable /开启防网段扫描自动恢复功能DCS-3950-28CT(Config)#anti-arpscan