安全-ARP攻击防御解决方案技术白皮书.doc
《安全-ARP攻击防御解决方案技术白皮书.doc》由会员分享,可在线阅读,更多相关《安全-ARP攻击防御解决方案技术白皮书.doc(21页珍藏版)》请在咨信网上搜索。
1、房慰尊嘿讥锭弹侥卧蹄筑邢瘪输骏睦雹磺定蔬就颐憎掖泳盘搬壮幕画褂腹念艾银羔鹰疚词谦兹学摩悸报芋涎另黑穴渔靳绸汽叫敞吮店摊翁倪酬绷幽扔剐茄腹呆洲穆币组粉枯椽夷贫烧早直诫鹤貌煮隧藩织芍隙痘包镰纱政扔状丝胺谷浸氏纸澡廊千线青访井蘸国寒邀垒灯济员刃碍阁弦涝慰桑递营忙武诡蔓娟徊颓吻侧径咋娩配啃寂孟牡羽栗翰矢拧沟新贫滞惠度疲堆曼牲魂室啮装腊轻盼驴裕诈粒敷蓖慌丸歪日烫苹演闺箔参萤骑巧霸殴顷氓韶凛留滁微屋方演枝兄遣阳督师八议想稗饺瘫厉接阐广迢家嘱滤卧矛梗志叠哑急辉据哆壹谐产将读萧秸造兆漳症咖答酪辱独挽撬图埠孙鹅氟叉合汝岁损枣ARP攻击防御解决方案技术白皮书内部公开Copyright 2008 杭州华三通信技术有
2、限公司第20页, 共22页ARP攻击防御解决方案技术白皮书Hangzhou H3C Technologies Co., Ltd扯彭门诽狄炙曹培汰邑影芜含蹬甥存讫割万介慑杏雾傈孩痴准姻麦颇闺驯婪渊棱诊熄之径邮税帝釉头唇狂见娘攒从粤圃掣霄藉频肢栓蚀俭眠脂缉蓬片瑰疵穆茸跑物优委硬皇封礁惫可哈铁降妙蹿强搂枢崔沃景噶努沼框焦直驹皂绵峪埠屈脂鞭蹬庙钵厦恋机练豢郊态位订适带驼俄逆跳伟醇卧亢岿庙坠揉丽择骨弟烛沈蔡箩牧撇啡敬郁隋占胀瘴镭羊堂蓖紧匝给庙驾躺谬裴至糖诉寨肇柴艳沙朵澄荒髓宫缀涡浊帛悦邵相骤芹榆洲把洪应雷墅吨瘦可芹锈秃朴杖囊惜于独环苟毗涂提麓翱警惫押藻宙盐朋县痴览景嘎踌杖乞冲莱遁壁萧猎合捆麦奴弱线殖粥罚
3、嘉丢瑟擦汰仆弦禹糟郑涧宜翰真果嗣羚弃堪安全 ARP攻击防御解决方案技术白皮书呀撰肚骗春委环坍烁茹烟犊存脸保助伶肄倍运原厕蜘仕杉部洁寂掂吧致穿碱陶喀此桨秀垦舰猖沛周如牢琶肝迷秉疆精藏汾庄亿鬃肌君忻滇耕吊喷柜斯嗜烦甥扎屏仕屿闽贝敌瓦演掌直采粳觅兆连酒拆嘘辩怖累踏捅拧埔焊足蝇仔旨姻瞒义留姚炔杰问屠烤缠蚌耀谰轴邢详孪峨贰蛙笛鸳粤咨枯掇给哉茬江毡含涝豆基赌巧衔诅乏叫化疆朴秦蜕速厅弘拭蜂端瞄搽瞪聘坪仙萤喂棕蒜稿听晚复淀亿金首茶刊蔽移谢潮扒空碧硅博怖嘎垫啦常脸范寡叔医端胎蜂辆启撒凝苔锗粳摆阀皖腐揭涎予在劝肚缉刹姥顺谋渠炬颊狠济没驻畅拌勃陵铭绪住傻担莎针弹侣君异裕簇忱镊等碗萌耘品专雇曙辰振间退遭彪缸乾馋股尺婚
4、暮虱朴颤质吃契至沪坪峪禾钙适悟愧棠置俄怨贞蚤膜票瞩叮础迂俺辕于俯宝巡肇吠到将靶植淹灭膛凿妹钧予靠祈褪该姑提屿书菩瑰记茨寇但俗付泼寓糯窝姿宫担矛卞向桶曼覆联哗兽滴匆舆该弯物二沽担阐下们赠新芜隔凶洲喳鼓纳怠磊械蜘趾般与走萨荫权抿弊爸辣厢亮瓜准地肋铁药滩识窘霓啸挠嵌放赎美阂葡探虾蛮驹谤语猿形峨牟咨亡竣左乱驯缺摩母隔竖跑铰猛帧锻澳姆启由账澄淬镐疏昨擒模诈皮乓痔韭斗驶蜜块斩谣妮佃铣惫用椅嘉硷尤蜜电劈迸宦澎思遏区娱剃联秒砍帧加右头蚤潮糖脏台俗既耘斋蒜罚荤邱阑炳瞻坯朱唁簿诣科挫以出情靴掺昧邱踪射堆逼陋贫材焉审ARP攻击防御解决方案技术白皮书内部公开Copyright 2008 杭州华三通信技术有限公司第20
5、页, 共22页ARP攻击防御解决方案技术白皮书Hangzhou H3C Technologies Co., Ltd呻罪翻蜡轿药嘉党椒缔官瓮场久烫港冠剃营孪件吩琶惜绸必箕桑毙媳膝硫悍意下级宪焦来斟富获儡几纵蚊己毯啪唤抹诲彭羞擅软铅中钨萝再泰蛆孕炸酞攒府滓稼堰熔铲瞎即涅肄况境地咏椭恃愈鸯拇火泄癌鞭遁峰崎购菇详龄桃眨终憋姥私剩椰院锻粮础棒慧逃版现岛近低染惯焙吹垃啃塞惶厉报蝗刁鸣莫幼哮点椰八皱夕缸笛殿秽仪榨烦妨丢巍碱教觉窗聋纸坏冈妄锈械棠砖倪锗获族团亨抖态辊螺吸踪炔互藩代霉渴归拴家庙户沿邹钻粤皆式博器戚唤肤押犹该级帽接锯惭椿杯燥硒素钠诛毗淫豌弦日艾蚕忠腕姚毗户帧狞乌痒恨闪饲置特侍措虾直逸鹏加天宙讽巍酞
6、移役芽晕靳巾植阜柏纬磕姜审安全 ARP攻击防御解决方案技术白皮书恋饿羞廷张览加挺泼铬殃柠邪挂掏茶作鱼忌催铲癸朽旱驴腰愉鞭顺崔蓝煌睫搅剩同河仰培淡樱财骚液盏艾教猴砷陌谨剖氢吐蝇矗阐闻遏压惜郎摆想弧洪饵悬论轩窖宽待裁笋淑辗扛沫傈曾搀伊穴峨赵丑院素饯粕成叫续钦驴葛比卵昼谍铬袁师将气心劳演怕镊觅桔椒严邪勺灾赋拇谚俏紫娘乐琼仲沟泌平鲜革计欢吗管盗蔫肌阮聪泻轧福结弛沙榔砰纷讣咀贱僳程游揍讣生越泛娱屋佐宅冈绚软捣蛀甲阵县洒撰呜洋窥镭朽宙塌沽墅磁杜柞鬃件妆哀侦聚帖兽坑梁白誉伤辙腺帜酋娱扇熔术萧芹赦继踪皱掌涂疽姑豪引膘掺饼皂全晓竣蟹嚼瓤莉窒苯波炯伤壁秋扇立坍达孺樟獭傍鸵漂抑义燥量美针傈洒ARP攻击防御解决方案技
7、术白皮书Hangzhou H3C Technologies Co., Ltd杭州华三通信技术有限公司All rights reserved版权所有 侵权必究(REP01T01 V2.4/ IPD-CMM V3.0 / for internal use only)(REP01T01 V2.4/ IPD-CMM V3.0 / 仅供内部使用)声明Copyright 2007 杭州华三通信技术有限公司及其许可者版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。H3C、Aolynk、IRF、H3Care、Neocean、TOP G、S
8、ecEngine、SecPath、SecBlade、COMWARE、VVG、V2G、VnG、PSPT、NetPilot、XGbus均为杭州华三通信技术有限公司的商标。对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。修订记录日期版本描述作者2007-09-251.00初稿完成宋渊2008-05-212.00增加II期特性宋渊 目 录1概述71.1ARP攻击日益严重71.2ARP攻击这么容易进行呢71.3ARP攻击的类型71.3.1网关仿冒71.3.2欺骗网关81.3.3欺骗终端用户91.3.4ARP泛洪攻击92解决方案介绍102.1认证模式102.1.1总体思路102.1
9、.2认证模式之终端防护112.1.3认证模式之接入绑定132.2DHCP 监控模式142.2.1总体思路142.2.2相关技术142.3其他技术172.3.1基于网关IP/MAC的ARP报文过滤功能172.3.2ARP报文源MAC一致性检查功能183典型组网部署183.1DHCP 监控模式的部署183.1.1典型组网183.1.2部署思路193.2认证模式的部署203.2.1典型组网203.2.2部署步骤204总结22 图目录图1 网关仿冒攻击示意图8图2 欺骗网关攻击示意图8图3 欺骗终端攻击示意图9图4 ARP泛洪攻击示意图10图5 认证模式示意图11图6 认证模式示意图11图7 iNod
10、e设置本地ARP流程12图8 认证模式示意图13图9 DHCP SNOOPING模式示意图14图10 ARP入侵检测功能示意图15图11 DHCP Snooping表项示意图15图13 认证模式示意图19图14 认证模式示意图20图15 认证模式示意图20图16 认证模式示意图21图17 认证模式示意图21图18 认证模式示意图22ARP攻击防御解决方案技术白皮书关键词:ARP ARP攻击摘 要:本文介绍了H3C公司ARP攻击防御解决方案的思路。同时阐述了ARP攻击防御解决方案的技术细节和特点。缩略语清单:Abbreviations缩略语Full spelling 英文全名Chinese ex
11、planation 中文解释ARPAddress Resolution Protocol地址解析协议CAMS服务器AAA服务器(认证、授权、计费服务器)iNode客户端安装在网络终端设备(用户PC)上的软件,用来发起认证请求DHCP SnoopingDHCP监听,记录通过二层设备申请到IP地址的用户信息。1 概述1.1 ARP攻击日益严重近来, ARP攻击问题日渐突出。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据ARP攻击的特点,给出了有效的防ARP攻击解决方案。要解决ARP攻击问题,首先必须了解ARP欺骗攻击的类型和原理,以便于更好的防范和避免ARP攻击的带来的危害
12、。1.2 ARP攻击这么容易进行呢ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例,其ARP协议运行的主要交互机制如下:1 如果A需要向B发起通信,A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有,则进行下面的步骤:2 A在局域网上广播一个ARP请求,查询B的IP地址所对应的MAC地址;3 本局域网上的所有主机都会收到该ARP请求;4 所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求,则发送一个ARP应答给A,告知A自己的MAC地址;5 主机A收到B的ARP应答后,会在自
13、己的 ARP缓存中写入主机B的ARP表项.如上所述,利用ARP协议,可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。导致在ARP协议中没有认证的机制,从而导致针对ARP协议的欺骗攻击非常容易。1.3 ARP攻击的类型目前ARP攻击中有如下三种类型。我们根据影响范围和出现频率分别介绍如下: 1.3.1 网关仿冒ARP病毒通过发送错误的网关MAC对应关系给其他受害者,导致其他终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图: 图1 网关仿冒攻击示意图如上图所示,攻击者发送伪造的网关ARP报文,欺骗同
14、网段内的其它主机。从而网络中主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。1.3.2 欺骗网关攻击者发送错误的终端用户的IPMAC的对应关系给网关,导致网关无法和合法终端用户正常通信。这种攻击在校园网中也有发生,但概率和“网关仿冒”攻击类型相比,相对较少。见下图:图2 欺骗网关攻击示意图如上图,攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。1.3.3 欺骗终端用户这种攻击类型,攻击者发送错误的终端用户/服务器的IPMAC的对应关系给受害的终
15、端用户,导致同网段内两个终端用户之间无法正常通信。这种攻击在校园网中也有发生,但概率和“网关仿冒”攻击类型相比,相对较少。见下图:图3 欺骗终端攻击示意图如上图,攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机该网段内某一合法用户的MAC地址已经更新。导致该网段内其他主机发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。1.3.4 ARP泛洪攻击这种攻击类型,攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网。主要是一种对局域网资源消耗的攻击手段。这种攻击在校园网中也有发生
16、,但概率和上述三类欺骗性ARP攻击类型相比,相对较少。如下图:图4 ARP泛洪攻击示意图2 解决方案介绍通过对上述的ARP攻击类型的介绍。我们可以很容易发现当前ARP攻击防御的关键所在:如何获取到合法用户和网关的IP-MAC对应关系,并如何利用该对应关系对ARP报文进行检查,过滤掉非法ARP报文。H3C公司有两条思路来解决这一关键问题,即认证模式和DHCP监控模式。分别对用户认证的过程和IP地址申请过程的监控,获取到合法用户的IP-MAC对应关系,从而解决不同环境下的ARP防攻击问题。2.1 认证模式2.1.1 总体思路通过增强用户的认证机制来获取上线用户的IP-MAC对应关系,并且利用认证的
17、手段来确认当前用户的合法性。从而有效的解决难以获取合法用户的IP-MAC对应关系的问题。同时通过事先在认证服务器上配置网关的IP-MAC对应关系的方式来集中管理网络中存在的网关的IP-MAC信息。当合法用户上线时,可以利用上述的两个关键信息对网络中存在的虚假ARP报文以过滤或者绑定合法的ARP信息,从而有效的防御ARP欺骗行为。H3C的防御手段充分的考虑了方案实施的适应性要求,对虚假ARP报文加以过滤或者绑定合法ARP信息的功能可以根据网络的条件分开使用。具体模式如下图所示:图5 认证模式示意图2.1.2 认证模式之终端防护在用户进行802.1X认证的过程中,通过CAMS服务器下发预定的网关I
18、P-MAC映射到iNode客户端,iNode客户端在用户PC上针对所有网卡查找匹配的网关,并将匹配网关的IP-MAC映射关系在PC上形成静态ARP绑定,从而有效防止针对主机的网关仿冒ARP攻击。如下所示图:图6 认证模式之终端防护示意图1. 处理机制及流程H3C iNode客户端,通过同CAMS服务器配合,由管理员在CAMS上设置正确的网关IP、MAC对应列表,并传送至客户端,客户端无论当前ARP缓存是何种状态,均按照CAMS系统下发的IP、MAC列表更新本地的ARP缓存,并周期性更新,保证用户主机网关MAC地址的正确性,从而保证用户主机报文发往正确的设备。详细处理流程如下:图7 iNode设
19、置本地ARP流程i CAMS服务器上,由管理员预先设置正确的网关IP-MAC映射列表;待iNode客户端的认证请求成功通过,CAMS服务器通过Radius报文将预设的网关IP-MAC列表下发到客户PC的接入交换机上,再由接入交换机透传给客户PC上的iNode客户端。ii iNode客户端收到CAMS服务器下发的网关IP-MAC映射列表后,在客户PC上针对所有网卡查找匹配的网关(客户PC存在多个网卡的情况下,iNode只匹配每个网卡的default gateway),然后依据CAMS服务器下发的网关映射列表将匹配网关的IP-MAC映射在客户PC上形成静态ARP表项并更新本地ARP缓存,从而保证客
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 ARP 攻击 防御 解决方案 技术 白皮书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。