防ARP等几个概念说明.docVIP

FreeResource、DHCPSnooping、防ARP等概念说明及关系

客户服务中心技术支持部

2007-8-21

TOC\o1-4\h\z\u1. 文档说明 3

2. 概念说明 3

2.1. ARP攻击及欺骗 3

2.1.1. ARPDoS攻击行为 3

2.1.2. ARP欺骗行为 4

2.1.2.1. 针对PC的ARP欺骗行为 4

2.1.2.2. 针对网关的ARP欺骗行为 5

2.2. FreeResource概念 6

2.2.1. DHCPSnooping模式 7

2.2.2. DCBI静态IP-MACACL管理模式 7

2.2.3. 交换机静态配置用户绑定信息模式 7

2.3. DHCPSnooping概念 8

2.3.1. DHCPSnooping与防ARP欺骗和攻击 8

2.3.1.1. Anti-arpscan 9

2.3.1.2. Arpguard应用 9

3. 防ARP攻击及欺骗的解决方案 10

3.1. 绑定Dot1x的DHCPSnooping应用（接入PC使用Dot1x认证） 10

3.1.1. 认证客户端动态获取IP地址 10

3.1.2. 认证客户端静态配置IP地址 14

3.1.2.1. 交换机静态配置用户绑定关系 14

3.1.2.2. DCBI静态绑定IP-MACACL管理方式 19

3.2. 绑定USER的DHCPSnooping应用（接入PC不启用Dot1x） 23

3.2.1. 接入PC动态获取IP模式 23

3.2.2. 接入PC静态配置IP模式 27

4. 总结及建议 31

文档说明

本文档主要对目前防ARP病毒、FreeResource解决方案、DHCPSnooping几个概念和具体技术加以阐述，澄清过去一些模糊说法。

概念说明

ARP攻击及欺骗

ARP攻击及欺骗是目前局域网中经常出现的一个网络异常行为，轻则导致网络内用户无法正常使用网络，重则导致网络设备出现异常，出现整个网络瘫痪，影响整个网络运行。

基于ARP对网络应用产生异常影响的行为模式可以划分为两种：

ARPDoS攻击行为

ARP欺骗行为

ARPDoS攻击行为

ARPDoS攻击行为：将一个网络设备（通常为PC）通过发送大量（可能达到线速）正确的ARP请求或响应报文来阻扰网络设备正常运行的行为定义为ARP攻击行为。

ARPDoS行为中病毒主机发送的ARP报文从报文内容及对网络内其它主机关于病毒主机的ARP表项影响方面来看，其是正确的。但从发送速率对网络上其它设备的影响来看则是不正常的。攻击对象一般为病毒主机的默认网关，路由器或者交换机等等。因为其影响了网络上其它设备对ARP报文的正常处理，被攻击攻击对象（一般为病毒主机的默认网关，路由器或者交换机等等）往往没有资源来响应其它主机的ARP请求，影响网络正常运行。

请看下面一个实例：

故障现象：核心交换机7208下接3926S，3926S下接PC。PC与网关7208时通时断，网络正常时PC及7208上ARP表项均正确，网络不正常时PC学习不到网关ARP信息。

故障原因：3926S某接口下一台PC发送大量的ARP报文，以每秒接近15000个速率向网关发送ARP请求报文，导致网关不能响应其它主机发送的ARP请求报文。

ARP欺骗行为

ARP欺骗行为按照被欺骗对象又分为：

针对PC的ARP欺骗行为

针对网关的欺骗行为

针对PC的ARP欺骗行为

针对PC的ARP欺骗行为：针对PC的ARP欺骗行为是指攻击主机通过主动向被攻击主机发送关于网关的ARPReply报文，导致被攻击主机上关于网关ARP表项变成攻击主机的MAC，从而导致被攻击主机的报文无法通过正确的网关MAC发送出去，从而导致网络中断现象。

攻击实例

某网络中5526SVlan206下接3926S交换机，3926S下PCIP地址属于172.16.206.0/24网段，网关地址为172.16.206.1（MAC为00-03-0F-02-93-82），某主机172.16.206.64、MAC为00-01-80-57-3f

被攻击主机回应此请求：

攻击报文：

攻击主机发送ARPReply报文给被攻击主机，会更改172.16.206.6主机上关于网关172.16.206.1的MAC地址为病毒主机的MAC地址：00-01-80-57-3F-5C

针对网关的ARP欺骗行为

针对网关的ARP欺骗行为：是指攻击主机通过ARP报文更改网关设备（交换机、路由器、防火墙等网络设备）上关于其它主机正确的ARP表项。导致交换机在转发报文时，将报文