首页 DCN-TS16ARP欺骗与DCN防御手段(v11)

DCN-TS16ARP欺骗与DCN防御手段(v11)

举报
开通vip

DCN-TS16ARP欺骗与DCN防御手段(v11)DCN-TS16ARP欺骗与DCN防御手段Version1.0学习目标学完本课程,您应该能够:深刻理解ARP协议原理及其攻击手段深刻理解相应的防御手段及其原理ArpGuardDhcpSnoopingBindingARPBindingUserControlBindingDot1xAnti-Arpscan熟练掌握相关协议的配置、特点及其针对点掌握相关协议的分析及TroubleShooting2课程内容第一章ARP协议原理及其攻击手段第二章DCN防御手段及原理第三章DCN防御协议配置第四章典型配置案例3ARP协议介绍AR...

DCN-TS16ARP欺骗与DCN防御手段(v11)
DCN-TS16ARP欺骗与DCN防御手段Version1.0学习目标学完本课程,您应该能够:深刻理解ARP 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 原理及其攻击手段深刻理解相应的防御手段及其原理ArpGuardDhcpSnoopingBindingARPBindingUserControlBindingDot1xAnti-Arpscan熟练掌握相关协议的配置、特点及其针对点掌握相关协议的分析及TroubleShooting2课程 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 第一章ARP协议原理及其攻击手段第二章DCN防御手段及原理第三章DCN防御协议配置第四章典型配置案例3ARP协议介绍ARP,全称AddressResolutionProtocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。4ARP的工作原理ARP的工作原理:1.首先,每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf ,以表示IP地址和MAC地址的对应关系。2.当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。3.网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;4.源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。5RARP的工作原理RARP的工作原理:1.发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址;2.本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址;3.如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;4.如果不存在,RARP服务器对此不做任何的响应;5.源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。6ARP报文结构硬件类型协议类型硬件地址长度协议长度操作类型发送方的硬件地址(0-3字节)源物理地址(4-5字节)源IP地址(0-1字节)源IP地址(2-3字节)目标硬件地址(0-1字节)目标硬件地址(2-5字节)目标IP地址(0-3字节)7ARP协议报文--Request8ARP协议报文--Reply9ARP协议报文--Gratuitous10常见的ARP攻击手段ARP扫描网关欺骗单播Request方式单播Reply方式广播Request方式主机欺骗单播Request方式单播Reply方式广播Request方式11ARP攻击手段—ARP扫描12ARP攻击手段--网关(主机)欺骗/单播Request13ARP攻击手段--网关(主机)欺骗/单播Reply14ARP攻击手段--网关欺骗--广播Request15课程内容第一章ARP协议原理及其攻击手段第二章DCN防御手段及原理第三章DCN防御协议配置第四章典型配置案例16Arp-Guard--介绍ARP协议的设计存在严重的安全漏洞,任何网络设备都可以发送ARP报文通告IP地址和MAC地址的映射关系。这就为ARP欺骗提供了可乘之机,攻击者发送ARPrequest报文或者ARPreply报文通告错误的IP地址和MAC地址映射关系,导致网络通讯故障。ARPGuard功能常用于保护网关不被攻击,如果要保护网络内的所有接入PC不受ARP欺骗攻击,需要在端口配置大量受保护的ARPGuard地址,这将占用大量芯片FFP表项资源,可能会因此影响到其它应用功能,并不适合。17Arp-Guard--原理主要攻击形式(如上图):ARP欺骗的危害主要表项为两种形式:1、PC4发送ARP报文通告PC2的IP地址映射为自己的MAC地址,将导致本应该发送给PC2的IP报文全部发送到了PC4,这样PC4就可以监听、截获PC2的报文;2、PC4发送ARP报文通告PC2的IP地址映射为非法的MAC地址,将导致PC2无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP欺骗,将导致整个网络瘫痪。防御手段:我们利用交换机的过滤表项保护重要网络设备的ARP表项不能被其它设备假冒。基本原理就是利用交换机的过滤表项,检测从端口输入的所有ARP报文,如果ARP报文的源IP地址是受到保护的IP地址,就直接丢弃报文,不再转发。L3交换机PC1PC2PC3PC4PC5PC6HUBABCD18DHCPSnooping--介绍(1)防伪装DHCPServer:DHCPSnooping最初的应用是为了防止用户私设DHCP服务器,通过启用DHCPSnooping,将交换机上各端口定义为Trust接口和Untrust接口,在Untrust接口判断是否有DHCPServer才能发送的DHCPOFFER、DHCPACK、DHCPNAK报文,如果截获到这些报文,将发出警告并做出相应反应(shutdown该接口或者下发blockhole)。防DHCP过载攻击:DHCPSnooping要对信任端口和非信任端口做DHCP收包限速,防止过多的DHCP报文攻击CPU,实现了防止DHCP过载攻击,防止过多的DHCP报文耗尽CPU资源。记录DHCP绑定数据:DHCPSnooping在转发DHCP报文的同时,记录DHCPSERVER分配的绑定数据,并可以把绑定数据上载到指定的服务器进行备份。添加绑定ARP:DHCPSnooping捕获到绑定数据之后,可以根据绑定数据中的参数添加静态绑定ARP,这样可以防止交换机的ARP表项欺骗。19DHCPSnooping--介绍(2)添加信任用户:DHCPSnooping捕获到绑定数据之后,可以根据绑定数据中的参数添加添加信任用户表项,这样这些用户就可以不经过DOT1X认证而访问所有资源。自动恢复:交换机shutdown端口或者下发blockhole一段时间后,交换机应主动恢复该端口或源Mac的通讯,同时通过syslog发送信息到LogServer。LOG功能:交换机检测发现异常收包时;或者自动恢复时,应自动发送syslog信息到LogServer。20DHCPSnooping—原理实现机制:DHCPSnooping通过动态监控客户端从DHCP服务器获取地址的过程(或者手工静态绑定),将客户端的IP、MAC关联到具体的交换机端口,并将该绑定关系下发给驱动,只有符合该绑定关系的ARP报文交换机才会转发,从而实现防ARP攻击。注意事项:必须保证手工静态绑定及第一次动态获取IP、MAC的正确性和有效性不能阻止以符合绑定关系的IP、MAC为源的网段扫描,请注意结合Anti-Arpscan使用21Anti-Arpscan--介绍ARP扫描是一种常见的网络攻击方式。为了探测网段内的所有活动主机,攻击源将会产生大量的ARP报文在网段内广播,这些广播报文极大的消耗了网络的带宽资源;攻击源甚至有可能通过伪造的ARP报文而在网络内实施大流量攻击,使网络带宽消耗殆尽而瘫痪。而且ARP扫描通常是其他更加严重的攻击方式的前奏,如病毒自动感染,或者继而进行端口扫描、漏洞扫描以实施如信息窃取、畸形报文攻击,拒绝服务攻击等。由于ARP扫描给网络的安全和稳定带来了极大的威胁,所以防ARP扫描功能将具有重大意义。DCN系列交换机防ARP扫描的整体思路是若发现网段内存在具有ARP扫描特征的主机或端口,将切断攻击源头,保障网络的安全。22Anti-Arpscan--原理实现机制:有两种方式来防ARP扫描:基于端口和基于IP。基于端口的ARP扫描会计算一段时间内从某个端口接收到的ARP报文的数量,若超过了预先设定的阈值,则会down掉此端口。基于IP的ARP扫描则计算一段时间内从网段内某IP收到的ARP报文的数量,若超过了预先设置的阈值,则禁止来自此IP的任何流量,而不是down掉与此IP相连的端口。此两种防ARP扫描功能可以同时启用。端口或IP被禁掉后,可以通过自动恢复功能自动恢复其状态。注意事项:为了提高交换机的效率,可以配置受信任的端口和IP,交换机不检测来自受信任的端口或IP的ARP报文,这样可以有效地减少交换机的负担。如果PC1伪造PC2发起网段扫描,Anti-Arpscan(基于IP方式)可能会将PC2给封掉,所以,请注意结合其他ARP防御手段一起使用。23课程内容第一章ARP协议原理及其攻击手段第二章DCN防御手段及原理第三章DCN防御协议配置第四章典型配置案例24Arp-Guard—配置命令arp-guardip命令:arp-guardip<addr>noarp-guardip<addr>功能:添加ARPGuard地址。参数:<addr>为受到保护的以点分十进制形式表示的IP地址。命令模式:端口配置模式。缺省情况:没有ARPGuard地址。25DHCPSnooping—配置任务1.启动DHCPSnooping2.启动DHCPSnooping绑定功能3.启动DHCPSnooping绑定ARP功能(应用一)4.启动DHCPSnooping绑定DOT1X功能(应用二)5.启动DHCPSnooping绑定USER功能(应用三)6.添加静态表项功能(应用四)7.设置信任端口8.设置防御动作9.设置DHCP报文速率限制26DHCPSnooping—配置命令(1)ipdhcpsnooping命令:ipdhcpsnoopingenablenoipdhcpsnoopingenable功能:开启DHCPSnooping功能。参数:无。命令模式:全局配置模式。缺省情况:DHCPSnooping默认关闭。27DHCPSnooping—配置命令(2)ipdhcpsnoopingbinding命令:ipdhcpsnoopingbindingenablenoipdhcpsnoopingbindingenable功能:开启DHCPSnooping绑定功能。参数:无。命令模式:全局配置模式。缺省情况:DHCPSnooping绑定默认关闭。28DHCPSnooping—配置命令(3)ipdhcpsnoopingbindingarp命令:ipdhcpsnoopingbindingarpnoipdhcpsnoopingbindingarp功能:开启DHCPSnooping绑定ARP功能。参数:无。命令模式:全局配置模式。29DHCPSnooping—配置命令(4)ipdhcpsnoopingbindingdot1x命令:ipdhcpsnoopingbindingdot1xnoipdhcpsnoopingbindingdot1x功能:开启DHCPSnooping绑定DOT1X功能。参数:无。命令模式:端口配置模式。缺省情况:所有端口默认不启动绑定DOT1X功能。30DHCPSnooping—配置命令(5)ipdhcpsnoopingbindinguser-control命令:ipdhcpsnoopingbindinguser-controlnoipdhcpsnoopingbindinguser-control功能:开启DHCPSnooping绑定用户功能。参数:无。命令模式:端口配置模式。缺省情况:所有端口默认不启动绑定用户功能。31DHCPSnooping—配置命令(6)ipdhcpsnoopingbindinguser命令:ipdhcpsnoopingbindinguser<mac>address<ipAddr><mask>vlan<vid>interface[Ethernet]<ifname>noIpdhcpsnoopingbindinguser<mac>interface[Ethernet]<ifname>功能:配置静态绑定用户信息。参数:<mac>:静态绑定用户的MAC地址,MAC地址是绑定用户的唯一索引值;<ipAddr>、<mask>:静态绑定用户的IP地址、掩码;<vid>:静态绑定用户的所属VLANID;<ifname>:静态绑定用户的接入端口。命令模式:全局配置模式。缺省情况:DHCPSnooping默认没有静态绑定表项。32DHCPSnooping—配置命令(7)ipdhcpsnoopingtrust命令:ipdhcpsnoopingtrustnoipdhcpsnoopingtrust功能:设置或删除端口的DHCPSnooping信任属性。参数:无。命令模式:端口配置模式。缺省情况:所有端口默认为非信任端口33DHCPSnooping—配置命令(8)ipdhcpsnoopingaction命令:ipdhcpsnoopingaction{shutdown|blackhole}[recovery<second>]noipdhcpsnoopingaction功能:设置或删除端口上的自动防御动作。参数:shutdown:端口检测到伪装DHCPServer时,将shutdown此端口;blackhole:端口检测到伪装DHCPServer时,将以伪装数据包的vid和源mac设置blackhole来阻止此Mac的流量;Recovery:用户可选设置自动防御动作执行后还可以自动恢复(noshut端口或删除相应的blackhole);<second>:用户指定多长时间后恢复防御动作,单位:秒,范围是10-3600。命令模式:端口配置模式。缺省情况:没有默认的防御动作。34DHCPSnooping—配置命令(9)ipdhcpsnoopingactionMaxNum命令:ipdhcpsnoopingaction{<maxNum>|default}功能:设置端口上同时生效的防御动作数目。参数:<maxNum>:每个端口的防御动作数目,范围是1-200,默认为10;default:恢复默认的防御动作数目。命令模式:全局配置模式。缺省情况:默认数目为10。35DHCPSnooping—配置命令(10)ipdhcpsnoopinglimit-rate命令:ipdhcpsnoopinglimit-rate<pps>noipdhcpsnoopinglimit-rate功能:设置DHCP报文速率限制。参数:<pps>:每秒钟转发的DHCP报文数量,范围是0-600,默认为100。0表示不再转发DHCP报文。命令模式:全局配置模式。缺省情况:默认数目为100。36Anti-Arpscan—配置任务1)启动防ARP扫描功能2)配置基于端口和基于IP的防ARP扫描的阈值3)配置信任端口4)配置信任IP5)配置自动恢复时间6)显示和调试防ARP扫描相关信息37Anti-Arpscan—配置命令(1)anti-arpscanenable命令:anti-arpscanenablenoanti-arpscanenable功能:全局启动防ARP扫描功能;no命令全局关闭防ARP扫描功能。参数:无。缺省情况:关闭防ARP扫描功能。命令模式:全局配置模式。38Anti-Arpscan—配置命令(2)anti-arpscanport-basedthreshold<threshold-value>命令:anti-arpscanport-basedthreshold<threshold-value>noanti-arpscanport-basedthreshold功能:设置基于端口的防ARP扫描的接收ARP报文的阈值,如果接收的ARP报文的速率超过此设定值,则关闭此端口。单位为个/秒。no命令恢复为默认值,即10个/秒。参数:速率阈值,有效范围为2-200。缺省情况:10个/秒。命令模式:全局配置模式。39Anti-Arpscan—配置命令(3)anti-arpscanip-basedthreshold<threshold-value>命令:anti-arpscanip-basedthreshold<threshold-value>noanti-arpscanip-basedthreshold功能:设置基于IP的防ARP扫描的接收ARP报文的阈值,如果接收的ARP报文的速率超过此设定值,则交换机所有端口都禁止接收来自此IP的IP报文,而且和此IP相连的端口禁止接收来自此IP的ARP报文。单位为个/秒。no命令恢复为默认值,即3个/秒。参数:速率阈值,有效范围为1-200。缺省情况:3个/秒。命令模式:全局配置模式。40Anti-Arpscan—配置命令(4)anti-arpscantrust<port|supertrust-port>命令:anti-arpscantrust<port|supertrust-port>noanti-arpscantrust<port|supertrust-port>功能:配置为信任端口或超级信任端口;no命令恢复为非信任端口。参数:无。缺省情况:缺省全部为非信任端口。命令模式:端口配置模式。41Anti-Arpscan—配置命令(5)anti-arpscantrustip<ip-address>[<netmask>]命令:anti-arpscantrustip<ip-address[<netmask>]>noanti-arpscantrustip<ip-address[<netmask>]>功能:配置信任IP;no命令恢复为非信任IP。参数:IP的子网掩码。缺省情况:缺省所有IP都为非信任IP。掩码缺省为255.255.255.255。命令模式:全局配置模式。42Anti-Arpscan—配置命令(6)anti-arpscanrecoveryenable命令:anti-arpscanrecoveryenablenoanti-arpscanrecoveryenable功能:启动自动恢复功能,no命令取消自动恢复功能。参数:无。缺省情况:启动自动恢复功能。命令模式:全局配置模式。43Anti-Arpscan—配置命令(7)anti-arpscanrecoverytime<seconds>命令:anti-arpscanrecoverytime<seconds>noanti-arpscanrecoverytime功能:配置自动恢复时间;no命令恢复自动恢复时间为默认值。参数:自动恢复时间值,单位为秒。有效范围为5-86400秒。缺省情况:300秒。命令模式:全局配置模式。44课程内容第一章ARP协议原理及其攻击手段第二章DCN防御手段及原理第三章DCN防御协议配置第四章典型配置案例45典型案例--拓扑图192.168.1.128/24E0/0/1DCS-3950-28CTDCRS-7608IPv4192.168.1.1/24E0/0/24DHCPSRV192.168.1.10/24案例要求:1.通过Anti-Arpscan防御ARP扫描;2.通过Arp-Guard防御网关欺骗;3.通过DHCPSnooping绑定ARP防御交换机表项欺骗;4.通过DHCPSnooping绑定user-control防御主机欺骗。192.168.1.2/2446典型案例—Anti-Arpscan配置DCS-3950-28CT(Config)#anti-arpscanenable//全局使能Anti-arpscan功能DCS-3950-28CT(Config)#anti-arpscanport-basedthreshold30//设置每个端口每秒的ARP报文上限为30个DCS-3950-28CT(Config)#anti-arpscanip-basedthreshold30//设置每个IP每秒的ARP报文上限DCS-3950-28CT(Config)#anti-arpscanrecoveryenable//开启防网段扫描自动恢复功能DCS-3950-28CT(Config)#anti-arpscanrecoverytime300//设置自动恢复的时间DCS-3950-28CT(Config-Ethernet0/0/24)#anti-arpscantrustport//设置E0/0/24为信任端口47典型案例—ARP-Guard配置DCS-3950-28CT(Config-Ethernet0/0/1)#arp-guardip192.168.1.1//设置E0/0/1端口要保护的网关为192.168.1.148典型案例—DHCPSnooping配置(1)DCRS-7608(Config)#ipdhcpsnoopingenable//全局使能DHCPSnooping功能DCRS-7608(Config)#ipdhcpsnoopingbindingenable//全局使能Binding功能DCRS-7608(Config)#ipdhcpsnoopingbindingarp//通过DHCPSnooping全局绑定ARP,防止交换机ARP表项被欺骗49典型案例—DHCPSnooping配置DCS-3950-28CT(Config)#ipdhcpsnoopingenable//全局使能DHCPSnooping功能DCS-3950-28CT(Config)#ipdhcpsnoopingbindingenable//全局使能Binding功能DCS-3950-28CT(Config-Ethernet0/0/24)#ipdhcpsnoopingtrust//设置E0/0/24为信任端口DCS-3950-28CT(Config-Ethernet0/0/1)#ipdhcpsnoopingbindinguser-control//开启E0/0/1端口的BindingUser-Control功能,防止交换机转发非法的ARP报文50小结&QAARP协议原理及其攻击手段DCN防御手段及其原理Anti-ArpscanArpGuardDhcpSnoopingBindingARPBindingUserControlBindingDot1x不同防御手段的特性及差异TroubleShootingQA51学以致用,让网络应用普遍成功!DCN客服中心.技术支持部演讲完毕,谢谢观看!
本文档为【DCN-TS16ARP欺骗与DCN防御手段(v11)】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
个人认证用户
言言无悔一生
暂无简介~
格式:ppt
大小:537KB
软件:PowerPoint
页数:53
分类:
上传时间:2022-01-21
浏览量:1