Catalyst 交换机对arp攻击抑制实例_第1页
Catalyst 交换机对arp攻击抑制实例_第2页
Catalyst 交换机对arp攻击抑制实例_第3页
Catalyst 交换机对arp攻击抑制实例_第4页
Catalyst 交换机对arp攻击抑制实例_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、概述:ARP 攻击的现象ARP攻击的分析Catalyst交换机对ARP攻击的抑制应用配置实例Gratutious ARP 的数据包格式概述:目前,很多局域网络都遇到了 ARP攻击,典型现象是交换机的日志或Console 口 上出现大量的地址重复信息(Duplicate address),大量的PC机不能上网,查 看不能上网的PC的ARP表,发现网关IP对应的MAC地址不正确。这是遇到ARP攻击的典型现象,遇到这种攻击主要是因为ARP攻击的编写者将它 附在P2P软件上,此外网络上有很多免费的软件如,网络执法官、网络剪刀手 (NetCut)都具有ARP攻击能力,Cisco的Catalyst交换机的

2、ARP Inspection能力 可以成功抑制这种攻击,并且根据Log记录攻击者的源MAC和所连接端口的信 息。1.ARP 攻击的现象显示 IP 地址重复当LAN遇到网络攻击时,典型的现象是在Console 口上或在日志信息显示:09:12:11: %IP-4-DUPADDR:Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa09:12:11: %SYS-5-CONFIG_I: Configured from console by console09:12:41: %IP-4-DUPADDR: Dupli

3、cate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aaPC都不能上网,PC ARP表网关IP对应的MAC地址不正确Vlan上的PC不能上网,PC ping网关地址不通。在不能上网的机器上不断显示ARP表,网关IP对应的MAC地址在不断的变化, 偶尔是正确的 MAC 地址,偶尔是攻击者的 MAC 地址:C:Documents and Settingsjiangjunarp -aInterface: 210.53.131.161- 0 x2Internet Address Physical Address Type210.

4、53.131.16900-15-fa-87-3f-c0 dynamicC:Documents and Settingsjiangjunarp -aInterface: 210.53.131.161 - 0 x2Internet AddressPhysical AddressType210.53.131.16900-00-d2-34-83-aa dynamic00-00-d2-34-83-aa 是攻击者的 MAC 地址。2ARP攻击的分析攻击过程实际上攻击过程很简单,主要是利用 Gratuitous Arp 更改所有 VLAN PC 的 ARP 表,攻击者 A 发送一个 Gratuitous A

5、rp, 广播给同一 VLAN 300 的所有 PC, 告诉 所有PC,网关IP对应的MAC地址是攻击者的MAC地址,因此所有 PC 接到这个 Gratuitous Arp 公告后, 更改它的 arp 表,将网关 IP 地址 对应的 mac 地址改成攻击者的 mac 地址,因此所有流量并没有发给网关,而是发给 攻击者,所有 PC 不能上网。Gratuitous ARP 的用途ARP是用来获得目标IP地址的MAC地址,有一种ARP叫做Gratuitous ARP,通 常在网络上用来作为特殊用途:A)检查 IP 地址重复主机 A 为了检查 IP 地址重复,会发送一个 Gratutious Arp 请

6、求,这个请求很特 殊,他会询问主机 A 自己的 IP 地址对应的 MAC 地址是多少,如果有 IP 地址重复 ,则主机 A 收到一个响应,则表明有地址重复。由于攻击者 A 发送的 Gratuitous ARP 内容中包含网关的 IP 地址,因此,网关收 到后,发现其它PC在通告自己IP的MAC地址,因此网关(交换机)会报IP地址 重复信息。B)更新其他主机的ARP表如HSRP的主网关A切换到网关B后,B会发送一个Gratutious Arp,通知所有PC 更换它的ARP表,因此所有PC将流量发送给新的网关BC)通知交换机更新交换机的 CAM 表,使得交换机知道 mac 地址对应哪个端口如当pc

7、移动后,插在另外一个端口时,pc主动发送gratutious Arp,使得交换机 及时更新CAM表3. Catalyst交换机对ARP攻击的抑制3.1 静态 ARP 访问控制列表Cisco交换机可以对Arp包进行分析,Arp攻击的本质是篡改了 IP地址和MAC地 址的对应关系,因此在交换机中的Arp ACL定义了网关IP地址和其正确MAC地址 的对应关系,对于不正确的网关IP地址和MAC地址对应的ARP packet,予以丢 弃。静态ARP访问控制列表对攻击者冒充网关的MAC地址作用较大,大多数攻击都是 冒充网关的MAC地址。对于攻击者冒充其它 PC 的 MAC 的配置工作量较大,若网络使用了

8、 DHCP, 结合 DHCP Snooping则可有效避免针对任何PC的MAC地址欺骗。4应用实例下图是一个 ARP 攻击的实例,描述了攻击前和攻击后的现象,它检验了 Catalyst 成功抑制了 ARP 攻击。攻击者 M 是一台测试仪,发出 Gratutious ARP, 告诉同一 Vlan 的主机网关 IP 地 址 210.53.131.169 对应的 MAC 地址是主机 M 的 MAC 地址。攻击者M的MAC地址为0000.d234.83aa,网关的MAC地址为0015.fa87.3fc0。攻击者M的MAC地址为0000.d234.83aa,网关的MAC地址为0015.fa87.3fc0

9、。Layer 3 NetworJG3在同一个Vlan VI汕接口地址:210.53.131.169Host “B攻击者“M”GatesGiTitutious ARP默认两关=210.53.131.169主机默认两关=210.53.131.169攻击前,主机A可成功的和默认网关210.53.131.169通C:Documents and Settingsjiangjunping 210.53.131.169Pinging 210.53.131.169 with 32 bytes of data:Reply from 210.53.131.169: bytes=32 time=2ms TTL=24

10、8Reply from 210.53.131.169: bytes=32 time=1ms TTL=248 ARP攻击发生时,报IP地址重复错误09:12:11: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa09:12:11: %SYS-5-CONFIG_I: Configured from console by console09:12:41: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, so

11、urced by 0000.d234.83aa /arp attacker mac address09:13:11: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa09:13:41: %IP-4-DUPADDR:Catalyst交换机对ARP攻击的抑制配置实例09:13:41: %IP-4-DUPADDR:Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa此时,主机A不能ping通网

12、关C:Documents and Settingsjiangjunping 210.53.131.169Pinging 210.53.131.169 with 32 bytes of data:Request timed out.Request timed out.在6500上配置arp inspection,抑制这种攻击,此时,将arp攻击进入的端 口 disable6500(config)#arp access-list deny-arp/只允许正确的网关IP地址和网关MAC对应的ARP包通过6500(config-arp-nacl)#permit ip host 210.53.131.1

13、69 mac host 0015.fa87.3fc06500(config-arp-nacl)#deny ip host 210.53.131.169 mac any log 6500(config-arp-nacl)#permit ip any mac any/将此 ARP ACL 应用到 vlan 300 上6500(config)#ip arp access-list filter deny-arp vlan 300此时,攻击者所连的端口 Gi3/3 被自动 disable.09:49:27: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets rece

14、ived in 0 milliseconds on Gi3/3.09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error detected on Gi3/3, putting Gi3/3 in err-disable state09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error detected on Gi3/3, putting Gi3/3 in err-disable state09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error det

15、ected on Gi3/3, putting Gi3/3 in err-disable state09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error detected on Gi3/3, putting Gi3/3 in err-disable state注:Arp Inspection缺省是超过15 pps时,将端口处于err-disable状态,超过多少转发 能力的门槛值,你可以设定,除此之外,你可以指定时间,当过了这段时间后又恢复正常状态。E)主机A又可以和网关通信了C:Documents and Settingsjiangjunp

16、ing 210.53.131.169Pinging 210.53.131.169 with 32 bytes of data:Reply from 210.53.131.169: bytes=32 time=2ms TTL=248Reply from 210.53.131.169: bytes=32 time=1ms TTL=2485. Gratutious ARP 的数据包格式根据 RFC 826 定义的 ARP 数据包格式如下:Dest IMAC Addr 1SouiveMAC AddrFrameTypeH/WTypeProtTypeH/WSizeProtSizeOpCodeSenderM

17、ACMtUSenderIP AiUUTargetMACMshTarget IP阴0 x0806OxOSOO 64(ARP)(IPy4)OxOl(Etliemet)Gratutious ARP的格式很特殊,Gratutious ARP分为两种类型:Request或Response, 但是这两种类型的包的 Sender IP 和 Target IP 的地址是一样的,由 于它是 Broadcast, 因此 Header 的 Dest MAC 和 Target MAC 都是因此针对网关的 MAC 地址欺骗的 Gratutious 数据包格式如下:Ethernet II, Src: 0000.d234.

18、83aa , Dst: ff:ff:ff:ff:ff:ffDestination: ff:ff:ff:ff:ff:ff (Broadcast)Source: 0000.d234.83aa (0000.d234.83aa)Type: ARP (0 x0806)Trailer: 000000000000000000000000000000000000Address Resolution Protocol (request/gratuitous ARP)Hardware type: Ethernet (0 x0001)Protocol type: IP (0 x0800)Hardware size: 6Protocol size: 4Opcode: request (0 x0001)Sender MAC address: 0000.d234.83

人人文库> 全部分类> 行业资料 > 机电工程

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论