H3C-低端交换机防ARP攻击特性总结_第1页
H3C-低端交换机防ARP攻击特性总结_第2页
H3C-低端交换机防ARP攻击特性总结_第3页
H3C-低端交换机防ARP攻击特性总结_第4页
H3C-低端交换机防ARP攻击特性总结_第5页
已阅读5页,还剩15页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

H3C_低端交换机防ARP攻击特性总结H3C_低端交换机防ARP攻击特性总结/NUMPAGES20H3C_低端交换机防ARP攻击特性总结H3C_低端交换机防ARP攻击特性总结目录一、支持防ARP攻击特性的设备型号和版本 21、H3C品牌 2(1)H3CS3100-52P_E152 2(2)H3CS3100-EI_E126A 2(3)H3CS3100-SI_E126_S2126-EI 2(4)H3CS3600-EI 2(5)H3CS3600-SI_E328_E352 2(6)H3CS3610_S5510 2(7)H3CS5100-EI 3(8)H3CS5100-SI 3(9)H3CS5500-EI 3(10)H3CS5500-SI 3(11)H3CS5600 3(12)H3CS5500TP-SI 32、Quidway品牌 4(1)S3026EFGTC_PWR-E026-E026T 4(2)S3526E_3526EF_3526C 4(3)S3528_3552_3552F 4(4)S3900 4(5)S5600 4(6)E328_E352 4(7)S5100-EI 5(8)其他未列出型号的设备,表示不支持该特性。 5二、ARP防攻击特性的简单介绍 61、ARP入侵检测简介 6(1)“中间人攻击”简介 6(2)ARP入侵检测功能 72、配置ARP入侵检测功能 7三、ARP防攻击特性的实施 111、网络中使用DHCPServer动态分配客户端IP地址的实施方案 11(1)交换机上所需配置: 11(2)注意事项: 112、网络中使用静态指定方式分配客户端IP地址的实施方案 12(1)交换机上所需配置: 12(2)注意事项: 123、网络中使用CAMS服务器实现该功能的实施方案 13一、支持防ARP攻击特性的设备型号和版本1、H3C品牌(1)H3CS3100-52P_E152正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(2)H3CS3100-EI_E126A正式版本:E2102及后续版本。受限版本:F2200L01。(3)H3CS3100-SI_E126_S2126-EI正式版本:目前尚无版本支持。受限版本:目前尚无版本支持。(4)H3CS3600-EI正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(5)H3CS3600-SI_E328_E352正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(6)H3CS3610_S5510正式版本:目前尚无版本支持。受限版本:目前尚无版本支持。(7)H3CS5100-EI正式版本:R2200及后续版本。受限版本:E2200。(8)H3CS5100-SI正式版本:R2200及后续版本。受限版本:E2200。(9)H3CS5500-EI正式版本:目前尚无版本支持。受限版本:目前尚无版本支持。(10)H3CS5500-SI正式版本:目前尚无版本支持。受限版本:目前尚无版本支持。(11)H3CS5600正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(12)H3CS5500TP-SI正式版本:目前尚无版本支持。受限版本:目前尚无版本支持。2、Quidway品牌(1)S3026EFGTC_PWR-E026-E026T正式版本:R0039P01及后续版本。受限版本:目前尚无版本支持。(2)S3526E_3526EF_3526C正式版本:R0042及后续版本。受限版本:目前尚无版本支持。(3)S3528_3552_3552F正式版本:R0029及后续版本。受限版本:目前尚无版本支持。(4)S3900正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(5)S5600正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(6)E328_E352正式版本:目前尚无版本支持。受限版本:F1600L01及后续版本。(7)S5100-EI正式版本:R2200及后续版本。受限版本:目前尚无版本支持。(8)其他未列出型号的设备,表示不支持该特性。二、ARP防攻击特性的简单介绍1、ARP入侵检测简介(1)“中间人攻击”简介按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。如下图所示,HostA和HostC通过Switch进行通信。此时,如果有黑客(HostB)想探听HostA和HostC之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使HostA和HostC用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,HostA和HostC之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即HostB担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。(2)ARP入侵检测功能 为了防止黑客或攻击者通过ARP报文实施“中间人”攻击,以太网交换机支持ARP入侵检测功能,即:将经过交换机的所有ARP(请求与回应)报文重定向到CPU,利用DHCPSnooping表或手工配置的IP静态绑定表对ARP报文进行合法性检测。开启ARP入侵检测功能后,如果ARP报文中的源MAC地址、源IP地址、接收ARP报文的端口编号以及端口所在VLAN与DHCPSnooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的ARP报文,进行转发;否则认为是非法ARP报文,直接丢弃。用户可以通过配置信任端口,灵活控制ARP报文检测。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCPSnooping表或手工配置的IP静态绑定表进行检测。用户可以通过配置ARP严格转发功能,使ARP请求报文仅通过信任端口进行转发;对于接收到的ARP应答报文,首先按照报文中的目的MAC地址进行转发,若目的MAC地址不在MAC地址表中,则将此ARP应答报文通过信任端口进行转发。2、配置ARP入侵检测功能配置ARP入侵检测功能之前,需要先在交换机上开启DHCPSnooping功能,并设置DHCPSnooping信任端口。目前,以太网交换机在端口上配置的IP静态绑定表项,其所属VLANID为端口的缺省VLANID。因此,如果ARP报文的VLANTAG与端口的PVID值不同,报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。当ARP入侵检测功能与VLANMapping功能配合使用时,为保证功能的正确实现,需要在原始VLAN和映射后的VLAN内同时开启ARP入侵检测功能。一般情况下,需要配置交换机的上行端口作为ARP信任端口。在开启ARP严格转发功能之前,需要先在交换机上开启ARP入侵检测功能,并配置ARP信任端口。建议用户不要在汇聚组中的端口或Fabric端口上配置ARP入侵检测功能。具体配置命令如下: 当网络中存在未使用DHCPServer动态分配客户端IP地址的组网方式时,需使用DHCPSnooping功能中“IP过滤”特性,对IP和MAC地址进行静态的绑定。 由于DHCPSnooping表项只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCPSnooping表记录,因此不能通过基于DHCPSnooping表项的IP过滤检查,导致用户无法正常访问外部网络。为了能够让这些拥有合法固定IP地址的用户访问网络,交换机支持手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。以便顺利转发该用户的报文。交换机对IP报文的两种过滤方式:eq\o\ac(○,1)、根据报文中的源IP地址进行过滤。如果报文的源IP地址、接收报文的交换机端口编号,与DHCPSnooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的报文,直接转发;否则认为是非法报文,直接丢弃。eq\o\ac(○,2)、根据报文中的源IP地址和源MAC地址进行过滤。如果报文的源IP地址、源MAC地址、接收报文的交换机端口编号,与DHCPSnooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的报文,直接转发;否则认为是非法报文,直接丢弃。需要注意的是:配置IP过滤功能之前,需要先开启交换机的DHCPSnooping功能,并配置信任端口。请用户不要在汇聚组中的端口或Fabric端口上配置IP过滤功能。如果某端口下开启IP过滤功能时,指定了mac-address参数,则此端口下配置的IP静态绑定表项必须指定mac-addressmac-address参数,否则该固定IP地址的客户端发送的报文无法通过IP过滤检查。以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCPSnooping动态表项。具体表现在:如果手工配置的IP静态绑定表项中的IP地址与已存在的DHCPSnooping动态表项的IP地址相同,则覆盖DHCPSnooping动态表项的内容;如果先配置了IP静态绑定表项,再开启交换机的DHCPSnooping功能,则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的IP地址。在端口上配置的IP静态绑定表项,其所属VLAN为端口的缺省VLANID。三、ARP防攻击特性的实施1、网络中使用DHCPServer动态分配客户端IP地址的实施方案(1)交换机上所需配置:#vlan1arpdetectionenable#interfaceVlan-interface1#interfaceEthernet1/0/3(连接DHCPServer的接口)dhcp-snoopingtrust(若想ping通DHCPServer,需绑定该Server的IP和MAC)#dhcp-snooping#(2)注意事项:eq\o\ac(○,1)、要想PC可以ping通DHCPServer的IP地址,需在连接DHCPServer的接口上配置“arpdetectiontrust”或绑定该Server的IP和MAC。eq\o\ac(○,2)、DHCPRelay是三层的功能,DHCPSnooping是二层的功能,DHCPRelay对DHCP报文作三层转发,DHCPSnooping对DHCP报文作二层透传,因此两者无法同时使用。eq\o\ac(○,3)、DHCPRelay和DHCPSnooping对涉及对表项进行记录,同时提供给dot1x认证模块使用,两个功能同时使用,则dot1x功能也会混乱。eq\o\ac(○,4)、如果DHCPServer和ARP防攻击功能在同一台设备上开启,那么下连PC无法ping通接口地址池所在VLAN虚接口的IP地址,如果开启全局地址池,那么下连PC无法ping通该设备上和上层设备的虚接口IP地址。2、网络中使用静态指定方式分配客户端IP地址的实施方案(1)交换机上所需配置:#vlan1arpdetectionenable#interfaceVlan-interface1#interfaceAux1/0/0#interfaceEthernet1/0/1#interfaceEthernet1/0/2(连接PC的接口)#dhcp-snooping#(2)注意事项:eq\o\ac(○,1)、在网络环境中,如果没有使用DHCPServer,那么要使能防ARP攻击的功能,就需要配置IP静态绑定表。在配置静态绑定时,只有配置了IP和MAC绑定关系后,才能实现该特性。如果只在接口下配置检测IP地址,那么arp功能没有起作用,配置如下:#vlan1arpdetect

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论