局域网对付网络执法官之类的ARP欺骗攻击的方法
Author: phanx
-------------------------------------------------------------------------------
ARP欺骗攻击的原理是通过快速发送大量伪造的ARP请求或是应答包来修改机器的ARP缓存,达到欺骗的目的,要对付它,可以从两个方面入手,一是根本就不让这些包发出去,这是最好的了。二是减慢其发包的速度。我们知道,攻击包中的源MAC地址必定是一个伪造的MAC地址,一般情况下,交换机收到这样的包后就会进行地址学习,将其加入到MAC地址表中。
通过配置端口安全,限制了每个端口上的最大MAC地址数目,比如限制为1。交换机一旦学习到某个MAC地址之后,在这个端口上就会停止学习新的地址,只到超时后才会学习新的MAC地址.而在超时的时间范围内,交换机会比较从这个端口收到的帧的源MAC地址和先将学习到的MAC地址,如果不匹配,这个端口将会被禁用,只到超时才会重新开户.这就极大的减慢了ARP攻击包的发送速度,当包的发送速度减慢后,也就达不到攻击的效果了。此外交换机一旦学到了新的MAC地址后,其原来的MAC地址也就丢掉了,攻击者自己就掉线。所以我认为,这种方法可以有效的阻止ARP攻击。
另外一种解决方法就是限制ARP包的发送速度。将多余的ARP包丢弃掉。通过适当的调整参数。不会对正常的通信造成影响。
-------------------------------------------------------------------------------
这个方法的确可以控制这样的ARP欺骗,但是,对于宿舍网这样的环境,MAC地址不可能为1,因为一个寝室不可能就一台电脑嘛. 假设允许的的MAC为2,那么网络执法官就可以正常的完成攻击. 因为只用伪造出一个MAC地址来进行IP冲突就行了
第二种方法正是下面要讲的方法的其中一个功能.
这里就需要使用Cisco交换机提供的一个特性,叫做 ARP Inspection(ARP检查).
先讲讲 ARP Inspection的原理:ARP检查可分为DHCP环境下的动态ARP检查和非DHCP环境下的动态ARP检查两种情况。ARP检查中,将交换机的端口分为两种口,可信任口(trust port)和非可信口(untrust port)
交换机通过检查非信任端口的ARP请求和应答,在它转发ARP包或者更新本地ARP缓存之前先校验是否是合法的IP-MAC地址配对,并将非法的ARP包丢弃来确保ARP的安全性。
DHCP 环境下的ARP检查通过一个交换机上存放的一个可信任数据库---DHCP侦听绑定数据库(DHCP snooping binding database)来校验ARP包的合法性。DHCP侦听绑定数据库是通过在VLAN中开启DHCP Snooping功能后交换机自动建立的。(phanx注: 关于DHCP Snooping,我在"采用IP source guard技术解决IP地址盗用的方法"一文中有讲到.)
非DHCP环境下的动态ARP检查是根据用户配置的ARP访问控制列表(ACLs)来进行ARP包的合法性验证。
宿舍网就是一个DHCP环境,那么我们就可以采用DHCP snooping + ARP Inspection 来防止网络执法官.
启用ARP检查的配置很简单:
Switch(config)# ip arp inspection vlan vlan-range
对于连接三层交换机的口要配置一句 trust.
Switch(config-if)# interface GigaEthernet0/0
Switch(config)# ip arp inspection trust
另外,限制ARP包速率用这条命令.
ip arp inspection limit {rate pps [burst interval seconds] none}
ARP Inspection还有一个好处就是对网关地址的保护.
-----------------------------------------------------------------------------
通过把交换机的连接用户的端口设为untrust端口,并设置ARP ACLs,来阻止所有宣告自己为网关地址的MAC的ARP请求和应答,从而保护了正确的网关IP-MAC地址配对。
对于交换机上联与交换机之间的端口需要设为trust端口允许真正的网关进行ARP请求和应答
-------------------------------------------------------------------------------
ARP欺骗攻击的原理是通过快速发送大量伪造的ARP请求或是应答包来修改机器的ARP缓存,达到欺骗的目的,要对付它,可以从两个方面入手,一是根本就不让这些包发出去,这是最好的了。二是减慢其发包的速度。我们知道,攻击包中的源MAC地址必定是一个伪造的MAC地址,一般情况下,交换机收到这样的包后就会进行地址学习,将其加入到MAC地址表中。
通过配置端口安全,限制了每个端口上的最大MAC地址数目,比如限制为1。交换机一旦学习到某个MAC地址之后,在这个端口上就会停止学习新的地址,只到超时后才会学习新的MAC地址.而在超时的时间范围内,交换机会比较从这个端口收到的帧的源MAC地址和先将学习到的MAC地址,如果不匹配,这个端口将会被禁用,只到超时才会重新开户.这就极大的减慢了ARP攻击包的发送速度,当包的发送速度减慢后,也就达不到攻击的效果了。此外交换机一旦学到了新的MAC地址后,其原来的MAC地址也就丢掉了,攻击者自己就掉线。所以我认为,这种方法可以有效的阻止ARP攻击。
另外一种解决方法就是限制ARP包的发送速度。将多余的ARP包丢弃掉。通过适当的调整参数。不会对正常的通信造成影响。
-------------------------------------------------------------------------------
这个方法的确可以控制这样的ARP欺骗,但是,对于宿舍网这样的环境,MAC地址不可能为1,因为一个寝室不可能就一台电脑嘛. 假设允许的的MAC为2,那么网络执法官就可以正常的完成攻击. 因为只用伪造出一个MAC地址来进行IP冲突就行了
第二种方法正是下面要讲的方法的其中一个功能.
这里就需要使用Cisco交换机提供的一个特性,叫做 ARP Inspection(ARP检查).
先讲讲 ARP Inspection的原理:ARP检查可分为DHCP环境下的动态ARP检查和非DHCP环境下的动态ARP检查两种情况。ARP检查中,将交换机的端口分为两种口,可信任口(trust port)和非可信口(untrust port)
交换机通过检查非信任端口的ARP请求和应答,在它转发ARP包或者更新本地ARP缓存之前先校验是否是合法的IP-MAC地址配对,并将非法的ARP包丢弃来确保ARP的安全性。
DHCP 环境下的ARP检查通过一个交换机上存放的一个可信任数据库---DHCP侦听绑定数据库(DHCP snooping binding database)来校验ARP包的合法性。DHCP侦听绑定数据库是通过在VLAN中开启DHCP Snooping功能后交换机自动建立的。(phanx注: 关于DHCP Snooping,我在"采用IP source guard技术解决IP地址盗用的方法"一文中有讲到.)
非DHCP环境下的动态ARP检查是根据用户配置的ARP访问控制列表(ACLs)来进行ARP包的合法性验证。
宿舍网就是一个DHCP环境,那么我们就可以采用DHCP snooping + ARP Inspection 来防止网络执法官.
启用ARP检查的配置很简单:
Switch(config)# ip arp inspection vlan vlan-range
对于连接三层交换机的口要配置一句 trust.
Switch(config-if)# interface GigaEthernet0/0
Switch(config)# ip arp inspection trust
另外,限制ARP包速率用这条命令.
ip arp inspection limit {rate pps [burst interval seconds] none}
ARP Inspection还有一个好处就是对网关地址的保护.
-----------------------------------------------------------------------------
通过把交换机的连接用户的端口设为untrust端口,并设置ARP ACLs,来阻止所有宣告自己为网关地址的MAC的ARP请求和应答,从而保护了正确的网关IP-MAC地址配对。
对于交换机上联与交换机之间的端口需要设为trust端口允许真正的网关进行ARP请求和应答
posted by 浩林 | 1:44 上午
0 Comments:
发表评论
<< Home