H3C低端交換機(jī)防ARP攻擊特性總結(jié)

1、目 錄一、支持防ARP攻擊特性的設(shè)備型號(hào)和版本21、H3C品牌2（1）H3C S3100-52P_E1522（2）H3C S3100-EI_E126A2（3）H3C S3100-SI_E126_S2126-EI2（4）H3C S3600-EI2（5）H3C S3600-SI_E328_E3522（6）H3C S3610_S55102（7）H3C S5100-EI3（8）H3C S5100-SI3（9）H3C S5500-EI3（10）H3C S5500-SI3（11）H3C S56003（12）H3C S5500TP-SI32、Quidway品牌4（1）S3026EFGTC_PWR-E026-

2、E026T4（2）S3526E_3526EF_3526C4（3）S3528_3552_3552F4（4）S39004（5）S56004（6）E328_E3524（7）S5100-EI5（8）其他未列出型號(hào)的設(shè)備，表示不支持該特性。5二、ARP防攻擊特性的簡(jiǎn)單介紹61、ARP 入侵檢測(cè)簡(jiǎn)介6（1）“中間人攻擊”簡(jiǎn)介6（2）ARP 入侵檢測(cè)功能72、配置ARP 入侵檢測(cè)功能7三、ARP防攻擊特性的實(shí)施111、網(wǎng)絡(luò)中使用DHCP Server動(dòng)態(tài)分配客戶端IP地址的實(shí)施方案11（1）交換機(jī)上所需配置：11（2）注意事項(xiàng)：112、網(wǎng)絡(luò)中使用靜態(tài)指定方式分配客戶端IP地址的實(shí)施方案12（1）交換機(jī)上所需

3、配置：12（2）注意事項(xiàng)：123、網(wǎng)絡(luò)中使用CAMS服務(wù)器實(shí)現(xiàn)該功能的實(shí)施方案13一、支持防ARP攻擊特性的設(shè)備型號(hào)和版本1、H3C品牌（1）H3C S3100-52P_E152正式版本：目前尚無(wú)版本支持。受限版本：F1600L01及后續(xù)版本。（2）H3C S3100-EI_E126A正式版本：E2102及后續(xù)版本。受限版本：F2200L01。（3）H3C S3100-SI_E126_S2126-EI正式版本：目前尚無(wú)版本支持。受限版本：目前尚無(wú)版本支持。（4）H3C S3600-EI正式版本：目前尚無(wú)版本支持。受限版本：F1600L01及后續(xù)版本。（5）H3C S3600-SI_E328_E

4、352正式版本：目前尚無(wú)版本支持。受限版本：F1600L01及后續(xù)版本。（6）H3C S3610_S5510正式版本：目前尚無(wú)版本支持。受限版本：目前尚無(wú)版本支持。（7）H3C S5100-EI正式版本：R2200及后續(xù)版本。受限版本：E2200。（8）H3C S5100-SI正式版本：R2200及后續(xù)版本。受限版本：E2200。（9）H3C S5500-EI正式版本：目前尚無(wú)版本支持。受限版本：目前尚無(wú)版本支持。（10）H3C S5500-SI正式版本：目前尚無(wú)版本支持。受限版本：目前尚無(wú)版本支持。（11）H3C S5600正式版本：目前尚無(wú)版本支持。受限版本：F1600L01及后續(xù)版本。（

5、12）H3C S5500TP-SI正式版本：目前尚無(wú)版本支持。受限版本：目前尚無(wú)版本支持。2、Quidway品牌（1）S3026EFGTC_PWR-E026-E026T正式版本：R0039P01及后續(xù)版本。受限版本：目前尚無(wú)版本支持。（2）S3526E_3526EF_3526C正式版本：R0042及后續(xù)版本。受限版本：目前尚無(wú)版本支持。（3）S3528_3552_3552F正式版本：R0029及后續(xù)版本。受限版本：目前尚無(wú)版本支持。（4）S3900正式版本：目前尚無(wú)版本支持。受限版本：F1600L01及后續(xù)版本。（5）S5600正式版本：目前尚無(wú)版本支持。受限版本：F1600L01及后續(xù)版本。

6、（6）E328_E352正式版本：目前尚無(wú)版本支持。受限版本：F1600L01及后續(xù)版本。（7）S5100-EI正式版本：R2200及后續(xù)版本。受限版本：目前尚無(wú)版本支持。（8）其他未列出型號(hào)的設(shè)備，表示不支持該特性。二、ARP防攻擊特性的簡(jiǎn)單介紹1、ARP 入侵檢測(cè)簡(jiǎn)介（1）“中間人攻擊”簡(jiǎn)介按照ARP 協(xié)議的設(shè)計(jì)，一個(gè)主機(jī)即使收到的ARP 應(yīng)答并非自身請(qǐng)求得到的，也會(huì)將其IP 地址和MAC 地址的對(duì)應(yīng)關(guān)系添加到自身的ARP 映射表中。這樣可以減少網(wǎng)絡(luò)上過(guò)多的ARP 數(shù)據(jù)通信，但也為“ARP 欺騙”創(chuàng)造了條件。如下圖所示，Host A和Host C通過(guò)Switch進(jìn)行通信。此時(shí)，如果有黑客（

7、Host B）想探聽(tīng)Host A和Host C之間的通信，它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使Host A和Host C用MAC_B更新自身ARP映射表中與對(duì)方IP地址相應(yīng)的表項(xiàng)。此后，Host A 和Host C之間看似“直接”的通信，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的，即Host B擔(dān)當(dāng)了“中間人”的角色，可以對(duì)信息進(jìn)行了竊取和篡改。這種攻擊方式就稱作“中間人（Man-In-The-Middle）攻擊”。（2）ARP 入侵檢測(cè)功能為了防止黑客或攻擊者通過(guò)ARP 報(bào)文實(shí)施“中間人”攻擊，以太網(wǎng)交換機(jī)支持ARP 入侵檢測(cè)功能，即：將經(jīng)過(guò)交換機(jī)的所有ARP（請(qǐng)求與回應(yīng)）報(bào)文重定

8、向到CPU，利用DHCP Snooping 表或手工配置的IP 靜態(tài)綁定表對(duì)ARP報(bào)文進(jìn)行合法性檢測(cè)。開(kāi)啟ARP 入侵檢測(cè)功能后，如果ARP 報(bào)文中的源MAC 地址、源IP 地址、接收ARP 報(bào)文的端口編號(hào)以及端口所在VLAN 與DHCP Snooping 表或手工配置的IP靜態(tài)綁定表表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的ARP 報(bào)文，進(jìn)行轉(zhuǎn)發(fā)；否則認(rèn)為是非法ARP 報(bào)文，直接丟棄。用戶可以通過(guò)配置信任端口，靈活控制ARP 報(bào)文檢測(cè)。對(duì)于來(lái)自信任端口的所有ARP 報(bào)文不進(jìn)行檢測(cè)，對(duì)其它端口的ARP 報(bào)文通過(guò)查看DHCPSnooping 表或手工配置的IP 靜態(tài)綁定表進(jìn)行檢測(cè)。用戶可以通過(guò)配置ARP 嚴(yán)

9、格轉(zhuǎn)發(fā)功能，使ARP 請(qǐng)求報(bào)文僅通過(guò)信任端口進(jìn)行轉(zhuǎn)發(fā)；對(duì)于接收到的ARP 應(yīng)答報(bào)文，首先按照?qǐng)?bào)文中的目的MAC 地址進(jìn)行轉(zhuǎn)發(fā)，若目的MAC 地址不在MAC 地址表中，則將此ARP 應(yīng)答報(bào)文通過(guò)信任端口進(jìn)行轉(zhuǎn)發(fā)。2、配置ARP 入侵檢測(cè)功能配置ARP 入侵檢測(cè)功能之前，需要先在交換機(jī)上開(kāi)啟DHCP Snooping 功能，并設(shè)置DHCP Snooping 信任端口。目前，以太網(wǎng)交換機(jī)在端口上配置的IP 靜態(tài)綁定表項(xiàng)，其所屬VLANID 為端口的缺省VLAN ID。因此，如果ARP 報(bào)文的VLAN TAG 與端口的PVID值不同，報(bào)文將無(wú)法通過(guò)根據(jù)IP 靜態(tài)綁定表項(xiàng)進(jìn)行的ARP 入侵檢測(cè)。當(dāng)ARP

10、 入侵檢測(cè)功能與VLAN Mapping 功能配合使用時(shí)，為保證功能的正確實(shí)現(xiàn)，需要在原始VLAN 和映射后的VLAN 內(nèi)同時(shí)開(kāi)啟ARP 入侵檢測(cè)功能。一般情況下，需要配置交換機(jī)的上行端口作為ARP 信任端口。在開(kāi)啟ARP 嚴(yán)格轉(zhuǎn)發(fā)功能之前，需要先在交換機(jī)上開(kāi)啟ARP 入侵檢測(cè)功能，并配置ARP 信任端口。建議用戶不要在匯聚組中的端口或Fabric 端口上配置ARP 入侵檢測(cè)功能。具體配置命令如下：當(dāng)網(wǎng)絡(luò)中存在未使用DHCP Server動(dòng)態(tài)分配客戶端IP地址的組網(wǎng)方式時(shí)，需使用DHCP Snooping功能中“IP過(guò)濾”特性，對(duì)IP和MAC地址進(jìn)行靜態(tài)的綁定。由于DHCP Snooping

11、表項(xiàng)只記錄了通過(guò)DHCP 方式動(dòng)態(tài)獲取IP 地址的客戶端信息，如果用戶手工配置了固定IP 地址，其IP 地址、MAC 地址等信息將不會(huì)被DHCPSnooping 表記錄，因此不能通過(guò)基于DHCP Snooping 表項(xiàng)的IP 過(guò)濾檢查，導(dǎo)致用戶無(wú)法正常訪問(wèn)外部網(wǎng)絡(luò)。為了能夠讓這些擁有合法固定IP 地址的用戶訪問(wèn)網(wǎng)絡(luò)，交換機(jī)支持手工配置IP 靜態(tài)綁定表的表項(xiàng)，即：用戶的IP 地址、MAC 地址及連接該用戶的端口之間的綁定關(guān)系。以便順利轉(zhuǎn)發(fā)該用戶的報(bào)文。交換機(jī)對(duì)IP 報(bào)文的兩種過(guò)濾方式：、根據(jù)報(bào)文中的源IP 地址進(jìn)行過(guò)濾。如果報(bào)文的源IP 地址、接收?qǐng)?bào)文的交換機(jī)端口編號(hào)，與DHCP Snoopin

12、g 表或手工配置的IP 靜態(tài)綁定表表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的報(bào)文，直接轉(zhuǎn)發(fā)；否則認(rèn)為是非法報(bào)文，直接丟棄。、根據(jù)報(bào)文中的源IP 地址和源MAC 地址進(jìn)行過(guò)濾。如果報(bào)文的源IP 地址、源MAC 地址、接收?qǐng)?bào)文的交換機(jī)端口編號(hào)，與DHCP Snooping 表或手工配置的IP 靜態(tài)綁定表表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的報(bào)文，直接轉(zhuǎn)發(fā)；否則認(rèn)為是非法報(bào)文，直接丟棄。需要注意的是：配置IP 過(guò)濾功能之前，需要先開(kāi)啟交換機(jī)的DHCP Snooping 功能，并配置信任端口。請(qǐng)用戶不要在匯聚組中的端口或Fabric 端口上配置IP 過(guò)濾功能。如果某端口下開(kāi)啟IP 過(guò)濾功能時(shí)，指定了mac-address

13、 參數(shù)，則此端口下配置的IP 靜態(tài)綁定表項(xiàng)必須指定mac-address mac-address 參數(shù)，否則該固定IP 地址的客戶端發(fā)送的報(bào)文無(wú)法通過(guò)IP 過(guò)濾檢查。以太網(wǎng)交換機(jī)上手工配置的IP 靜態(tài)綁定表項(xiàng)的優(yōu)先級(jí)高于DHCP Snooping 動(dòng)態(tài)表項(xiàng)。具體表現(xiàn)在：如果手工配置的IP 靜態(tài)綁定表項(xiàng)中的IP 地址與已存在的DHCP Snooping 動(dòng)態(tài)表項(xiàng)的IP 地址相同，則覆蓋DHCP Snooping 動(dòng)態(tài)表項(xiàng)的內(nèi)容；如果先配置了IP 靜態(tài)綁定表項(xiàng)，再開(kāi)啟交換機(jī)的DHCP Snooping 功能，則DHCP 客戶端不能通過(guò)該交換機(jī)獲取到IP 靜態(tài)綁定表項(xiàng)中已經(jīng)存在的IP 地址。在端口上

14、配置的IP 靜態(tài)綁定表項(xiàng)，其所屬VLAN 為端口的缺省VLAN ID。三、ARP防攻擊特性的實(shí)施1、網(wǎng)絡(luò)中使用DHCP Server動(dòng)態(tài)分配客戶端IP地址的實(shí)施方案（1）交換機(jī)上所需配置：# vlan 1 arp detection enable # interface Vlan-interface1 ip address 1.1.1.1 255.0.0.0 # interface Ethernet1/0/3 （連接DHCP Server的接口） dhcp-snooping trust ip source static binding ip-address 1.1.1.10 mac-addre

15、ss 0000-0000-0002 （若想ping通DHCP Server，需綁定該Server的IP和MAC） # dhcp-snooping #（2）注意事項(xiàng)：、要想PC可以ping通DHCP Server的IP地址，需在連接DHCP Server的接口上配置“arp detection trust”或綁定該Server的IP和MAC。、DHCP Relay是三層的功能，DHCP Snooping是二層的功能，DHCP Relay對(duì)DHCP報(bào)文作三層轉(zhuǎn)發(fā)，DHCP Snooping對(duì)DHCP報(bào)文作二層透?jìng)鳎虼藘烧邿o(wú)法同時(shí)使用。、 DHCP Relay和DHCP Snooping對(duì)涉及對(duì)表

16、項(xiàng)進(jìn)行記錄，同時(shí)提供給dot1x認(rèn)證模塊使用，兩個(gè)功能同時(shí)使用，則dot1x功能也會(huì)混亂。、如果DHCP Server和ARP防攻擊功能在同一臺(tái)設(shè)備上開(kāi)啟，那么下連PC無(wú)法ping通接口地址池所在VLAN虛接口的IP地址，如果開(kāi)啟全局地址池，那么下連PC無(wú)法ping通該設(shè)備上和上層設(shè)備的虛接口IP地址。2、網(wǎng)絡(luò)中使用靜態(tài)指定方式分配客戶端IP地址的實(shí)施方案（1）交換機(jī)上所需配置：#vlan 1 arp detection enable # interface Vlan-interface1 ip address 1.1.1.2 255.0.0.0 # interface Aux1/0/0 #

17、interface Ethernet1/0/1 # interface Ethernet1/0/2 （連接PC的接口） ip source static binding ip-address 1.1.1.1 mac-address 0015-c50d-1645 # dhcp-snooping #（2）注意事項(xiàng)：、在網(wǎng)絡(luò)環(huán)境中，如果沒(méi)有使用DHCP Server，那么要使能防ARP攻擊的功能，就需要配置IP靜態(tài)綁定表。在配置靜態(tài)綁定時(shí)，只有配置了IP和MAC綁定關(guān)系后，才能實(shí)現(xiàn)該特性。如果只在接口下配置檢測(cè)IP地址，那么arp功能沒(méi)有起作用，配置如下：#vlan 1 arp detection enable # interface Vlan-interface1 ip address 1.1.1.2 255.0.0.0 # interface Aux1/0/0 # interface Ethe