Catalyst 交換機(jī)對arp攻擊抑制實(shí)例_第1頁
Catalyst 交換機(jī)對arp攻擊抑制實(shí)例_第2頁
Catalyst 交換機(jī)對arp攻擊抑制實(shí)例_第3頁
Catalyst 交換機(jī)對arp攻擊抑制實(shí)例_第4頁
Catalyst 交換機(jī)對arp攻擊抑制實(shí)例_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、概述:ARP 攻擊的現(xiàn)象ARP攻擊的分析Catalyst交換機(jī)對ARP攻擊的抑制應(yīng)用配置實(shí)例Gratutious ARP 的數(shù)據(jù)包格式概述:目前,很多局域網(wǎng)絡(luò)都遇到了 ARP攻擊,典型現(xiàn)象是交換機(jī)的日志或Console 口 上出現(xiàn)大量的地址重復(fù)信息(Duplicate address),大量的PC機(jī)不能上網(wǎng),查 看不能上網(wǎng)的PC的ARP表,發(fā)現(xiàn)網(wǎng)關(guān)IP對應(yīng)的MAC地址不正確。這是遇到ARP攻擊的典型現(xiàn)象,遇到這種攻擊主要是因?yàn)锳RP攻擊的編寫者將它 附在P2P軟件上,此外網(wǎng)絡(luò)上有很多免費(fèi)的軟件如,網(wǎng)絡(luò)執(zhí)法官、網(wǎng)絡(luò)剪刀手 (NetCut)都具有ARP攻擊能力,Cisco的Catalyst交換機(jī)的

2、ARP Inspection能力 可以成功抑制這種攻擊,并且根據(jù)Log記錄攻擊者的源MAC和所連接端口的信 息。1.ARP 攻擊的現(xiàn)象顯示 IP 地址重復(fù)當(dāng)LAN遇到網(wǎng)絡(luò)攻擊時(shí),典型的現(xiàn)象是在Console 口上或在日志信息顯示:09:12:11: %IP-4-DUPADDR:Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa09:12:11: %SYS-5-CONFIG_I: Configured from console by console09:12:41: %IP-4-DUPADDR: Dupli

3、cate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aaPC都不能上網(wǎng),PC ARP表網(wǎng)關(guān)IP對應(yīng)的MAC地址不正確Vlan上的PC不能上網(wǎng),PC ping網(wǎng)關(guān)地址不通。在不能上網(wǎng)的機(jī)器上不斷顯示ARP表,網(wǎng)關(guān)IP對應(yīng)的MAC地址在不斷的變化, 偶爾是正確的 MAC 地址,偶爾是攻擊者的 MAC 地址:C:Documents and Settingsjiangjunarp -aInterface: 210.53.131.161- 0 x2Internet Address Physical Address Type210.

4、53.131.16900-15-fa-87-3f-c0 dynamicC:Documents and Settingsjiangjunarp -aInterface: 210.53.131.161 - 0 x2Internet AddressPhysical AddressType210.53.131.16900-00-d2-34-83-aa dynamic00-00-d2-34-83-aa 是攻擊者的 MAC 地址。2ARP攻擊的分析攻擊過程實(shí)際上攻擊過程很簡單,主要是利用 Gratuitous Arp 更改所有 VLAN PC 的 ARP 表,攻擊者 A 發(fā)送一個(gè) Gratuitous A

5、rp, 廣播給同一 VLAN 300 的所有 PC, 告訴 所有PC,網(wǎng)關(guān)IP對應(yīng)的MAC地址是攻擊者的MAC地址,因此所有 PC 接到這個(gè) Gratuitous Arp 公告后, 更改它的 arp 表,將網(wǎng)關(guān) IP 地址 對應(yīng)的 mac 地址改成攻擊者的 mac 地址,因此所有流量并沒有發(fā)給網(wǎng)關(guān),而是發(fā)給 攻擊者,所有 PC 不能上網(wǎng)。Gratuitous ARP 的用途ARP是用來獲得目標(biāo)IP地址的MAC地址,有一種ARP叫做Gratuitous ARP,通 常在網(wǎng)絡(luò)上用來作為特殊用途:A)檢查 IP 地址重復(fù)主機(jī) A 為了檢查 IP 地址重復(fù),會(huì)發(fā)送一個(gè) Gratutious Arp 請

6、求,這個(gè)請求很特 殊,他會(huì)詢問主機(jī) A 自己的 IP 地址對應(yīng)的 MAC 地址是多少,如果有 IP 地址重復(fù) ,則主機(jī) A 收到一個(gè)響應(yīng),則表明有地址重復(fù)。由于攻擊者 A 發(fā)送的 Gratuitous ARP 內(nèi)容中包含網(wǎng)關(guān)的 IP 地址,因此,網(wǎng)關(guān)收 到后,發(fā)現(xiàn)其它PC在通告自己IP的MAC地址,因此網(wǎng)關(guān)(交換機(jī))會(huì)報(bào)IP地址 重復(fù)信息。B)更新其他主機(jī)的ARP表如HSRP的主網(wǎng)關(guān)A切換到網(wǎng)關(guān)B后,B會(huì)發(fā)送一個(gè)Gratutious Arp,通知所有PC 更換它的ARP表,因此所有PC將流量發(fā)送給新的網(wǎng)關(guān)BC)通知交換機(jī)更新交換機(jī)的 CAM 表,使得交換機(jī)知道 mac 地址對應(yīng)哪個(gè)端口如當(dāng)pc

7、移動(dòng)后,插在另外一個(gè)端口時(shí),pc主動(dòng)發(fā)送gratutious Arp,使得交換機(jī) 及時(shí)更新CAM表3. Catalyst交換機(jī)對ARP攻擊的抑制3.1 靜態(tài) ARP 訪問控制列表Cisco交換機(jī)可以對Arp包進(jìn)行分析,Arp攻擊的本質(zhì)是篡改了 IP地址和MAC地 址的對應(yīng)關(guān)系,因此在交換機(jī)中的Arp ACL定義了網(wǎng)關(guān)IP地址和其正確MAC地址 的對應(yīng)關(guān)系,對于不正確的網(wǎng)關(guān)IP地址和MAC地址對應(yīng)的ARP packet,予以丟 棄。靜態(tài)ARP訪問控制列表對攻擊者冒充網(wǎng)關(guān)的MAC地址作用較大,大多數(shù)攻擊都是 冒充網(wǎng)關(guān)的MAC地址。對于攻擊者冒充其它 PC 的 MAC 的配置工作量較大,若網(wǎng)絡(luò)使用了

8、 DHCP, 結(jié)合 DHCP Snooping則可有效避免針對任何PC的MAC地址欺騙。4應(yīng)用實(shí)例下圖是一個(gè) ARP 攻擊的實(shí)例,描述了攻擊前和攻擊后的現(xiàn)象,它檢驗(yàn)了 Catalyst 成功抑制了 ARP 攻擊。攻擊者 M 是一臺測試儀,發(fā)出 Gratutious ARP, 告訴同一 Vlan 的主機(jī)網(wǎng)關(guān) IP 地 址 210.53.131.169 對應(yīng)的 MAC 地址是主機(jī) M 的 MAC 地址。攻擊者M(jìn)的MAC地址為0000.d234.83aa,網(wǎng)關(guān)的MAC地址為0015.fa87.3fc0。攻擊者M(jìn)的MAC地址為0000.d234.83aa,網(wǎng)關(guān)的MAC地址為0015.fa87.3fc0

9、。Layer 3 NetworJG3在同一個(gè)Vlan VI汕接口地址:210.53.131.169Host “B攻擊者“M”GatesGiTitutious ARP默認(rèn)兩關(guān)=210.53.131.169主機(jī)默認(rèn)兩關(guān)=210.53.131.169攻擊前,主機(jī)A可成功的和默認(rèn)網(wǎng)關(guān)210.53.131.169通C:Documents and Settingsjiangjunping 210.53.131.169Pinging 210.53.131.169 with 32 bytes of data:Reply from 210.53.131.169: bytes=32 time=2ms TTL=24

10、8Reply from 210.53.131.169: bytes=32 time=1ms TTL=248 ARP攻擊發(fā)生時(shí),報(bào)IP地址重復(fù)錯(cuò)誤09:12:11: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa09:12:11: %SYS-5-CONFIG_I: Configured from console by console09:12:41: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, so

11、urced by 0000.d234.83aa /arp attacker mac address09:13:11: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa09:13:41: %IP-4-DUPADDR:Catalyst交換機(jī)對ARP攻擊的抑制配置實(shí)例09:13:41: %IP-4-DUPADDR:Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa此時(shí),主機(jī)A不能ping通網(wǎng)

12、關(guān)C:Documents and Settingsjiangjunping 210.53.131.169Pinging 210.53.131.169 with 32 bytes of data:Request timed out.Request timed out.在6500上配置arp inspection,抑制這種攻擊,此時(shí),將arp攻擊進(jìn)入的端 口 disable6500(config)#arp access-list deny-arp/只允許正確的網(wǎng)關(guān)IP地址和網(wǎng)關(guān)MAC對應(yīng)的ARP包通過6500(config-arp-nacl)#permit ip host 210.53.131.1

13、69 mac host 0015.fa87.3fc06500(config-arp-nacl)#deny ip host 210.53.131.169 mac any log 6500(config-arp-nacl)#permit ip any mac any/將此 ARP ACL 應(yīng)用到 vlan 300 上6500(config)#ip arp access-list filter deny-arp vlan 300此時(shí),攻擊者所連的端口 Gi3/3 被自動(dòng) disable.09:49:27: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets rece

14、ived in 0 milliseconds on Gi3/3.09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error detected on Gi3/3, putting Gi3/3 in err-disable state09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error detected on Gi3/3, putting Gi3/3 in err-disable state09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error det

15、ected on Gi3/3, putting Gi3/3 in err-disable state09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error detected on Gi3/3, putting Gi3/3 in err-disable state注:Arp Inspection缺省是超過15 pps時(shí),將端口處于err-disable狀態(tài),超過多少轉(zhuǎn)發(fā) 能力的門檻值,你可以設(shè)定,除此之外,你可以指定時(shí)間,當(dāng)過了這段時(shí)間后又恢復(fù)正常狀態(tài)。E)主機(jī)A又可以和網(wǎng)關(guān)通信了C:Documents and Settingsjiangjunp

16、ing 210.53.131.169Pinging 210.53.131.169 with 32 bytes of data:Reply from 210.53.131.169: bytes=32 time=2ms TTL=248Reply from 210.53.131.169: bytes=32 time=1ms TTL=2485. Gratutious ARP 的數(shù)據(jù)包格式根據(jù) RFC 826 定義的 ARP 數(shù)據(jù)包格式如下:Dest IMAC Addr 1SouiveMAC AddrFrameTypeH/WTypeProtTypeH/WSizeProtSizeOpCodeSenderM

17、ACMtUSenderIP AiUUTargetMACMshTarget IP陰0 x0806OxOSOO 64(ARP)(IPy4)OxOl(Etliemet)Gratutious ARP的格式很特殊,Gratutious ARP分為兩種類型:Request或Response, 但是這兩種類型的包的 Sender IP 和 Target IP 的地址是一樣的,由 于它是 Broadcast, 因此 Header 的 Dest MAC 和 Target MAC 都是因此針對網(wǎng)關(guān)的 MAC 地址欺騙的 Gratutious 數(shù)據(jù)包格式如下:Ethernet II, Src: 0000.d234.

18、83aa , Dst: ff:ff:ff:ff:ff:ffDestination: ff:ff:ff:ff:ff:ff (Broadcast)Source: 0000.d234.83aa (0000.d234.83aa)Type: ARP (0 x0806)Trailer: 000000000000000000000000000000000000Address Resolution Protocol (request/gratuitous ARP)Hardware type: Ethernet (0 x0001)Protocol type: IP (0 x0800)Hardware size: 6Protocol size: 4Opcode: request (0 x0001)Sender MAC address: 0000.d234.83

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論