防arp攻击.pdf

防ARP 攻击配置举例 关键词：ARP、DHCP Snooping 摘 要：本文主要介绍如何利用以太网交换机 DHCP 监控模式下的防 ARP 攻击功能，防止校 园网中常见的 “仿冒网关”、 “欺骗网关”、 “欺骗终端用户”、ARP 泛洪等攻击形 式。同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实 际配置。 缩略语：ARP （Address Resolution Protocol，地址解析协议） MITM （Man-In-The-Middle，中间人攻击） 第1章 ARP 攻击防御功能介绍 近来，许多校园网络都出现了 ARP 攻击现象。严重者甚至造成大面积网络不能正常 访问外网，学校深受其害。H3C 公司根据 ARP 攻击的特点，提出了 “全面防御， 模块定制”的ARP 攻击防御理念，并给出了两种解决方案。 (1) DHCP 监控模式下的 ARP 攻击防御解决方案 这种方式适合动态分配 IP 地址的网络场景，需要接入交换机支持 DHCP Snooping 功能。通过全网部署，可以有效的防御 “仿冒网关”、 “欺骗网关”、 “欺骗终端 用户”、 “ARP 中间人攻击”、 “ARP 泛洪攻击”等校园网中常见的 ARP 攻击方 式；且不需要终端用户安装额外的客户端软件，简化了网络配置。 (2) 认证方式下的 ARP 攻击防御解决方案 这种方式适合网络中动态分配 IP 地址和静态分配 IP 地址共存的网络场景，且只能 防御 “仿冒网关”的ARP 攻击方式。它不需要在接入交换机上进行特殊的防攻击配 置，只需要客户端通过认证协议 （802.1x ）登录网络，认证服务器 （如 CAMS 服务 器）会识别客户端，并下发网关的 IP/MAC 对应关系给客户端，来防御 “仿冒网关” 攻击。 1.1 ARP 攻击简介 按照 ARP 协议的设计，一个主机即使收到的 ARP 应答并非自身请求得到的，也会 将其 IP 地址和 MAC 地址的对应关系添加到自身的 ARP 映射表中。这样可以减少 网络上过多的ARP 数据通信，但也为 “ARP 欺骗”创造了条件。 校园网中，常见的 ARP 攻击有如下几中形式。 (1) 仿冒网关 攻击者伪造 ARP 报文，发送源 IP 地址为网关 IP 地址，源 MAC 地址为伪造的 MAC 地址的 ARP 报文给被攻击的主机，使这些主机更新自身 ARP 表中网关 IP 地址与 MAC 地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的 MAC 地址，导致该用户无法正常访问外网。 图1-1 “仿冒网关”攻击示意图 (2) 欺骗网关 攻击者伪造 ARP 报文，发送源 IP 地址为同网段内某一合法用户的 IP 地址，源 MAC 地址为伪造的 MAC 地址的 ARP 报文给网关；使网关更新自身 ARP 表中原合法用 户的 IP 地址与 MAC 地址的对应关系。这样一来，网关发给该用户的所有数据全部 重定向到一个错误的 MAC 地址，导致该用户无法正常访问外网。 图1-2 “欺骗网关”攻击示意图 (3) 欺骗终端用户 攻击者伪造 ARP 报文，发送源 IP 地址为同网段内某一合法用户的 IP 地址，源 MAC 地址为伪造的 MAC 地址的 ARP 报文给同网段内另一台合法主机；使后者更新自身 ARP 表中原合法用户的 IP 地