H3C防ARP解决与方案及配置
H3C ARP攻击防御解决方案
“全面防御,模块定制”H3C ARP攻击防御解决方案1 前言当计算机连接正常,却无法打开网页;或者计算机网络出现频繁断线,同时网速变得非常慢,这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。
ARP欺骗攻击不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP欺骗攻击可进一步实施中间人攻击,以此非法获取到游戏、网银、文件服务等系统的帐号和口令,对被攻击者造成利益上的重大损失。
因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。
ARP攻击已经对各行各业网络造成了巨大威胁,但一直没有得到有效的解决。
连我们熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。
主要由于ARP欺骗攻击的木马程序,通常会伪装成常用软件的一部分被下载并被激活,或者作为网页的一部分自动传送到浏览者的电脑上并被激活,或者通过U盘、移动硬盘等方式进入网络。
由于木马程序的形态特征都在不断变化和升级,杀毒软件常常会失去作用。
2 方案概述分析ARP攻击的特点,结合市场实际需求,H3C公司推出了全面有效的ARP攻击防御解决方案。
“全面防御,模块定制” H3C ARP攻击防御解决方案H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和客户需求进行“模块定制”,为用户提供多样、灵活的ARP攻击防御解决方案。
H3C提供两类ARP攻击防御解决方案:监控方式,认证方式。
监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认证方式接入的网络环境;实际部署时,建议分析网络的实际场景,选择合适的攻击防御解决方案。
另外,结合H3C独有的iMC智能管理中心,可以非常方便、直观的配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效的保障了网络的整体安全,更能快速发现网络中不安全的主机和ARP攻击源,并迅速做出反映。
3 功能特点更灵活。
提供监控模式和认证模式两大类方案,组网方式多样、灵活。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,黑客通过ARP欺骗技术,伪造网络设备的MAC地址,从而实施网络攻击,如中间人攻击、会话劫持等。
为了保护网络安全,我们需要采取一系列的防范措施和解决方案来应对ARP攻击。
1. 防范措施:1.1 使用静态ARP表:静态ARP表是一种手动配置的ARP表,将网络设备的IP地址和MAC地址进行绑定。
这样,即使黑客发起ARP欺骗攻击,也无法修改设备的ARP表,从而有效防止ARP攻击。
1.2 使用ARP防火墙:ARP防火墙可以监控网络中的ARP请求和响应,检测和阻止异常的ARP流量。
它可以根据事先设定的策略,过滤和阻断潜在的ARP攻击。
1.3 使用网络入侵检测系统(NIDS):NIDS可以监测网络中的异常流量和攻击行为,包括ARP攻击。
当NIDS检测到ARP攻击时,可以及时发出警报并采取相应的防御措施。
1.4 使用网络隔离技术:将网络划分为多个虚拟局域网(VLAN),并使用网络隔离技术将不同的用户和设备隔离开来。
这样,即使发生ARP攻击,黑客也无法直接访问其他网络。
2. 解决方案:2.1 实施ARP监控和检测:通过实时监控和检测ARP请求和响应,可以及时发现和识别ARP攻击行为。
可以使用专门的ARP监控工具或网络安全设备来实现。
2.2 使用加密通信:通过使用加密协议和加密算法,可以保护通信过程中的ARP请求和响应,防止黑客窃取或篡改网络设备的MAC地址。
2.3 定期更新网络设备的固件和软件:网络设备厂商会不断修复和更新设备的漏洞和安全问题。
定期更新网络设备的固件和软件,可以及时修复已知的ARP攻击漏洞。
2.4 加强员工的网络安全意识教育:通过加强员工的网络安全意识教育,提高他们对网络攻击的认识和防范能力,减少因员工的疏忽而导致的ARP攻击。
2.5 使用网络流量分析工具:网络流量分析工具可以帮助识别异常的ARP流量和攻击行为。
H3C-ARP病毒攻击防御宝典--典型行业组网和配置指南
H3C ARP病毒攻击防御宝典--典型行业组网和配置指南典型组网方案一、应用场景(一)——普 / 职教基本采用动态IP网络,建议完全按照动态IP网络防御方案部署。
二、应用场景(二)——星级酒店基本采用动态IP网络,建议完全按照动态IP网络防御方案部署。
三、应用场景(三)——连锁型酒店基本采用动态IP网络,参考动态IP网络防御方案,综合考虑建议在出口路由器和核心交换机进行防御,接入层通过隔离技术避免攻击。
四、应用场景(四)——中小型企业静态IP网络参考静态IP网络防御方案,出于成本考虑可以在路由器和核心交换机上进行防御,在PC上绑定网关信息,可防御大多数ARP病毒。
五、应用场景(五)——中小型企业动态IP网络建议完全按照动态IP网络防御方案进行部署。
常用配置指南1、WEB方式,启用ARP防攻击、防欺骗功能,发送免费ARP报文。
在路由器等网络设备的“ARP防攻击”WEB管理页面,开启防攻击、防欺骗的功能。
同时,可以设置指定的时间间隔,向局域网内PC终端和服务器定期发送正确的网关ARP信息。
当网内受到错误的ARP广播包攻击时,路由器广播的正确ARP包就可以及时和消除攻击包的影响。
2、WEB方式,设置IP/MAC表,可以一键绑定:在路由器等网络设备的“IP/MAC表”web管理页面上,既可以直观地手工添加IP/MAC绑定信息,还在所有PC都能正常上网时,动态搜索ARP表,将网内PC机的IP地址和MAC对应关系通过“导入到IP/MAC绑定表”,实现一键绑定功能。
3、PC上做静态ARP绑定IP/MAC地址的配置方法:在微软操作系统中,打开windows的命令行提示符如下:通过“arp-s +IP如192.168.1.1+MAC地址”这一条命令来实现对网关/服务器等重要设备的ARP条目的静态绑定,可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。
其它操作系统命令行中也都有ARP命令,操作类似。
ARP攻击防范与解决方案
ARP攻击防范与解决方案简介:ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,攻击者通过伪造ARP响应包来欺骗网络设备,从而篡改网络流量的目的地址。
这种攻击可以导致网络中断、信息泄露和数据篡改等严重后果。
为了保护网络安全,我们需要采取一些防范措施和解决方案来避免ARP攻击的发生。
一、防范措施:1. 安全网络设计:合理规划网络拓扑结构,采用分段设计,将重要的服务器和关键设备放置在内部网络,与外部网络隔离。
2. 强化网络设备安全:对路由器、交换机等网络设备进行定期升级和漏洞修复,禁用不必要的服务和端口,启用访问控制列表(ACL)限制不必要的流量。
3. 使用网络设备认证机制:启用设备认证功能,只允许授权设备加入网络,防止未经授权的设备进行ARP攻击。
4. 配置静态ARP表项:将重要设备的IP地址和MAC地址进行绑定,限制ARP请求和响应的范围,减少ARP攻击的可能性。
5. 使用防火墙:配置防火墙规则,限制网络流量,过滤异常ARP请求,阻挠ARP攻击的传播。
6. 监控和检测:部署网络入侵检测系统(IDS)和入侵谨防系统(IPS),实时监控网络流量,及时发现并阻挠ARP攻击。
二、解决方案:1. ARP缓存监控和清除:定期监控网络设备的ARP缓存,发现异常的ARP缓存项,及时清除并重新学习正确的ARP信息。
2. 使用ARP欺骗检测工具:部署ARP欺骗检测工具,实时监测网络中的ARP 请求和响应,发现异常的ARP流量,并采取相应的谨防措施。
3. 使用ARP谨防软件:部署专门的ARP谨防软件,通过对ARP流量进行深度分析和识别,及时发现和阻挠ARP攻击。
4. VLAN隔离:使用VLAN技术将网络划分为多个虚拟局域网,限制不同VLAN之间的通信,减少ARP攻击的影响范围。
5. 加密通信:使用加密协议(如SSL、IPSec)对网络通信进行加密,防止ARP攻击者窃取敏感信息。
华为(H3C)3600、3900交换机阻止ARP病毒配置
华为(H3C)3600、3900交换机阻止ARP病毒配置如何使用华为(H3C)3600、3900交换机阻止ARP病毒ARP病毒会在LAN中宣告自己是网关,具体做法找到局域网网关的IP,然后发送ARP广播,宣称网关IP对应的MAC地址是自己的网卡MAC地址。
局域网中其他计算机在收到这个广播后,会更新自己的ARP缓存列表,以后的其他计算机原本发往网关的数据包将会发送到中了ARP病毒的计算机。
该中毒计算机将会分析这些数据包,从中获取如邮箱帐号密码、QQ登录帐号密码等敏感信息,并且因中毒计算机要分析这些信息,可能来不及将数据包全部转发到真正的网关去(或许根本就不转发),从而造成其他计算机上网缓慢(甚至中断)。
解决这个问题的方法是阻止中了ARP病毒的计算机发送宣称自己是网关的ARP广播,这样就不能对局域网中的其他计算机造成危害了。
只有智能的交换机才有这样的功能,下面是在H3C的S3900和S3600系列的交换机上实现的例子(本人测试通过):环境描述:局域网IP地址范围:192.168.2.0/24,网关是192.168.2.254交换机:H3C S3952,端口48上接的是网关,定义自定义的ACL:acl number 5000rule 0 deny 0806 ffff 16 c0a802fe ffffffff 32解释:rule 0 :规则序号为0,当规则下发到硬件中执行时,序号不起作用;deny :禁止;0806 ffff :IP数据包中的协议号,0806表示ARP广播。
其中ffff 是掩码,“0806 ffff”的意思是只有目标区域等于0806才算是匹配,如果掩码是fff0,则目标区域是0805、0806、0807等都可以匹配;16 :协议号0806在数据包中的偏移地址。
此偏移量根据不同的交换机型号、不同的交换板型号、不同的配置(VLAN,VPN等)的配置有所不同。
根据网上的资料,可能的值会有:16、20、24、40,并且肯定是偶数。
H3C防ARP解决方案及配置
H3C防ARP解决方案及配置ARP, 方案目录第1章防ARP攻击功能介绍 1-11.1 ARP攻击简介 1-11.2 ARP攻击防御 1-31.2.2 DHCP Snooping功能 1-31.2.3 ARP入侵检测功能 1-41.2.4 ARP报文限速功能 1-41.3 防ARP攻击配置指南 1-5第2章配置举例 2-12.1 组网需求 2-12.2 组网图 2-22.3 配置思路 2-22.4 配置步骤 2-32.5 注意事项 2-6防ARP攻击配置举例关键词:ARP、DHCP Snooping摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。
同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
缩略语:ARP(Address Resolution Protocol,地址解析协议)MITM(Man-In-The-Middle,中间人攻击)第1章防ARP攻击功能介绍近来,许多校园网络都出现了ARP攻击现象。
严重者甚至造成大面积网络不能正常访问外网,学校深受其害。
H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案,可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。
1.1 ARP攻击简介按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。
这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
校园网中,常见的ARP攻击有如下几中形式。
(1) 仿冒网关攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。
ARP攻击防范与解决方案
ARP攻击防范与解决方案一、背景介绍ARP(地址解析协议)是在局域网中解决IP地址和MAC地址之间映射关系的协议。
然而,ARP协议的设计缺陷导致了ARP攻击的出现。
ARP攻击是一种常见的网络安全威胁,攻击者通过发送伪造的ARP响应包来篡改网络中的ARP缓存表,从而实现中间人攻击、拒绝服务攻击等恶意行为。
为了保护网络安全,我们需要采取相应的防范与解决方案。
二、防范ARP攻击的措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址和MAC地址的映射关系固定在ARP表中,可以有效防止ARP缓存污染攻击。
管理员可以根据网络拓扑结构手动添加ARP表项,并定期检查和更新。
2. 使用ARP欺骗检测工具ARP欺骗检测工具可以实时监测网络中的ARP请求和响应,检测是否存在异常的ARP活动。
当检测到ARP欺骗行为时,可以及时发出警报并采取相应的防御措施。
3. 使用静态ARP绑定静态ARP绑定是将特定IP地址和MAC地址的映射关系绑定在ARP表中,使得ARP缓存表中的映射关系不易被篡改。
管理员可以手动配置静态ARP绑定,确保网络中重要主机的ARP映射关系的安全性。
4. 使用网络入侵检测系统(IDS)网络入侵检测系统可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以自动触发警报,并采取相应的防御措施,如断开与攻击者的连接。
5. 使用虚拟局域网(VLAN)虚拟局域网可以将网络划分为多个逻辑上的独立网络,不同的VLAN之间无法直接通信,从而有效隔离了网络流量,减少了ARP攻击的风险。
三、解决ARP攻击的方法1. 及时更新操作系统和网络设备的补丁厂商会定期发布针对操作系统和网络设备的安全补丁,这些补丁通常包含了对已知漏洞的修复。
及时安装这些补丁可以有效减少ARP攻击的风险。
2. 使用网络流量监测工具网络流量监测工具可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以及时发出警报并采取相应的解决措施。
arp攻击与防护措施及解决方案
arp攻击与防护措施及解决方案为有效防范ARP攻击,确保网络安全,特制定ARP攻击与防护措施及解决方案如下:1.安装杀毒软件安装杀毒软件是防范ARP攻击的第一步。
杀毒软件可以帮助检测和清除ARP病毒,保护网络免受ARP攻击。
在选择杀毒软件时,应确保其具有实时监控和防御ARP攻击的功能。
2.设置静态ARP设置静态ARP是一种有效的防护措施。
通过在计算机上手动设置静态ARP表,可以避免网络中的ARP欺骗。
在设置静态ARP时,需要将计算机的MAC地址与IP地址绑定,以便在接收到ARP请求时进行正确响应。
3.绑定MAC地址绑定MAC地址可以防止ARP攻击。
在路由器或交换机上,将特定设备的MAC地址与IP地址绑定,可以确保只有该设备能够通过ARP协议解析IP地址。
这种绑定可以提高网络安全性,避免未经授权的设备接入网络。
4.限制IP访问限制IP访问可以防止ARP攻击。
通过设置访问控制列表(ACL),可以限制特定IP地址的网络访问权限。
这样可以避免网络中的恶意节点发送ARP请求,确保网络通信的安全性。
5.使用安全协议使用安全协议可以进一步提高网络安全性。
例如,使用IEEE802.IX协议可以验证接入网络的设备身份,确保只有授权用户可以访问网络。
此外,还可以使用其他安全协议,如SSH或VPN等,以加密网络通信,防止A RP攻击。
6.配置网络设备配置网络设备是防范ARP攻击的重要环节。
在路由器、交换机等网络设备上,可以设置ARP防护功能,例如ARP欺骗防御、ARP安全映射等。
这些功能可以帮助识别并防御ARP攻击,保护网络免受ARP 病毒的侵害。
7.定期监控网络定期监控网络是确保网络安全的有效手段。
通过监控网络流量、异常IP连接等指标,可以及时发现ARP攻击的迹象。
一旦发现ARP 攻击,应立即采取措施清除病毒,修复漏洞,并重新配置网络设备以确保安全性。
8.制定应急预案制定应急预案有助于快速应对ARP攻击。
应急预案应包括以下几个方面:(1)确定应急响应小组:建立一个专门负责网络安全问题的小组,明确其职责和权限。
H3C交换机如何配置ARP
H3C交换机如何配置ARP1、arp anti-attack valid-check enable命令用于开启ARP报文源MAC地址一致性检查功能。
undo arp anti-attack valid-check enable命令用于关闭ARP源MAC地址一致性检查功能。
【举例】# 开启交换机ARP报文源MAC地址一致性检查功能。
<sysname> system-view[sysname] arp anti-attack valid-check enable2、gratuitous-arp-learning enable命令用来开启免费ARP报文的学习功能。
开启该功能后,交换机对于收到的免费ARP报文,如果自身ARP表中没有与此报文源IP地址对应的ARP 表项,就将免费ARP报文中携带的源IP地址,源MAC地址信息添加到动态ARP映射表中。
undo gratuitous-arp-learning enable命令用来关闭免费ARP报文的学习功能。
3、arp static命令用来配置ARP映射表中的静态ARP表项。
undo arp命令用来删除ARP表项。
4、arp check enable命令用来开启ARP表项的检查功能。
undo arp check enable命令用来关闭ARP表项的检查功能。
5、arp timer aging命令用来配置动态ARP表项的老化时间。
undo arp timer aging命令用来恢复动态ARP表项的老化时间为缺省值。
6、display arp命令用来显示ARP表项。
当不带任何可选参数的时候,将显示所有ARP表项。
display arp | 命令用来显示指定内容的ARP表项。
display arp count命令用来显示指定类型的ARP表项的数目;当不带任何可选参数时,用来显示所有ARP表项的数目t。
display arp timer aging命令用来显示动态ARP表项的老化时间。
03.2.5EAD防ARP攻击解决方案
EAD防ARP攻击解决方案当前ARP攻击防御的关键所在:如何获取到合法用户和网关的IP-MAC对应关系,并利用该对应关系对ARP报文进行检查,过滤掉非法ARP报文。
H3C公司EAD解决方案通过以下思路来解决这一关键问题:第一种方法为ARP网关地址保护,即通过在服务器配置正确的网关IP-MAC地址对,下发给iNode客户端,由客户端将网关的IP-MAC地址静态设置到ARP缓存中。
第二种方法为ARP攻击报文过滤,在iNode客户端检测发送出的ARP报文,一旦发现是伪造的ARP报文,则直接将该报文丢弃并告警。
第三种方法为ARP泛洪攻击控制,检测客户端发出的IP报文和ARP广播报文,一旦超过预设阈值,则关闭端口或强制用户下线。
我们下面分别介绍这几种方式。
ARP网关地址保护的流程为:用户在认证时,通过EAD服务器下发网关的IP-MAC对应关系到iNode客户端。
iNode客户端将该对应关系在主机上绑定。
从而有效防止主机被虚假的网关ARP表项欺骗。
业务流程如下图:ARP网关地址保护方案示意图认证通过后,通过arp–a命令,可以看到网关10.153.130.1的ARP表项被静态设置。
为了防止静态设置的网关ARP表项被攻击报文替换,客户端会定时重新静态设置网关的ARP 表项。
ARP网关地址保护方案效果示意图另一种ARP攻击是通过发送带有错误的源IP或者MAC地址的ARP请求报文造成的。
针对这一情况,iNode客户端实现了驱动级的报文检测和过滤机制。
将从本机发出的伪造的ARP报文过滤掉,制止了主动发起的ARP攻击。
这就是ARP攻击报文过滤方案。
如下图:iNode客户端可以获取本机的实际IP地址和MAC地址。
EAD网络驱动分析所有从本机发出的报文,一旦发现是ARP请求报文,就会分析ARP报文内容,提取出ARP报文中的发送方IP地址和MAC地址,和本机的IP地址和MAC地址对比,发现不相同,则认为该报文为伪造的ARP请求报文,可能发起ARP攻击,iNode客户端将自动该报文丢弃。
ARP攻击防范与解决方案
ARP攻击防范与解决方案一、背景介绍ARP(Address Resolution Protocol)是用于在局域网中将IP地址转换为物理MAC地址的协议。
然而,ARP协议的设计缺陷使得攻击者可以通过ARP欺骗攻击(ARP Spoofing)来进行网络攻击。
ARP攻击会导致网络中的主机无法正常通信,甚至造成敏感信息泄露和网络瘫痪。
因此,为了保护网络安全,我们需要采取一系列的防范措施和解决方案来应对ARP攻击。
二、防范措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址与MAC地址进行绑定,使得ARP欺骗攻击者无法篡改ARP表。
管理员可以在网络设备上手动添加静态ARP 表项,确保网络中的主机只能与正确的MAC地址通信。
2. 使用ARP防火墙ARP防火墙可以监控网络中的ARP请求和响应,并根据事先设定的策略进行过滤。
当检测到ARP欺骗攻击时,ARP防火墙可以阻止异常的ARP请求和响应,保护网络中的主机免受攻击。
3. 使用网络入侵检测系统(NIDS)网络入侵检测系统可以监测网络流量中的异常ARP活动,如大量的ARP请求、多个主机使用相同的MAC地址等。
一旦检测到ARP攻击,NIDS可以及时发出警报并采取相应的防御措施,阻止攻击者进一步侵入网络。
4. 使用虚拟局域网(VLAN)虚拟局域网可以将网络划分为多个逻辑上的子网,不同子网之间的通信需要经过路由器进行转发。
通过使用VLAN,可以限制ARP欺骗攻击者的攻击范围,提高网络的安全性。
5. 使用加密通信协议使用加密通信协议(如SSL、IPsec等)可以加密通信过程中的数据,防止敏感信息在网络中被攻击者窃取。
即使遭受ARP攻击,攻击者也无法获取到加密的数据,保护网络中的通信安全。
三、解决方案1. 及时更新操作系统和应用程序操作系统和应用程序的漏洞是攻击者进行ARP攻击的入口之一。
及时更新操作系统和应用程序,安装最新的安全补丁,可以修复已知的漏洞,减少被攻击的风险。
商业-H3C防ARP攻击方案
S5000E
让网吧免受 ARP病毒之苦!
S5000P
总结:H3C三个控制点灵活组合,灵活抵御ARP攻击
网关防御:
•用户和重要服务器的IP和 MAC绑定 •免费ARP广播
交换机防御:
•DHCP snooping •静态绑定 •ARP限速 •Web ARP地址一键绑定 •Web ARP攻击源定位
出口路由器
早上老板到公司,开机后 上不了网,中ARP病毒啦
S5500-28C-SI
CAMS
接入交换机
H3C应对之道5:DAI(动态ARP攻击检测)方案
三层交换机: •支持DAI功能,对合法用户进行mac+ip 的动态绑定 •。。。。
S5500-28C-SI
难得遭到一次老板的表扬!
CAMS
PC: •CAMS下发iNODE客户端,实 现网关的IP和MAC绑定
•交换机端口隔离,ARP攻击被
隔离 •确保住店客人上网
客房网
场景三:使用三层交换机的网吧
使用设备:
——核心交换机为三层交换机 ——接入为hub、二层交换机
组网图如下:
网吧管理员:孙工
出口路由器
网吧ARP病毒泛滥,快来 工程师吧!
S5500-28C-SI
接入交换机
H3C应对之道4:三层交换机静态ARP绑定防攻击
H3C六套方案重拳出击 ARP攻击无处藏身
方案一:H3C路由器防ARP攻击方案 方案二:H3C VLAN隔离防ARP攻击方案
方案三:H3C 端口隔离防ARP攻击方案
方案四:三层交换机静态ARP绑定防攻击方案 方案五:DAI(动态ARP攻击检测)方案 方案六:H3C ARP攻击防御秘密武器-S5000E
网络-ARP攻击防御解决方案
H3C ARP攻击防御解决方案应用背景当您的计算机网络连接正常,却无法打开网页;当您的计算机网络出现频繁断线,同时网速变得非常慢,这些都可能是由于存在ARP欺骗攻击及ARP中毒,所表现出来的网络现象。
ARP欺骗攻击不仅导致联网不稳定,极大影响网络的正常运行,更严重的是利用ARP欺骗攻击可进一步实施中间人攻击,非法获取到游戏、网银、文件服务等系统的用户名和口令,给用户造成极大危害。
由于造成ARP欺骗攻击的木马程序的特征不断变化和升级,杀毒软件常常会失去作用。
解决方案H3C ARP攻击防御解决方案通过对客户端、接入设备和网关三个控制点实施自上至下的全面防御,并且能够根据不同的网络环境和客户需求进行防御模块定制,为用户提供多样、灵活的ARP 攻击防御解决方案,保障用户网络的稳定。
在进行大量市场需求调研和分析的基础上,H3C提供的ARP攻击防御解决方案有两大类:监控方式和认证方式。
H3C ARP攻击防御解决方案监控模式监控方式也即DHCP SNOOPING方式,是接入层交换机监控用户申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且做绑定,通过绑定的信息来达到ARP入侵检测(ARP Intrusion Inspection)和防御的目的,从而在接入层直接阻断非法ARP报文的传播,防止接入终端发起的任何ARP欺骗攻击。
另外由于ARP欺骗攻击,经常伴随者发送大量的ARP报文,消耗网络带宽资源和交换机CPU 资源,造成网络速度的速度降低。
因此接入交换机还需要部署ARP报文限速,对每个端口单位时间内接收到的ARP报文以及学习到的ARP数量进行限制,很好地保障了网络带宽资源和交换机CPU 资源。
监控方式ARP攻击防御解决方案适合于采用动态分配IP地址方式接入的网络,只需接入交换机采用H3C支持DHCP Snooping的产品,无须任何配置,简便有效,易于管理。
H3C ARP攻击防御解决方案认证模式认证模式是通过认证协议实现认证,CAMS会根据实现配置好的用户、IP、MAC和网关的绑定信息下发给客户端、接入交换机和网关,实现了ARP报文在客户端、接入交换机和网关的绑定,使得虚假的ARP在网络里无立足之地,从根本上防止ARP病毒泛滥。
H3C防ARP解决方案及配置
H3C防ARP解决方案及配置防ARP攻击配置举例关键词:ARP、DHCP Snooping摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。
同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
缩略语:ARP(Address Resolution Protocol,地址解析协议)MITM(Man-In-The-Middle,中间人攻击)第1章防ARP攻击功能介绍近来,许多校园网络都出现了ARP攻击现象。
严重者甚至造成大面积网络不能正常访问外网,学校深受其害。
H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案,可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。
1.1 ARP攻击简介按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。
这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
校园网中,常见的ARP攻击有如下几中形式。
(1) 仿冒网关攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。
这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-1 “仿冒网关”攻击示意图(2) 欺骗网关攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(地址解析协议)攻击是一种常见的网络攻击手段,攻击者通过伪造或修改ARP请求和响应数据包来欺骗网络设备,从而获得网络流量并进行恶意活动。
为了保护网络安全,我们需要采取一系列的防范措施来防止ARP攻击的发生,并及时解决已经发生的ARP攻击。
一、防范ARP攻击的措施1. 使用静态ARP表:将网络设备的IP地址和MAC地址手动绑定,防止ARP 响应被篡改。
这样可以有效防止ARP攻击者通过ARP欺骗获得网络流量。
2. 启用ARP防火墙:ARP防火墙可以检测和阻止异常的ARP请求和响应数据包,防止ARP攻击者伪造或修改ARP数据包。
同时,可以配置白名单,只允许特定的IP地址和MAC地址之间进行ARP通信,增加网络的安全性。
3. 使用虚拟局域网(VLAN):将网络划分为多个虚拟局域网,不同的VLAN 之间无法直接通信,可以减少ARP攻击的范围和影响。
同时,可以通过配置ACL (访问控制列表)来限制不同VLAN之间的ARP通信。
4. 启用端口安全功能:网络交换机可以配置端口安全功能,限制每个端口允许连接的MAC地址数量,防止ARP攻击者通过伪造或修改MAC地址来进行ARP 攻击。
5. 使用ARP监控工具:ARP监控工具可以实时监测网络中的ARP请求和响应数据包,及时发现异常的ARP活动。
一旦发现ARP攻击,可以及时采取相应的解决措施。
二、解决ARP攻击的方法1. 及时更新网络设备的固件和操作系统:网络设备的固件和操作系统中可能存在安全漏洞,攻击者可以利用这些漏洞进行ARP攻击。
及时更新固件和操作系统可以修补这些漏洞,提高网络的安全性。
2. 使用安全的网络设备:选择具有ARP攻击防御功能的网络设备,如防火墙、入侵检测系统等。
这些设备可以检测和阻止ARP攻击,提供更高的网络安全性。
3. 配置网络设备的安全策略:合理配置网络设备的安全策略,限制ARP请求和响应的频率和数量,防止ARP攻击者通过大量的ARP请求和响应来干扰网络正常运行。
H3C内部资料:ARP攻击防御解决方案技术白皮书
ARP攻击防御解决方案技术白皮书Hangzhou H3C Technologies Co., Ltd杭州华三通信技术有限公司All rights reserved版权所有侵权必究(REP01T01 V2.4/ IPD-CMM V3.0 / for internal use only)(REP01T01 V2.4/ IPD-CMM V3.0 / 仅供内部使用)声明Copyright © 2007 杭州华三通信技术有限公司及其许可者版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
H3C、Aolynk、、IRF、H3Care、、Neocean、、TOP G、SecEngine、SecPath、SecBlade、COMWARE、VVG、V2G、V n G、PSPT、NetPilot、XGbus均为杭州华三通信技术有限公司的商标。
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
修订记录日期版本描述作者2007-09-25 1.00 初稿完成宋渊目录1概述 (3)1.1ARP攻击日益严重 (3)1.2ARP攻击这么容易进行呢 (3)1.3ARP攻击的类型 (3)1.3.1网关仿冒 (3)1.3.2欺骗网关 (3)1.3.3欺骗终端用户 (3)1.3.4ARP泛洪攻击 (3)2解决方案介绍 (3)2.1认证模式 (3)2.1.1总体思路 (3)2.1.2处理机制及流程 (3)2.2DHCP 监控模式 (3)2.2.1总体思路 (3)2.2.2相关技术 (3)3典型组网部署 (3)3.1DHCP 监控模式的部署 (3)3.1.1典型组网 (3)3.1.2部署思路 (3)3.2认证模式的部署 (3)3.2.1典型组网 (3)3.2.2部署步骤 (3)4总结 (3)图目录图1 网关仿冒攻击示意图 (3)图2 欺骗网关攻击示意图 (3)图3 欺骗终端攻击示意图 (3)图4 认证模式示意图 (3)图5 iNode设置本地ARP流程 (3)图6 DHCP SNOOPING模式示意图 (3)图7 ARP入侵检测功能示意图 (3)图8 DHCP Snooping表项示意图 (3)ARP攻击防御解决方案技术白皮书关键词:ARP ARP攻击摘要:本文介绍了H3C公司ARP攻击防御解决方案的思路。
H3C交换机设置如何防止同网段ARP攻击案例
H3C交换机设置如何防止同网段ARP攻击案例ARP攻击是局域网中一种常见的网络攻击问题,对此,需要对交换机设置一下就可以既觉这个问题。
以下以H3C交换机设置防止同网段APR攻击为例,介绍典型的交换机设置方法。
一、对于阻止仿冒网关IP的arp攻击1、二层交换机防攻击配置举例网络拓扑如图。
图13552P是三层设备,其中ip:100.1.1.1是所有pc的网关,3552P上的网关mac 地址为000f-e200-3999.现在PC-B装有arp攻击软件。
现在需要对3026_A进行一些特殊配置,目的是过滤掉仿冒网关IP的arp报文。
对于二层交换机如3026c等,可以配置acl(1)全局配置deny所有源IP是网关的arp报文(自定义规则)ACLnum5000rule0deny0806ffff2464010101ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34rule0目的:把整个3026C_A端口冒充网关的ARP报文禁掉,其中蓝色部分64010101是网关ip地址的16进制表示形式:100.1.1.1=64010101.rule1目的:把上行口的网关ARP报文允许通过,蓝色部分为网关3552的mac地址000f-e200-3999.在S3026C-A系统视图下发acl规则:[S3026C-A]packet-filteruser-group5000这样只有3026C_A上连设备能够下发网关的ARP报文,其它pc就不能发送假冒网关的arp响应报文。
2、三层交换机防攻击配置举例网络拓扑图如下:图2对于三层设备,需要配置过滤源IP是网关的arp报文的acl规则,配置如下acl规则:ACLnum5000rule0deny0806ffff2464010105ffffffff40rule0目的:把所有3526E端口冒充网关的ARP报文禁掉,其中蓝色部分64010105是网关ip地址的16进制表示形式:100.1.1.5=64010105.二、仿冒他人IP的arp攻击作为网关的设备有可能会出现arp错误表项,在网关设备上还需对仿冒他人IP的arp攻击报文进行过滤。
H3C ARP攻击防御解决方案
H3C ARP攻击防御解决方案方案概述近来, ARP攻击问题日渐突出。
严重者甚至造成大面积网络不能正常访问外网,众多学校和企业深受其害。
为了应对目前大量爆发的ARP攻击问题,H3C公司开发了ARP防攻击解决方案。
通过对ARP攻击的种类,特点进行分析,找到 ARP攻击防御的最佳控制点。
有效解决了ARP攻击问题。
ARP攻击防御解决方案技术白皮书关键词:ARP ARP攻击摘要:本文介绍了H3C公司ARP攻击防御解决方案的思路。
同时阐述了ARP 攻击防御解决方案的技术细节和特点。
缩略语清单:1概述1.1ARP攻击日益严重近来, ARP攻击问题日渐突出。
严重者甚至造成大面积网络不能正常访问外网,学校深受其害。
H3C公司根据ARP攻击的特点,给出了有效的防ARP攻击解决方案。
要解决ARP攻击问题,首先必须了解ARP欺骗攻击的类型和原理,以便于更好的防范和避免ARP攻击的带来的危害。
1.2ARP攻击这么容易进行呢ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。
以相同网段中的两台主机A、B来举例,其ARP 协议运行的主要交互机制如下:1如果A需要向B发起通信,A首先会在自己的ARP缓存表项中查看有无B的ARP表项。
如果没有,则进行下面的步骤:2A在局域网上广播一个ARP请求,查询B的IP地址所对应的MAC地址;3本局域网上的所有主机都会收到该ARP请求;4所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求,则发送一个ARP应答给A,告知A自己的MAC地址;5主机A收到B的ARP应答后,会在自己的 ARP缓存中写入主机B的ARP 表项.如上所述,利用ARP协议,可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。
但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。
导致在ARP协议中没有认证的机制,从而导致针对ARP协议的欺骗攻击非常容易。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H3C防ARP解决方案及配置ARP, 方案目录第1章防ARP攻击功能介绍 1-11.1 ARP攻击简介 1-11.2 ARP攻击防御 1-31.2.2 DHCP Snooping功能 1-31.2.3 ARP入侵检测功能 1-41.2.4 ARP报文限速功能 1-41.3 防ARP攻击配置指南 1-5第2章配置举例 2-12.1 组网需求 2-12.2 组网图 2-22.3 配置思路 2-22.4 配置步骤 2-32.5 注意事项 2-6防ARP攻击配置举例关键词:ARP、DHCP Snooping摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。
同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
缩略语:ARP(Address Resolution Protocol,地址解析协议)MITM(Man-In-The-Middle,中间人攻击)第1章防ARP攻击功能介绍近来,许多校园网络都出现了ARP攻击现象。
严重者甚至造成大面积网络不能正常访问外网,学校深受其害。
H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案,可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。
1.1 ARP攻击简介按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。
这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
校园网中,常见的ARP攻击有如下几中形式。
(1) 仿冒网关攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。
这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-1 “仿冒网关”攻击示意图(2) 欺骗网关攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-2 “欺骗网关”攻击示意图(3) 欺骗终端用户攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
图1-3 “欺骗终端用户”攻击示意图(4) “中间人”攻击ARP “中间人”攻击,又称为ARP双向欺骗。
如图1-4所示,Host A和Host C通过Switch进行通信。
此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP 应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。
此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。
这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
图1-4 ARP“中间人”攻击示意图(5) ARP报文泛洪攻击恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
1.2 ARP攻击防御H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案。
通过接入交换机上开启DHCP Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击,如表1-1。
表1-1 常见网络攻击和防范对照表攻击方式防御方法动态获取IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”配置DHCPSnooping、ARP入侵检测功能手工配置IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”配置IP静态绑定表项、ARP入侵检测功能ARP泛洪攻击配置ARP报文限速功能1.2.2 DHCP Snooping功能DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。
(1) 通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系;(2) 通过设置DHCP Snooping信任端口,保证客户端从合法的服务器获取IP地址。
信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。
λ不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。
λ说明:&目前H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口默认被配置为DHCP Snooping非信任端口。
为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
1.2.3 ARP入侵检测功能H3C低端以太网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。
λ当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃。
λ说明:&DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。
如果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。
λ实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。
对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
λ1.2.4 ARP报文限速功能H3C低端以太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU的冲击。
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。
此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
1.3 防ARP攻击配置指南表1-2 防ARP攻击配置任务操作命令说明- 进入系统视图 system-view -配置DHCP Snooping功能记录DHCP客户端的IP/MAC对应关系开启交换机DHCP Snooping功能 dhcp-snooping 必选缺省情况下,以太网交换机的DHCP Snooping功能处于禁止状态进入以太网端口视图 interface interface-type interface-number -设置指定端口为DHCP Snooping信任端口 dhcp-snooping trust 必选缺省情况下,交换机的端口均为不信任端口退出至系统视图 quit -配置指定端口的IP静态绑定表项进入以太网端口视图 interface interface-typeinterface-number -配置IP静态绑定表项 ip source static binding ip-address ip-address [ mac-address mac-address ] 可选缺省情况下,没有配置IP静态绑定表项退出至系统视图 quit -配置ARP入侵检测功能,防御常见的ARP攻击进入VLAN视图 vlan vlan-id - 开启ARP入侵检测功能 arp detection enable 必选缺省情况下,指定VLAN内所有端口的ARP入侵检测功能处于关闭状态开启ARP严格转发功能 arp restricted-forwarding enable 可选缺省情况下,ARP严格转发功能处于关闭状态退出至系统视图 quit -进入以太网端口视图 interface interface-type interface-number -配置ARP信任端口 arp detection trust 可选缺省情况下,端口为ARP非信任端口配置ARP限速功能开启ARP报文限速功能 arp rate-limit enable 必选缺省情况下,端口的ARP报文限速功能处于关闭状态配置允许通过端口的ARP报文的最大速率 arp rate-limit rate 可选缺省情况下,端口能通过的ARP报文的最大速率为15pps退出至系统视图 quit -开启因ARP报文超速而被关闭的端口的状态自动恢复功能 arp protective-down recover enable 可选缺省情况下,交换机的端口状态自动恢复功能处于关闭状态配置因ARP报文超速而被关闭的端口的端口状态自动恢复时间 arp protective-down recover interval interval 可选缺省情况下,开启端口状态自动恢复功能后,交换机的端口状态自动恢复时间为300秒说明:&有关各款交换机支持的防ARP攻击功能的详细介绍和配置命令,请参见各产品的操作、命令手册。