【精品IT解决方案】ARP攻击防御解决方案.ppt

“全面防御，模块定制”H3C ARP攻击防御解决方案,日期：2007.11,密级：公开,杭州华三通信技术有限公司,胶片说明,本胶片适合公司内部培训和外部交流使用。本胶片的解决方案现H3C全部可以实现：DHCP SNOOPING CAMS+iNode配合进行客户端绑定，和接入设备弱相关。我司的解决方案不仅限于这两种方式，其他方案后续推出，如有需求可以和网络产品部解决方案沟通。,校园网ARP攻击分析H3C ARP攻击防御解决方案,提纲,ARP协议介绍,ARPAddress Resolution Protocol地址解释协议,帧类型0 x0806,ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的,ARP攻击利用ARP协议本身的缺陷来实现！,可以利用帧类型来识别ARP报文,ARP欺骗攻击仿冒网关,攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。,正常用户A,网关G,网关MAC更新了,已更新,发送伪造ARP信息,攻击者B,网关的 MAC is 2-2-2,ARP表项更新为,数据流被中断,这种攻击为ARP攻击中最为常见的攻击,ARP欺骗攻击欺骗网关,攻击者伪造虚假的ARP报文，欺骗网关网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网,正常用户A,网关G,用户A的MAC更新了,已更新,发送伪造ARP信息,攻击者B,用户A的MAC is 2-2-2,ARP表项更新为,数据流被中断,ARP欺骗攻击欺骗终端用户,攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。,正常用户A,网关G,用户C的MAC更新了,知道了,发送伪造ARP信息,攻击者B,用户C的MAC is 2-2-2,ARP表项更新为,数据流被中断,ARP泛洪攻击,攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网,正常用户A,网关G,用户A、A1、A2、A3的MAC更新了,已更新,发送大量伪造ARP信息,攻击者B,1.1.0.2 MAC is 2-2-2,ARP表项被占满,ARP表项无法学习,1.1.0.3 MAC is 2-2-3,1.1.0.4 MAC is 2-2-4,1.1.1.103 MAC is 3-3-3,ARP攻击防御的三个控制点,网关G,用户,接入设备,网关防御 合法ARP绑定，防御网关被欺骗 ARP数量限制，防御ARP泛洪攻击,1,接入设备防御 网关IP/MAC绑定，过滤掉仿冒网关的报文 合法用户IP/MAC绑定，过滤掉终端仿冒报文 ARP限速,2,校园网ARP攻击分析,ARP攻击类型,校园网中，各种ARP攻击类型都发生过。主要的攻击方式是网关仿冒（大约占80的比例）。,关键问题分析,现网设备情况：学校网络设备款型比较老，也比较杂 终端安装可行性：学校一般不会安装多个客户端。IP地址分配情况：静态和动态IP地址分配方式都有。用户很多，如果是静态无法采 用手工的模式来绑定合法用户的IP-MAC对应关系,现有网络结构,有些采用大二层的网络结构，核心设备做网关。,难点：校园网情况复杂,ARP攻击防御解决思路,设备利旧,告警能力,出于校园网设备利旧考虑，ARP防攻击方案应该是多个功能点的集合。以便于适应多种校园网的实际状况，并且要尽可能减小对设备的依赖。,发现ARP攻击后应该有告警能力，以便于管理人员对感染ARP病毒的主机进行取证。,思路,尽可能减少校园网投资，解决老师头疼的问题。,网络优化,建议对现有不合理的网络结构进行优化，采用标准的三层结构，汇聚层做网关。,校园网ARP攻击分析H3C ARP攻击防御解决方案,提纲,防御ARP攻击的关键,H3C ARP防范方案DHCP 监控模式,监控DHCP交互报文获取合法用户的IP-MAC-port关系在接入交换机上绑定，实现对ARP报文的检查，过滤掉所有非法报文。,网关,接入设备,DHCP,DHCP响应,DHCP请求,终端,监控DHCP报文实现用户的IP和MAC绑定配置实现网关的IP和MAC绑定ARP限速,DHCP Snooping模式,方案适合场景全网采用动态分配IP地址方式接入交换机采用H3C支持DHCP Snooping的产品，比如E126A，E152解决方案第一步：接入交换机通过DHCP Snooping监控用户动态申请IP的过程，获取用户的IP-MAC对应关系第二步：接入交换机将用户的IP-MAC-PORT对应关系进行绑定。接入交换机形成保护屏障，过滤掉所有ARP攻击报文。,配置命令全局模式：dhcpsnooping（全局开关）VLAN模式：ARP detection enable：（使能ARP detection enable检测，限制ARP报文数量）上行接口：ARP detection trust（将上行口配置为信任接口不检查ARP）,H3C ARP防范方案认证模式,利用认证客户端在终端上绑定网关ARP表项。,网关,接入设备,CAMS,终端,监控认证报文实现用户的IP和MAC绑定配置实现网关的IP和MAC绑定ARP线速,CAMS下发实现用户和重要服务器的IP和MAC绑定,CAMS下发实现网关的IP和MAC绑定,网关防御,接入设备防御,客户端防御,方案适合场景网络配置H3C CAMS和iNODE客户端。解决方案第一步：在H3C CAMS配置网关的IP-MAC绑定关系第二步：把IP-MAC对应关系下发给iNODE客户端绑定问题分析此方案适合只能解决仿冒网关，无法解决客户端之间的欺骗（这种攻击的几率较小）。,认证模式,认证模式之客户端绑定实现过程（一）,步骤一、在CAMS上配置网关绑定关系,步骤二、在CAMS上配置网关绑定关系,部署三步曲：,认证模式之客户端绑定实现过程（二）,步骤三、在CAMS上配置网关绑定关系,认证模式之客户端绑定实现过程（三）,用户正常上线,PC上生成静态ARP表项,认证绑定 Vs.DHCP SNOOPING,对网络设备的依赖小，对接入交换机和网关的绑定可以根据网络状况分别使用。适应静态IP地址的环境使用，适合目前多数学校现状。,认证绑定模式,优点,局限性,需要安装客户端需要采用H3C认证方式,可以保证网络无非法ARP报文传播，从根本防御ARP攻击 纯网络层面实现，不需要用户安装客户端。对用户应用没有影响,要求用户采用DHCP动态获取IP的方式以过滤非法报文为防御措施，要求同网段全网部署 对接入交换机的型号、版本有很强的依赖,优点,局限性,H3C ARP防御方案种类多多，适应校园网不同需求，每种方案均可以最大程度解决令老师头疼的ARP攻击问题,全面防御,1,模块定制,2,H3C ARP防御方案可以实现用户端、接入端和网关三种模块绑定，校园网用户可以选择任何一个模块的绑定或者三种模块绑定的组合，实现ARP防御方案的模块化和可裁剪。,“全面防御，模块定制”H3C ARP防御解决方案,H3C 校园网ARP防御解决方案,网关,S3600-28P-EI,DHCP,DHCP响应,DHCP请求,终端,监控DHCP报文实现用户的IP和MAC绑定配置实现网关的IP和MAC绑定ARP限速,东北大学宿舍网,S3600-28P-EI,H3C ARP防御案例,网络已经运行一段时间，老师反映效果非常好，经过改造的网络没有再次出现因为ARP病毒导致无法上网的问题。,网关,S3900-EI/SI/E026,DHCP,DHCP响应,DHCP请求,终端,监控DHCP报文实现用户的IP和MAC绑定配置实现网关的IP和MAC绑定ARP限速,南京师范大学校园网,H3C ARP防御案例,S3900-EI/SI/E026,