H3C ARP攻擊防御解決方案

zhangyd6

“全面防御，模塊定制”

 H3C ARP攻擊防御解決方案

1  前言

當(dāng)計(jì)算機(jī)連接正常，卻無(wú)法打開(kāi)網(wǎng)頁(yè)；或者計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)頻繁斷線，同時(shí)網(wǎng)速變得非常慢，這些都可能是網(wǎng)絡(luò)中存在ARP欺騙攻擊所表現(xiàn)出來(lái)的網(wǎng)絡(luò)現(xiàn)象。

ARP欺騙攻擊不僅會(huì)造成聯(lián)網(wǎng)不穩(wěn)定，引發(fā)用戶無(wú)法上網(wǎng)，或者企業(yè)斷網(wǎng)導(dǎo)致重大生產(chǎn)事故，而且利用ARP欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊，以此非法獲取到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的帳號(hào)和口令，對(duì)被攻擊者造成利益上的重大損失。因此ARP欺騙攻擊是一種非常惡劣的網(wǎng)絡(luò)攻擊行為。

ARP攻擊已經(jīng)對(duì)各行各業(yè)網(wǎng)絡(luò)造成了巨大威脅，但一直沒(méi)有得到有效的解決。連我們熟知的殺毒軟件、防火墻都擋不住ARP 欺騙攻擊。主要由于ARP欺騙攻擊的木馬程序，通常會(huì)偽裝成常用軟件的一部分被下載并被激活，或者作為網(wǎng)頁(yè)的一部分自動(dòng)傳送到瀏覽者的電腦上并被激活，或者通過(guò)U盤、移動(dòng)硬盤等方式進(jìn)入網(wǎng)絡(luò)。由于木馬程序的形態(tài)特征都在不斷變化和升級(jí)，殺毒軟件常常會(huì)失去作用。

2  方案概述

分析ARP攻擊的特點(diǎn)，結(jié)合市場(chǎng)實(shí)際需求，H3C公司推出了全面有效的ARP攻擊防御解決方案。

“全面防御，模塊定制” H3C ARP攻擊防御解決方案

H3C ARP攻擊防御解決方案通過(guò)對(duì)客戶端、接入交換機(jī)和網(wǎng)關(guān)三個(gè)控制點(diǎn)實(shí)施自上而下的“全面防御”，并且能夠根據(jù)不同的網(wǎng)絡(luò)環(huán)境和客戶需求進(jìn)行“模塊定制”，為用戶提供多樣、靈活的ARP攻擊防御解決方案。

H3C提供兩類ARP攻擊防御解決方案：監(jiān)控方式，認(rèn)證方式。監(jiān)控方式主要適用于動(dòng)態(tài)接入用戶居多的網(wǎng)絡(luò)環(huán)境，認(rèn)證方式主要適用于認(rèn)證方式接入的網(wǎng)絡(luò)環(huán)境；實(shí)際部署時(shí)，建議分析網(wǎng)絡(luò)的實(shí)際場(chǎng)景，選擇合適的攻擊防御解決方案。另外，結(jié)合H3C獨(dú)有的iMC智能管理中心，可以非常方便、直觀的配置網(wǎng)關(guān)綁定信息，查看網(wǎng)絡(luò)用戶和設(shè)備的安全狀況，不僅有效的保障了網(wǎng)絡(luò)的整體安全，更能快速發(fā)現(xiàn)網(wǎng)絡(luò)中不安全的主機(jī)和ARP攻擊源，并迅速做出反映。

3  功能特點(diǎn)

u       更靈活。提供監(jiān)控模式和認(rèn)證模式兩大類方案，組網(wǎng)方式多樣、靈活。

u       更徹底。多種方式組合能夠全面防御新建網(wǎng)絡(luò)ARP攻擊，切實(shí)保障網(wǎng)絡(luò)穩(wěn)定和安全。

u       保護(hù)投資。對(duì)接入交換機(jī)的依賴較小，可以較好的支持現(xiàn)有網(wǎng)絡(luò)的利舊，兼容大部分現(xiàn)有網(wǎng)絡(luò)場(chǎng)景，有效保護(hù)投資。

u       適用性強(qiáng)。解決方案適應(yīng)動(dòng)態(tài)和靜態(tài)兩種地址分配方式，通過(guò)終端、接入交換機(jī)、網(wǎng)關(guān)多種模塊的組合，適用于各種復(fù)雜的組網(wǎng)環(huán)境。

H3C ARP攻擊防御解決方案的推出，為教育、金融、政府、企業(yè)等客戶網(wǎng)絡(luò)徹底解決了ARP欺騙攻擊的問(wèn)題，其“全面防御 模塊定制”的理念，能夠滿足新舊網(wǎng)絡(luò)的不同需要，讓ARP欺騙攻擊從此不再困擾！

4  典型應(yīng)用4.1  監(jiān)控方式

接入交換機(jī)通過(guò)監(jiān)控用戶的正常動(dòng)態(tài)IP地址獲取過(guò)程，獲取正常用戶的IP-MAC對(duì)應(yīng)關(guān)系在接入交換機(jī)上綁定。接入交換機(jī)過(guò)濾掉所有不匹配綁定關(guān)系的ARP報(bào)文，來(lái)防止接入的用戶主機(jī)進(jìn)行ARP欺騙攻擊。這種防攻擊手段能夠有效防御各種ARP攻擊。對(duì)于某些采用靜態(tài)IP地址設(shè)置，如打印機(jī)、服務(wù)器的特殊客戶端，可以采取在接入交換機(jī)上手工添加表項(xiàng)的方式進(jìn)行合法IP-MAC的綁定。

業(yè)務(wù)流程如下圖：

圖1 監(jiān)控模式示意圖

 

4.2  認(rèn)證方式

如下圖所示，通過(guò)增強(qiáng)用戶的認(rèn)證機(jī)制來(lái)獲取上線用戶的IP-MAC對(duì)應(yīng)關(guān)系，并且利用認(rèn)證的手段來(lái)確認(rèn)當(dāng)前用戶的合法性。從而有效的解決難以獲取合法用戶的IP-MAC對(duì)應(yīng)關(guān)系的問(wèn)題。同時(shí)通過(guò)事先在認(rèn)證服務(wù)器上配置網(wǎng)關(guān)的IP-MAC對(duì)應(yīng)關(guān)系的方式來(lái)集中管理網(wǎng)絡(luò)中存在的網(wǎng)關(guān)的IP-MAC信息。當(dāng)合法用戶上線時(shí)，可以利用上述的兩個(gè)關(guān)鍵信息對(duì)網(wǎng)絡(luò)中存在的虛假ARP報(bào)文以過(guò)濾或者綁定合法的ARP信息，從而有效的防御ARP欺騙行為。H3C的防御手段充分的考慮了方案實(shí)施的適應(yīng)性要求，對(duì)虛假ARP報(bào)文加以過(guò)濾或者綁定合法ARP信息的功能可以根據(jù)網(wǎng)絡(luò)的條件分開(kāi)使用。具體模式如下圖所示：

圖2 認(rèn)證模式示意圖

4.2.1  認(rèn)證模式之終端防護(hù)

如下圖所示，在用戶進(jìn)行802.1X認(rèn)證的過(guò)程中，通過(guò)iMC服務(wù)器下發(fā)預(yù)定的網(wǎng)關(guān)IP-MAC映射到iNode客戶端，iNode客戶端在用戶PC上針對(duì)所有網(wǎng)卡查找匹配的網(wǎng)關(guān)，并將匹配網(wǎng)關(guān)的IP-MAC映射關(guān)系在PC上形成靜態(tài)ARP綁定，從而有效防止針對(duì)主機(jī)的網(wǎng)關(guān)仿冒ARP攻擊。如下所示圖：

圖3 認(rèn)證模式之終端防護(hù)示意圖

4.2.2  認(rèn)證模式之接入綁定

如下所示圖，在用戶進(jìn)行802.1X認(rèn)證的過(guò)程中，通過(guò)擴(kuò)展802.1X協(xié)議報(bào)文，在eapol的response報(bào)文（code=1、type=2）中攜帶用戶PC的IP地址（iNode客戶端需選定“上傳IP地址”選項(xiàng)，且推薦客戶PC上手工配置IP地址及網(wǎng)關(guān)），接入交換機(jī)通過(guò)監(jiān)聽(tīng)802.1X認(rèn)證過(guò)程的協(xié)議報(bào)文，將用戶PC的IP地址、MAC地址和接入端口形成綁定關(guān)系，在接入交換機(jī)上建立IP-MAC-Port映射表項(xiàng)，并據(jù)此對(duì)用戶發(fā)送的ARP/IP報(bào)文進(jìn)行檢測(cè)，從而有效防止用戶的非法ARP/IP報(bào)文進(jìn)入網(wǎng)絡(luò)。類似于監(jiān)控模式，對(duì)于某些不能采用認(rèn)證手段的特殊客戶端，如打印機(jī)等，也可以采取在接入交換機(jī)上手工綁定該終端的合法IP-MAC。

圖4 認(rèn)證模式之接入綁定示意圖

http://www.h3c.com.cn/Solutions/Base_Network_Secrity/Dummy_Garden_Solutions/ARP_Noattack_Solutions/What_Is_It/Solutions_Summary/200712/327110_30004_0.htm