ARP防護解决方案总结v1.0.doc

ARP 防护解决方案总结 一、思科解决方案（接入层为思科三层交换机） 2 1.1技术介绍 2 1.1.1 DHCP SNOOPING 2 1.1.2 Dynamic ARP Inspection 5 1.2技术实施 9 二、思科解决方案（汇聚层为思科三层交换机、接入层为思科二层交换机或其它厂商支持pvlan的二层交换机） 12 2.1技术介绍 12 2.1.1 DHCP SNOOPING 12 2.1.2 Dynamic ARP Inspection 12 2.1.3 PVLAN 12 2.2技术实施 15 2.3典型配置（cisco3560做汇聚、港湾交换机做接入） 18 三、神州数码解决方案 28 3.1技术介绍 28 3.1.1 DHCP SNOOPING 28 3.1.2 ANTI-ARP 28 3.2技术实施 28 3.2.1 接入交换机ACL防止ARP仿冒网关 28 3.2.2 神州数码接入交换机＋静态地址分配 29 3.2.3 神州数码接入交换机＋动态地址分配 33 3.2.4 神州数码汇聚交换机（接入交换机是其它品牌） 35 3.2.5 在接入交换机或汇聚交换机上防范ARP扫描 37 3.3典型配置（DCS-39系列做接入层交换机） 38 3.4测试报告（DCS-3950） 43 四、锐捷解决方案 56 4.1技术介绍 56 4.1.1 DHCP SNOOPING 56 4.1.2 ARP CHECK 56 4.1.3 GSN 56 4.2技术实施 61 4.3测试报告（锐捷S2126G） 61 五、H3C解决方案（资料尚未整理完，下个版本补全） 74 4.1技术介绍 74 4.1.1 DHCP SNOOPING 74 4.1.2 ARP DETECTION 74 4.2技术实施 74 4.3典型配置（E126A） 74 一、思科解决方案（接入层为思科三层交换机） 1.1技术介绍 1.1.1 DHCP SNOOPING 采用DHCP管理的常见问题 采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题，常见的有: 1. DHCP server 的冒充。 2. DHCP server的DOS攻击。 　　3. 有些用户随便指定地址，造成网络地址冲突。 　　4. 由于DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。 　　5. 由于不小心配置了DHCP服务器引起的网络混乱也非常常见。 　　黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求，直到DHCP服务器对应网段的所有地址被占用，此类攻击既可以造成DOS的破坏，也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。 　　DHCP服务器欺诈可能是故意的，也可能是无意启动DHCP服务器功能，恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息，以此来实现流量的截取。 　　一个“不可靠”的DHCP服务器通常被用来与攻击者协作，对网络实施“中间人”MITM(Man-In-The-Middle)攻击。中间人攻击是一种攻击者利用正常的协议处理行为来更改两个终端之间的正常通信数据流而形成的一种攻击技术。首先一个黑客会广播许多含有欺骗性MAC地址的DHCP请求(动态主机配置请求)，从而耗尽合法DHCP服务器上的地址空间，一旦其空间地址被耗尽，这个“不可靠”的DHCP服务器就开始向“用户”的DHCP请求进行应答了，这些应答信息中将包括DNS服务器和一个默认网关的信息，这些信息就被用来实施一个MITM中间人攻击。黑客也可以利用冒充的DHCP服务器，为用户分配一个经过修改的DNS Server，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。 　　DHCP Snooping技术概述 　　DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息，交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色，“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表，并将该表存贮在交换机里。在没有DHCP的环境中，如数据中心，绑定条目可能被静态定义，每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。如下表所示: