ARP攻击防御解决方案

DHCP Snooping模式
方案适合场景

全网采用动态分配IP地址方式 接入交换机采用H3C支持DHCP Snooping的产品，比如E126A，E152
解决方案

第一步：接入交换机通过DHCP Snooping监控用户动态申请IP的过程，获
取用户的IP-MAC对应关系

第二步：接入交换机将用户的IP-MAC-PORT对应关系进行绑定。接入交换 机形成保护屏障，过滤掉所有ARP攻击报文。
骗
ARP数量限制，防御ARP泛洪
网关G
攻击
2
接入设备防御
网关IP/MAC绑定，过滤掉仿冒网关的
报文
接入设备
合法用户IP/MAC绑定，过滤掉终端仿
冒报文 客户端防御
用户
ARP限速 3
绑定网关信息
防御ARP攻击的关键
1
获取合法用户的IP\MAC对应关系
2
利用合法IP\MAC对应关系防止非法ARP报文对终端和网关欺骗
ARP攻击分析
ARP攻击防御解决方案
ARP病毒工作原理
正常的局域网络运作方式
个人计算机
个人计算机
校园网
网关
个人计算机
个人计算机
ARP病毒工作原理
有计算机感染ARP病毒后的局域网
个人计算机
校园网
网关
个人计算机
个人计算机
病毒在局域网中向正常的计算机发送伪造的 网关ARP信息, 使得其它计算机将它当成网关 进行数据通信, 从而窃取其它用户个人信息, 账号密码等数据资料,或者在用户浏览的网页 中插入恶意代码. 由于部分ARP病毒编写人员 的水平有限, 病毒工作不正常时就导致其它 计算机不能正常使用或完全无法使用网络.
已更新
网关G
……
ARP表项被占满
…….
Dynamic
用户A、A1、A2、 A3…的MAC更 新了
IP Address B
1.1.1.20
MAC B
5-5-5
IP Address A
MAC A 3-3-3
正常用户A
1.1.1.103
攻击者B
ARP攻击防御的三个控制点
网关防御
1
合法ARP绑定，防御网关被欺

攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。 主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法 正常访问外网。
IP Address G 1.1.1.1
MAC G 1-1-1
网关G
目的MAC 2-2-2 源MAC 3-3-3 … …
数据流被中断
网关MAC更新 了
网关的 MAC is 2-2-2 发送伪造ARP信息

可以保证网络无非法ARP报文传 播，从根本防御ARP攻击
纯网络层面实现，不需要用户安 装客户端。对用户应用没有影响
模式


H3C ARP防御案例 东北大学宿舍网
网关
DHCP响应
S3600-28P-EI
S3600-28P-EI
•监控DHCP报文实现用户的 IP和MAC绑定 •配置实现网关的IP和MAC绑 定 •ARP限速
H3C ARP防范方案——DHCP 监控模式
网关
DHCP响应
接入设备
•监控DHCP报文实现用户的 IP和MAC绑定 •配置实现网关的IP和MAC绑 定 •ARP限速
DHCP请求
终端
监控DHCP交互报文获取合法用户的IP-MAC-port关系 在接入交换机上绑定，实现对ARP报文的检查，过滤掉所有非法报文。
或安装ARP病毒防火墙
Symantec Endpoint Protection
Symantec Endpoint Protection 提供了高级威胁防护功能，可保护您的端点（笔记本电
脑、台式计算机和服务器）不受已知威胁和未知威胁的攻击。 Symantec Endpoint Protection 可防范恶意软件，如病毒、蠕虫、特洛伊木马、间谍软 件和广告软件。它甚至可防范能避开传统安全措施的最复杂的攻击，如 Rootkit、零 时差攻击和变种的间谍软件。 Symantec Endpoint Protection 为您的端点计算设备提供了多层防护。
网关防御
•CAMS下发实现用户和重 要服务器的IP和MAC绑定
网关
接入设备防御
接入设备
•监控认证报文实现用户的IP 和MAC绑定 •配置实现网关的IP和MAC绑 定 •ARP线速
终端
客户端防御
•CAMS下发实现网关的IP 和MAC绑定
利用认证客户端在终端上绑定网关ARP表项。
认证绑定 Vs. DHCP SNOOPING
DHCP请求
终端
网络已经运行一段时间，老师反映效果非常好，经过改造的网络没有 再次出现因为ARP病毒导致无法上网的问题。
H3C ARP防御案例 南京师范大学园区网
网关
DHCP响应
S3900-EI/SI/E026
S3900-EI/SI/E026
DHCP请求
•监控DHCP报文实现用户的 IP和MAC绑定 •配置实现网关的IP和MAC绑 定 •ARP限速
Leabharlann Baidu
I/O 设备 内存/程序 操作系统
外设控制
防反堆栈溢出
赛门铁克企业保护
SEP
O/S 保护 网络IPS 客户防火墙
恶意软件、Rootkits、零日漏洞
蠕虫、 探寻和攻击
SPM
网络连接
病毒、特洛伊木马、恶意软件 和间谍软件
数据和文件系统
反间谍软件 防病毒 赛门铁克防病毒 SAV
Symantec Endpoint Protection
优点

认证绑 定模式
局限性
需要安装客户端 需要采用H3C认证方式
对网络设备的依赖小，对接入交 换机和网关的绑定可以根据网络 状况分别使用。
适应静态IP地址的环境使用，适 合目前多数现状。
优点
DHCP SNOOPING
局限性
要求用户采用DHCP动态获取IP的方式 以过滤非法报文为防御措施，要求同网 段全网部署 对接入交换机的型号、版本有很强的依 赖
网关G
数据流被中断
用户C的MAC 更新了
IP Address C 1.1.1.8
MAC C 9-9-9
知道了 攻击者B
IP Address B 1.1.1.20 MAC B IP Address 5-5-5 MAC 9-9-9 Type Dynamic
正常用户A
IP Address A 1.1.1.5 MAC A 3-3-3
感染病毒的个人计算机
ARP病毒检测
局域网内有ARP病毒的现象
上网时断时续, 网速变慢, 可能连内网主页也无法打开 浏览网页时出现与网页内容无关的弹出窗口
ARP检查
使用nbtscan工具, 配合arp –a 命令
ARP协议介绍

ARP——Address Resolution Protocol地址解释协议
1.1.1.1
ARP表项更新为 IP Address 1.1.1.1 MAC 2-2-2 Type Dynamic
ARP泛洪攻击

攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用
户的ARP表项无法正常学习，导致合法用户无法正常访问外网
IP Address 1.1.0.2 1.1.0.3 1.1.0.4 1.1.0.5 1.1.0.6 MAC 2-2-2 2-2-3 2-2-4 2-2-5 2-2-6 Type Dynamic Dynamic IP Address G Dynamic 1.1.0.1 Dynamic Dynamic 1-1-1 MAC G
目的MAC 源MAC 帧类 硬件 协议 型 类型 类型 操作 字段 发送端MAC 发送端IP 目的MAC 目的IP
协议地址长度
可以利用帧类型来 识别ARP报文
硬件地址长度
帧类型—0x0806
ARP欺骗都是通过填写 错误的源MAC-IP对应 关系来实现的
ARP攻击利用ARP协议本身的缺陷来实现！
ARP欺骗攻击——仿冒网关
已更新
ARP表项更新为
IP Address 1.1.1.5 MAC 2-2-2 Type Dynamic IP Address G 1.1.1.1 MAC G 1-1-1
网关G
数据流被中断 目的MAC 源MAC 1-1-1 … …
用户A的MAC 更新了
2-2-2
IP Address B 1.1.1.20
MAC
2-2-2
Type
Dynamic
这种攻击为ARP攻击中最为常见的攻击
ARP欺骗攻击——欺骗网关

攻击者伪造虚假的ARP报文，欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该 用户无法正常访问外网
IP Address 1.1.1.5 MAC 3-3-3 Type Dynamic
已更新
IP Address 1.1.1.1(网关) MAC 1-1-1 Type Dynamic
ARP表项更新为
攻击者B
IP Address B 1.1.1.20 MAC B 5-5-5 IP Address A 1.1.1.5
正常用户A
MAC A 3-3-3
IP Address
1.1.1.1（网关）
Symantec端点安全解决方案
威胁
移动终端、非法接入、外 设管理、外联管理、行为 监控
零日攻击、恶意软件、 特洛伊 木马、 应用程序注入
保护对象
行为
保护技术
策略符合性检查 和自动修复
赛门铁克解决方案
赛门铁克网络准入控制
SNAC
统 一 端 点 安 全 管 理
应用软件
主机IPS
Slurping、IP 窃取、恶意软件 缓冲溢出攻击、程序注入、 按键记录
MAC B 5-5-5
IP Address A
MAC A 3-3-3
攻击者B
正常用户A 1.1.1.5
ARP欺骗攻击——欺骗终端用户

攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址， 同网段内的用户无法正常互访。
IP Address G 1.1.1.1 MAC G 1-1-1 目的MAC 2-2-2 源MAC 3-3-3 … …
配置命令
全局模式：dhcp－snooping（全局开关） VLAN模式：ARP detection enable：（使能ARP detection enable检测，限制ARP报文数量） 上行接口：ARP detection trust（ 将上行口配置为信任接口不检查ARP）
H3C ARP防范方案——认证模式
终端
ARP病毒自我防护
编辑批处理文件myarp.bat,
建立快键方式放到启动组中
@echo off :::::::::::::::::::: Find Local Mac if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist LocalMac.txt del LocalMac.txt find "Physical Address" ipconfig.txt >LocalMac.txt for /f "skip=2 tokens=12" %%M in (LocalMac.txt) do set LocalMac=%%M :::::::::::::::::::: Find Local IP if exist LocalIP.txt del LocalIP.txt find "IP Address" ipconfig.txt >LocalIP.txt for /f "skip=2 tokens=15" %%I in (LocalIP.txt) do set LocalIP=%%I :::::::::::::::::::: Find Gateway IP if exist GatewayIP.txt del GatewayIP.txt find "Default Gateway" ipconfig.txt >GatewayIP.txt for /f "skip=2 tokens=13" %%G in (GatewayIP.txt) do set GatewayIP=%%G :::::::::::::::::::: Find Gateway Mac if exist GatewayMac.txt del GatewayMac.txt arp -d ping -n 1 %GatewayIP% arp -a %GatewayIP% >GatewayMac.txt for /f "skip=3 tokens=2" %%H in (GatewayMac.txt) do set GatewayMac=%%H :::::::::::::::::::: Bind Gateway IP & Mac arp -s %LocalIP% %LocalMac% arp -s %GatewayIP% %GatewayMac% exit