Catalyst 交换机对arp攻击抑制实例.doc

Catalyst 交换机对ARP攻击的抑制配置实例 概述: ARP 攻击的现象 ARP攻击的分析 Catalyst 交换机对ARP攻击的抑制 应用配置实例 Gratutious ARP的数据包格式 概述: 目前，很多局域网络都遇到了ARP攻击，典型现象是交换机的日志或Console口上出现大量的地址重复信息（Duplicate address）网络执法官网络剪刀手(NetCut) 1.ARP 攻击的现象 1.1 显示IP地址重复 当LAN遇到网络攻击时，典型的现象是在Console口上或在日志信息显示： 09:12:11: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa 09:12:11: %SYS-5-CONFIG_I: Configured from console by console 09:12:41: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa PC都不能上网，PC ARP表网关IP对应的MAC地址不正确 Vlan 上的PC不能上网，PC ping网关地址不通。 在不能上网的机器上不断显示ARP 表，网关IP对应的MAC地址在不断的变化，偶尔是正确的MAC地址，偶尔是攻击者的MAC地址： C:\Documents and Settings\jiangjunarp -a Interface: 210.53.131.161--- 0x2 Internet Address Physical Address Type 210.53.131.169 00-15-fa-87-3f-c0 dynamic C:\Documents and Settings\jiangjunarp -a Interface: 210.53.131.161 --- 0x2 Internet Address Physical Address Type 210.53.131.169 00-00-d2-34-83-aa dynamic 00-00-d2-34-83-aa 是攻击者的MAC地址。 2．ARP攻击的分析 2.1 攻击过程 实际上攻击过程很简单，主要是利用Gratuitous Arp更改所有VLAN PC的ARP表，攻击者A 发送一个Gratuitous Arp, 广播给同一的所有, 告诉所有PC,? 网关IP对应的MAC地址是攻击者的MAC地址， ? 因此所有PC接到这个Arp公告后，?更改它的arp表，将网关IP地址对应的mac地址改成攻击者的mac地址，因此所有流量并没有发给网关，而是发给攻击者，所有PC不能上网。 Gratuitous ARP的用途 ARP 是用来获得目标IP地址的MAC地址，有一种 ARP 叫做Gratuitous ARP，通常在网络上用来作为特殊用途： A) 检查IP地址重复 主机A为了检查IP地址重复，会发送一个?ratutious Arp 请求，这个请求很特殊，他会询问主机A自己的IP 地址对应的MAC地址是多少，如果有IP地址重复 ，则主机A收到一个响应，则表明有地址重复。 由于攻击者A发送的Gratuitous A 内容中包含网关的IP地址，因此，网关收到后，发现其它PC在通告自己IP的地址，因此网关（交换机）会报IP地址重复信息。B) 更新其他主机的ARP表 如HSRP的主网关A切换到网关B后，B会发送一个ratutious Arp，通知所有PC更换它的ARP表，因此所有PC将流量发送给新的网关BC) 通知交换机更新交换机的CAM表，使得交换机知道mac地址对应哪个端口 如当pc移动后，插在另外一个端口时，pc主动发送gratutious Arp，使得交换机及时更新CAM表 Cisco 交换机可以对Arp包进行分析，rp攻击的本质是篡改了IP地址和MAC地址的对应关系，因此在交换机中的 定义了网关IP地址和其正确MAC地址的对应关系，对于不正确的网关IP地址和地址对应的ARP packet，予以丢弃。C:\Documents and Settings\jiangjunping 210.53.131.169 Pinging 210.53.131.169 with 32 bytes of data: Reply from 210.53.131.169: bytes=32