DCN-TS16ARP欺骗与DCN防御手段(v11)

1、DCN-TS16 ARP欺骗与DCN防御手段Version 1.0学习目标标学完本课课程，您您应该能能够：深刻理解解ARP协议原理理及其攻攻击手段段深刻理解解相应的的防御手手段及其其原理ArpGuardDhcp SnoopingBinding ARPBinding UserControlBinding Dot1xAnti-Arpscan熟练掌握握相关协协议的配配置、特特点及其其针对点点掌握相关关协议的的分析及及TroubleShooting2课程内容容第一章ARP协议原理理及其攻攻击手段段第二章DCN防御手段段及原理理第三章DCN防御协议议配置第四章典典型型配置案案例3ARP协协议介绍绍ARP

2、，全称Address ResolutionProtocol，中文名名为地址址解析协协议，它它工作在在数据链链路层，在本层层和硬件件接口联联系，同同时对上上层提供供服务。IP数据据包常通通过以太太网发送送，以太太网设备备并不识识别32位IP地址，它们是是以48位以太太网地址址传输以以太网数数据包。因此，必须把把IP目目的地址址转换成成以太网网目的地地址。在在以太网网中，一一个主机机要和另另一个主主机进行行直接通通信，必必须要知知道目标标主机的的MAC地址。但这个个目标MAC地地址是如如何获得得的呢？它就是是通过地地址解析析协议获获得的。ARP协议用用于将网网络中的的IP地地址解析析为的硬硬件地址

3、址（MAC地址址），以以保证通通信的顺顺利进行行。4ARP的的工作原原理ARP的工作原原理：1.首首先，每台主主机都会会在自己己的ARP缓冲区(ARPCache)中建立一一个ARP列表，以以表示IP地址和MAC地址的对对应关系系。2.当当源主主机需要要将一个个数据包包要发送送到目的的主机时时，会首首先检查查自己ARP列表中是是否存在在该IP地址对应应的MAC地址，如如果有就直接接将数据据包发送送到这个个MAC地址；如如果没有有，就向向本网段段发起一一个ARP请求的广广播包，查询此此目的主主机对应应的MAC地址。此此ARP请求数据据包里包包括源主主机的IP地址、硬硬件地址址、以及及目的主主机的I

4、P地址。3.网网络中中所有的的主机收收到这个个ARP请求后，会检查查数据包包中的目目的IP是否和自自己的IP地址一致致。如果果不相同同就忽略略此数据据包；如如果相同同，该主主机首先先将发送送端的MAC地址和IP地址添加加到自己己的ARP列表中，如果ARP表中已经经存在该该IP的信息，则将其其覆盖，然后给给源主机机发送一一个ARP响应数据据包，告告诉对方方自己是是它需要要查找的的MAC地址；4.源源主机机收到这这个ARP响应数据据包后，将得到到的目的的主机的的IP地址和MAC地址添加加到自己己的ARP列表中，并利用用此信息息开始数数据的传传输。如如果源主主机一直直没有收收到ARP响应数据据包，表

5、表示ARP查询失败败。5RARP的工作作原理RARP的工作原原理：1.发发送主主机发送送一个本本地的RARP广播，在在此广播播包中，声明自自己的MAC地址并且且请求任任何收到到此请求求的RARP服务器分分配一个个IP地址；2.本本地网网段上的的RARP服务器收收到此请请求后，检查其其RARP列表，查查找该MAC地址对应应的IP地址；3.如如果存存在，RARP服务器就就给源主主机发送送一个响响应数据据包并将将此IP地址提供供给对方方主机使使用；4.如如果不不存在，RARP服务器对对此不做做任何的的响应；5.源源主机机收到从从RARP服务器的的响应信信息，就就利用得得到的IP地址进行行通讯；如果一

6、一直没有有收到RARP服务器的的响应信信息，表表示初始始化失败败。6ARP报报文结构构硬件类型协议类型硬件地址长度协议长度操作类型发送方的硬件地址（0-3字节）源物理地址（4-5字节）源IP地址（0-1字节）源IP地址（2-3字节）目标硬件地址（0-1字节）目标硬件地址（2-5字节）目标IP地址（0-3字节）7ARP协协议报文文-Request8ARP协协议报文文-Reply9ARP协协议报文文-Gratuitous10常见的ARP攻攻击手段段ARP扫描网关欺骗骗单播Request方式单播Reply方式广播Request方式主机欺骗骗单播Request方式单播Reply方式广播Request方

7、式11ARP攻攻击手段段ARP扫描描12ARP攻攻击手段段-网网关(主主机)欺欺骗/单单播Request13ARP攻攻击手段段-网网关(主主机)欺欺骗/单单播Reply14ARP攻攻击手段段-网网关欺骗骗-广广播Request15课程内容容第一章ARP协议原理理及其攻攻击手段段第二章DCN防御手段段及原理理第三章DCN防御协议议配置第四章典典型型配置案案例16Arp-Guard-介绍绍ARP协协议的的设计存存在严重重的安全全漏洞，任何网网络设备备都可以以发送ARP报报文通通告IP 地址址和MAC地地址的映映射关系系。这就就为ARP欺欺骗提供供了可乘乘之机，攻击者者发送ARPrequest报文文

8、或者ARPreply报报文通通告错误误的IP 地址址和MAC地地址映射射关系，导致网网络通讯讯故障。ARPGuard功功能常常用于保保护网关关不被攻攻击，如如果要保保护网络络内的所所有接入入PC不不受ARP欺骗骗攻击，需要在在端口配配置大量量受保护护的ARPGuard地地址，这这将占用用大量芯芯片FFP表表项资源源，可能能会因此此影响到到其它应应用功能能，并不不适合。17Arp-Guard-原理理主要攻击击形式（如上图图）：ARP欺骗的危危害主要要表项为为两种形形式：1、PC4发送ARP报文通告告PC2的IP地址映射射为自己己的MAC地址，将将导致本本应该发发送给PC2的IP报文全部部发送到到

9、了PC4，这样PC4就可以监监听、截截获PC2的报文；2、PC4发送ARP报文通告告PC2的IP地址映射射为非法法的MAC地址，将将导致PC2无法接收收到本应应该发送送给自己己的报文文。特别别是如果果攻击者者假冒网网关进行行ARP欺骗，将将导致整整个网络络瘫痪。防御手段段：我们利用用交换机机的过滤滤表项保保护重要要网络设设备的ARP表项不能能被其它它设备假假冒。基基本原理理就是利利用交换换机的过过滤表项项，检测测从端口口输入的的所有ARP报文，如如果ARP报文的源源IP地址是受受到保护护的IP地址，就就直接丢丢弃报文文，不再再转发。L3交换机PC1PC2PC3PC4PC5PC6HUBABCD1

10、8DHCP Snooping-介介绍（1）防伪装DHCP Server：DHCP Snooping最初的应应用是为为了防止止用户私私设DHCP服务器，通过启启用DHCP Snooping，将交换机机上各端端口定义义为Trust接口和Untrust接口，在在Untrust接口判断断是否有有DHCP Server才能发送送的DHCPOFFER、DHCPACK、DHCPNAK报文，如如果截获获到这些些报文，将发出出警告并并做出相相应反应应（shutdown该接口或或者下发发blockhole）。防DHCP过载攻击击：DHCP Snooping要对信任任端口和和非信任任端口做做DHCP收包限速速，防止

11、止过多的的DHCP报文攻击击CPU，实现了防防止DHCP过载攻击击，防止止过多的的DHCP报文耗尽尽CPU资源。记录DHCP绑定数据据：DHCP Snooping在转发DHCP报文的同同时，记记录DHCP SERVER分配的绑绑定数据据，并可可以把绑绑定数据据上载到到指定的的服务器器进行备备份。添加绑定定ARP：DHCP Snooping捕获到绑绑定数据据之后，可以根根据绑定定数据中中的参数数添加静静态绑定定ARP，这样可以以防止交交换机的的ARP表项欺欺骗。19DHCP Snooping-介介绍（2）添加信任任用户:DHCP Snooping捕获到绑绑定数据据之后，可以根根据绑定定数据中中的

12、参数数添加添添加信任任用户表表项，这这样这些些用户就就可以不不经过DOT1X认证而访访问所有有资源。自动恢复复:交换机shutdown端口或者者下发blockhole一段时间间后，交交换机应应主动恢恢复该端端口或源源Mac的通讯，同时通通过syslog发送信息息到LogServer。LOG功能:交换机检检测发现现异常收收包时；或者自自动恢复复时，应应自动发发送syslog信息到LogServer。20DHCP Snooping原理理实现机制制：DHCP Snooping通过动态态监控客客户端从从DHCP服务器获获取地址址的过程程（或者者手工静静态绑定定），将将客户端端的IP、MAC关联到具具体

13、的交交换机端端口，并并将该绑绑定关系系下发给给驱动，只有符符合该绑绑定关系系的ARP报文交换换机才会会转发，从而实实现防ARP攻击。注意事项项：必须保证证手工静静态绑定定及第一一次动态态获取IP、MAC的正确性性和有效效性不能阻止止以符合合绑定关关系的IP、MAC为源的网网段扫描描，请注注意结合合Anti-Arpscan使用21Anti-Arpscan-介绍绍ARP扫扫描是是一种常常见的网网络攻击击方式。为了探探测网段段内的所所有活动动主机，攻击源源将会产产生大量量的ARP报报文在网网段内广广播，这这些广播播报文极极大的消消耗了网网络的带带宽资源源；攻击击源甚至至有可能能通过伪伪造的ARP报报

14、文而而在网络络内实施施大流量量攻击，使网络络带宽消消耗殆尽尽而瘫痪痪。而且且ARP 扫描描通常是是其他更更加严重重的攻击击方式的的前奏，如病毒毒自动感感染，或或者继而而进行端端口扫描描、漏洞洞扫描以以实施如如信息窃窃取、畸畸形报文文攻击，拒绝服服务攻击击等。由于ARP扫扫描给网网络的安安全和稳稳定带来来了极大大的威胁胁，所以以防ARP扫扫描功能能将具有有重大意意义。DCN系系列交换换机防ARP扫扫描的的整体思思路是若若发现网网段内存存在具有有ARP 扫描描特征的的主机或或端口，将切断断攻击源源头，保保障网络络的安全全。22Anti-Arpscan-原理理实现机制制：有两两种方式式来防ARP扫描

15、：基基于端口口和基于于IP。基于端口口的ARP扫描会计计算一段段时间内内从某个个端口接接收到的的ARP报文的数数量，若若超过了了预先设设定的阈阈值，则则会down掉此端口口。基于于IP的ARP扫描则计计算一段段时间内内从网段段内某IP收到的ARP报文的数数量，若若超过了了预先设设置的阈阈值，则则禁止来来自此IP的任何流流量，而而不是down掉与此IP相连的端端口。此此两种防防ARP扫描功能能可以同同时启用用。端口口或IP被禁掉后后，可以以通过自自动恢复复功能自自动恢复复其状态态。注意事项项：为了提高高交换机机的效率率，可以以配置受受信任的的端口和和IP，交换机不不检测来来自受信信任的端端口或I

16、P的ARP报文，这这样可以以有效地地减少交交换机的的负担。如果PC1伪造PC2发起网段段扫描，Anti-Arpscan（基于IP方式）可可能会将将PC2给封掉，所以，请注意意结合其其他ARP防御手段段一起使使用。23课程内容容第一章ARP协议原理理及其攻攻击手段段第二章DCN防御手段段及原理理第三章DCN防御协议议配置第四章典典型型配置案案例24Arp-Guard配置命命令arp-guardip命令：arp-guardipnoarp-guardip功能：添添加ARPGuard地址。参数：为受到保保护的以以点分十十进制形形式表示示的IP地址。命令模式式：端口口配置模模式。缺省情况况：没有有ARP

17、Guard地址。25DHCP Snooping配置置任务1.启启动DHCPSnooping2.启启动DHCPSnooping绑绑定功功能3.启启动DHCPSnooping绑绑定ARP功功能（应用一一）4.启启动DHCPSnooping绑绑定DOT1X功功能（应应用二）5.启启动DHCPSnooping绑绑定USER 功能能（应用用三）6.添添加静态态表项功功能（应应用四）7.设设置信任任端口8.设设置防御御动作9.设设置DHCP报报文速速率限制制26DHCP Snooping配置置命令（1）ipdhcp snooping命令：ipdhcp snooping enablenoipdhcp sno

18、oping enable功能：开开启DHCP Snooping功能。参数：无无。命令模式式：全局局配置模模式。缺省情况况：DHCP Snooping默认关闭闭。27DHCP Snooping配置置命令（2）ipdhcp snooping binding命令：ipdhcp snooping bindingenablenoipdhcp snooping bindingenable功能：开开启DHCP Snooping绑定功能能。参数：无无。命令模式式：全局局配置模模式。缺省情况况：DHCP Snooping绑定默认认关闭。28DHCP Snooping配置置命令（3）ipdhcp snooping

19、 bindingarp命令：ipdhcp snooping bindingarpnoipdhcp snooping bindingarp功能：开开启DHCP Snooping绑定ARP功能。参数：无无。命令模式式：全局局配置模模式。29DHCP Snooping配置置命令（4）ipdhcp snooping bindingdot1x命令：ipdhcp snooping bindingdot1xnoipdhcp snooping bindingdot1x功能：开开启DHCP Snooping绑定DOT1X功能。参数：无无。命令模式式：端口口配置模模式。缺省情况况：所有有端口默默认不启启动绑定定D

20、OT1X功能。30DHCP Snooping配置置命令（5）ipdhcp snooping bindinguser-control命令：ipdhcp snooping bindinguser-controlnoipdhcp snooping bindinguser-control功能：开开启DHCP Snooping绑定用户户功能。参数：无无。命令模式式：端口口配置模模式。缺省情况况：所有有端口默默认不启启动绑定定用户功功能。31DHCP Snooping配置置命令（6）ipdhcp snooping bindinguser命令：ipdhcp snooping bindinguseraddre

21、ss vlan interface EthernetnoIpdhcp snooping bindinguserinterfaceEthernet功能：配配置静态态绑定用用户信息息。参数：静态绑定定用户的的MAC地址，MAC地址是绑绑定用户户的唯一一索引值值；、：静态绑定定用户的的IP地址、掩掩码；：静态绑定定用户的的所属VLAN ID；：静态绑定定用户的的接入端端口。命令模式式：全局局配置模模式。缺省情况况：DHCP Snooping默认没有有静态绑绑定表项项。32DHCP Snooping配置置命令（7）ipdhcp snooping trust命令：ipdhcp snooping trus

22、tnoipdhcp snooping trust功能：设设置或删删除端口口的DHCP Snooping信任属性性。参数：无无。命令模式式：端口口配置模模式。缺省情况况：所有有端口默默认为非非信任端端口33DHCP Snooping配置置命令（8）ipdhcp snooping action命令：ipdhcp snooping actionshutdown|blackholerecoverynoipdhcp snooping action功能：设设置或删删除端口口上的自自动防御御动作。参数：shutdown：端口检测测到伪装装DHCP Server时，将shutdown此端口；blackhole

23、：端口检测测到伪装装DHCP Server时，将以以伪装数数据包的的vid和源mac设置blackhole来阻止此此Mac的流量；Recovery：用户可选选设置自自动防御御动作执执行后还还可以自自动恢复复（noshut端口或删删除相应应的blackhole）；：用户指定定多长时时间后恢恢复防御御动作，单位：秒，范范围是10-3600。命令模式式：端口口配置模模式。缺省情况况：没有有默认的的防御动动作。34DHCP Snooping配置置命令（9）ipdhcp snooping actionMaxNum命令：ipdhcp snooping action|default功能：设设置端口口上同时时

24、生效的的防御动动作数目目。参数：每个端口口的防御御动作数数目，范范围是1-200，默默认为10；default：恢复默认认的防御御动作数数目。命令模式式：全局局配置模模式。缺省情况况：默认认数目为为10。35DHCP Snooping配置置命令（10）ipdhcp snooping limit-rate命令：ipdhcp snooping limit-ratenoipdhcp snooping limit-rate功能：设设置DHCP报文速率率限制。参数：每秒钟转转发的DHCP报文数量量，范围围是0-600，默认认为100。0 表示示不再转转发DHCP报文。命令模式式：全局局配置模模式。缺省情

25、况况：默认认数目为为100。36Anti-Arpscan配置任任务1)启启动防ARP扫扫描功功能2)配配置基于于端口和和基于IP的的防ARP扫扫描的阈阈值3）配置置信任端端口4）配置置信任IP5)配配置自动动恢复时时间6)显显示和调调试防ARP扫扫描相相关信息息37Anti-Arpscan配置命命令（1）anti-arpscanenable命令：anti-arpscanenablenoanti-arpscanenable功能：全全局启动动防ARP扫描功能能；no命令全局局关闭防防ARP扫描功能能。参数：无无。缺省情况况：关闭闭防ARP扫描功能能。命令模式式：全局局配置模模式。38Anti-Ar

26、pscan配置命命令（2）anti-arpscanport-basedthreshold命令：anti-arpscanport-basedthresholdnoanti-arpscanport-basedthreshold功能：设设置基于于端口的的防ARP扫描的接接收ARP报文的阈阈值，如如果接收收的ARP报文的速速率超过过此设定定值，则则关闭此此端口。单位为为个/秒秒。no命令恢复复为默认认值，即即10个个/秒秒。参数：速速率阈值值，有效效范围为为2-200。缺省情况况：10 个/秒。命令模式式：全局局配置模模式。39Anti-Arpscan配置命命令（3）anti-arpscanip-ba

27、sedthreshold 命令：anti-arpscanip-basedthreshold noanti-arpscanip-basedthreshold功能：设设置基于于IP的防ARP扫描的接接收ARP报文的阈阈值，如如果接收收的ARP报文的速速率超过过此设定定值，则则交换机机所有端端口都禁禁止接收收来自此此IP的IP报文，而而且和此此IP相连的端端口禁止止接收来来自此IP的ARP报文。单单位为个个/秒。no命令恢复复为默认认值，即即3个个/秒。参数：速速率阈值值，有效效范围为为1-200。缺省情况况：3个个/秒秒。命令模式式：全局局配置模模式。40Anti-Arpscan配置命命令（4）a

28、nti-arpscantrust命令：anti-arpscantrustnoanti-arpscantrust功能：配配置为信信任端口口或超级级信任端端口；no命令恢复复为非信信任端口口。参数：无无。缺省情况况：缺省省全部为为非信任任端口。命令模式式：端口口配置模模式。41Anti-Arpscan配置命命令（5）anti-arpscantrustip 命令：anti-arpscantrustipip-addressnoanti-arpscantrustipip-address功能：配配置信任任IP；no命令恢复复为非信信任IP。参数：IP的子网掩掩码。缺省情况况：缺省省所有IP都为非信信任IP

29、。掩码缺省省为255.255.255.255。命令模式式：全局局配置模模式。42Anti-Arpscan配置命命令（6）anti-arpscanrecoveryenable命令：anti-arpscanrecoveryenablenoanti-arpscanrecoveryenable功能：启启动自动动恢复功功能，no命令取消消自动恢恢复功能能。参数：无无。缺省情况况：启动动自动恢恢复功能能。命令模式式：全局局配置模模式。43Anti-Arpscan配置命命令（7）anti-arpscanrecoverytime命令：anti-arpscanrecoverytimenoanti-arpscan

30、recoverytime功能：配配置自动动恢复时时间；no命令恢复复自动恢恢复时间间为默认认值。参数：自自动恢复复时间值值，单位位为秒。有效范范围为5-86400 秒。缺省情况况：300秒秒。命令模式式：全局局配置模模式。44课程内容容第一章ARP协议原理理及其攻攻击手段段第二章DCN防御手段段及原理理第三章DCN防御协议议配置第四章典典型型配置案案例45典型案例例-拓拓扑图192.168.1.128/24E0/0/1DCS-3950-28CTDCRS-7608IPv4192.168.1.1/24E0/0/24 DHCP SRV192.168.1.10/24案例要求： 1.通过Anti-Arp

31、scan防御ARP扫描; 2.通过Arp-Guard防御网关欺骗; 3.通过DHCP Snooping绑定ARP防 御交换机表项欺骗; 4.通过DHCP Snooping绑定user- control防御主机欺骗。192.168.1.2/2446典型案例例Anti-Arpscan配置置DCS-3950-28CT(Config)#anti-arpscan enable/全局使能能Anti-arpscan功能DCS-3950-28CT(Config)#anti-arpscan port-basedthreshold 30/设置置每个端端口每秒秒的ARP报文上限限为30个DCS-3950-28CT(Config)#anti-arpscan ip-based threshold30/设置每个个IP每秒的ARP报文上限限DCS-3950-28CT(Config)#anti-arpscan