内网防止ARP攻击解决方案.doc

内网防止 ARP 攻击解决方案内网防止 ARP 攻击解决方案自 2006 年以来,基于病毒的 arp 攻击愈演愈烈。地址转换协议 ARP ( Address Resolution Protocol )是个链路层协议,它工作在 OSI 参考模型的第二层即数据链路层, 与下层物理层之间通过硬件接口进行联系,同时为上层网络层提供服务。 ARP 攻击原理虽然简单, 易于分析, 但是网络攻击往往是越简单越易于散布, 造成的危害越大。对于网络协议, 可以说只要没有验证机制, 那么就可以存在欺骗攻击, 可以被非法利用。下面我们介绍几种常见 ARP 攻击典型的症状: 上网的时候经常会弹出一些广告, 有弹出窗口形式的, 也有嵌入网页形式的。下载的软件不是原本要下载的,而是其它非法程序。网关设备 ARP 表项存在大量虚假信息, 上网时断时续; 网页打开速度让使用者无法接受。终端不断弹出“本机的 XXX 段硬件地址与网络中的 XXX 段地址冲突”的对话框。对于 ARP 攻击,可以简单分为两类: 一、 ARP 欺骗攻击,又分为 ARP 仿冒网关攻击和 ARP 仿冒主机攻击。二、 ARP 泛洪( Flood )攻击,也可以称为 ARP 扫描攻击。对于这两类攻击, 攻击程序都是通过构造非法的 ARP 报文, 修改报文中的源 IP 地址与(或)源 MAC 地址, 不同之处在于前者用自己的 MAC 地址进行欺骗,后者则大量发送虚假的 ARP 报文,拥塞网络。接入交换机 ARP 攻击防御接入交换机是最接近用户侧的网络设备, 也最适于通过它进行相关网络攻击防护。通过对接入交换机的适当设置, 我们可以将很多网络威胁隔离在交换机的每端口内,而不至于对整网产生危害。 1:AM 功能 AM( access management )又名访问管理,它利用收到数据报文的信息(源 IP 地址或者源 IP+ 源 MAC )与配置硬件地址池( AM pool )相比较,如果找到则转发,否则丢弃。 AM pool 是一个地址列表, 每一个地址表项对应于一个用户。每一个地址表项包括了地址信息及其对应的端口。地址信息可以有两种: IP 地址( ip-pool ),指定该端口上用户的源 IP 地址信息。 MAC-IP 地址( mac-ip pool ),指定该端口上用户的源 MAC 地址和源 IP 地址信息。当 AM 使能的时候, AM 模块会拒绝所有的 IP 报文通过( 只允许 IP 地址池内的成员源地址通过)。我们可以在交换机端口创建一个 MAC+IP 地址绑定,放到地址池中。当端口下联主机发送的 IP 报文( 包含 ARP 报文)中, 所含的源 IP+ 源 MAC 不符合地址池中的绑定关系,此报文就将被丢弃。配置命令示例如下: 举例:使能 AM 并允许交接口 4 上源 IP为 ,源 MAC 是 00-01-10-22-33-10 的用户通过。 Switch(Config)#am enable Switch(Config)#interface 0/0/4 Switch(Config-0/0/4)#am port Switch(Config-0/0/4)#am mac-ip-pool 00-01-10-22-33-10 功能优点配置简单,除了可以防御 ARP 攻击,还可