設(shè)置自動(dòng)的ARP檢測(cè)

簡(jiǎn)單的描述一下在Catalyst 6500交換機(jī)上如何配置DAI（dynamic Address Resolution Protocol inspection）自動(dòng)的ARP檢測(cè)， 和有關(guān)ARP攻擊的原理。

理解ARP：

ARP通過在2層的廣播提過ip地址向mac地址的轉(zhuǎn)換來提供ip的通信。 比如主機(jī)a要想和在一個(gè)廣播域的主機(jī)b進(jìn)行通信， 但是沒有主機(jī)b的mac地址（我們都知道在2層的通信是通過mac進(jìn)行的）在它的ARP緩存里面。 主機(jī)a就會(huì)向所在的廣播域的所有主機(jī)發(fā)廣播， 問誰的mac是主機(jī)b的ip地址， 所有主機(jī)都會(huì)接受這個(gè)請(qǐng)求（ARP request）， 來核對(duì)自己的mac。 只有符合的主機(jī)也就是主機(jī)b才作出應(yīng)答（ARP responds）。

理解DAI和ARP攻擊：

DAI提供了信任的ARP包的安全監(jiān)測(cè)機(jī)制。 DAI可以截獲， 記錄， 丟棄一切在網(wǎng)絡(luò)中不被信任的ip-mac的綁定地址， 這樣就能有效的防止網(wǎng)絡(luò)中的ARP攻擊。 DAI通過以下機(jī)制來確認(rèn)合法的的ARP請(qǐng)求和回復(fù)的更新：

1．

在不信任的接口上檢測(cè)所有的ARP請(qǐng)求和回復(fù)

2．

在更新本地的ARP緩存或者在泛洪到相關(guān)的目的地之前， 先確認(rèn)每一個(gè)被監(jiān)測(cè)的數(shù)據(jù)包有一個(gè)信任的ip-mac的綁定地址

3．

丟棄所有不信任的ARP數(shù)據(jù)包

DIA通過建立一個(gè)ip-mac綁定數(shù)據(jù)庫， 通常是DHCP檢測(cè)綁定數(shù)據(jù)庫， 來確定ARP數(shù)據(jù)包的可信任性。 這個(gè)數(shù)據(jù)庫是通過DHCP檢測(cè)來建立的， DHCP可以在VLAN和swich上應(yīng)用。 如果ARP數(shù)據(jù)包是從不被信任的接口進(jìn)來， 交換機(jī)將不會(huì)做任何處理就直接泛洪， 如果是從不被信任的接口進(jìn)來， 交換機(jī)只會(huì)泛洪被信任的數(shù)據(jù)包。

用戶還可以通過ALC來控制不想通過DHCP服務(wù)來自動(dòng)獲得ip的主機(jī)。 這些ip往往是用戶通過手工指定的ip地址。 DAI還可以記錄所有被丟棄的ARP數(shù)據(jù)包， 這樣就可以方便的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的威脅隱患。 用戶也可以通過配置DAI來實(shí)現(xiàn)丟棄ARP數(shù)據(jù)包， 當(dāng)這些數(shù)據(jù)包的ip地址是不被信任的， 或者這些數(shù)據(jù)包的mac地址不能匹配先前指定的mac地址。

理解ARP攻擊：

簡(jiǎn)單的說ARP攻擊就是利用了ARP允許即使在ARP請(qǐng)求沒有回復(fù)的情況下， 接受從一個(gè)主機(jī)發(fā)出的答復(fù)。 從而達(dá)到被攻擊者的主機(jī)的數(shù)據(jù)流量同時(shí)先通過攻擊者主機(jī)然后再流向路由器等設(shè)配。 比如， a主機(jī)想向b通信， 雙方都有各自的ip和mac的對(duì)應(yīng)表在arp緩存里面， 攻擊者c告訴a自己的mac對(duì)應(yīng)的ip是b的ip， 同樣告訴b自己的mac對(duì)應(yīng)的ip是a的ip。 從而a發(fā)向b的數(shù)據(jù)， 就會(huì)被中間的c所截獲。 同理如果a和b不是在一個(gè)網(wǎng)段上， c也可以通過向a告知自己的mac對(duì)對(duì)應(yīng)的ip是網(wǎng)關(guān)的ip， 向網(wǎng)關(guān)通告自己的mac對(duì)應(yīng)的ip是a的ip， 從而就能截獲a所有向外網(wǎng)的流量。 可見ARP攻擊帶來的影響是相當(dāng)大的， 在一個(gè)復(fù)雜的局域網(wǎng)里面可以把在一個(gè)廣播域里面的所有機(jī)器弄得不能上網(wǎng)。

接口的信任狀態(tài)和網(wǎng)絡(luò)的安全:

數(shù)據(jù)包如果到達(dá)一個(gè)信任的接口就可以繞過DAI的確認(rèn)檢測(cè)， 如果到達(dá)的接口是不被信任的就會(huì)出發(fā)DAI確認(rèn)檢測(cè)。

在一個(gè)典型的網(wǎng)絡(luò)配置里面， 一般用戶把和主機(jī)相連的交換機(jī)接口配置成為不被信任的接口， 并且把交換機(jī)相連的接口配置為信任接口， 這樣的配置， 就能實(shí)現(xiàn)對(duì)進(jìn)入網(wǎng)絡(luò)的ARP數(shù)據(jù)包進(jìn)行安全檢測(cè)。

注意：在配置接口的信任性時(shí)要謹(jǐn)慎， 配置為不信任的接口時(shí)， 可導(dǎo)致網(wǎng)絡(luò)的連通性能。 比如：主機(jī)A和主機(jī)B在同一個(gè)vlan里面， 分別通過兩臺(tái)配置了DAI的交換機(jī)通信， 如果交換機(jī)之間的接口被配置成為不信任的狀態(tài)， 從A或者B的ARP包就不會(huì)通過交換機(jī)交換， A和B 之間的通信就會(huì)中斷。

配置成為信任接口， 往往就是留下一個(gè)安全的漏洞。 因?yàn)榕渲贸蔀镈AI的交換機(jī)只能保證通過不被信任接口連接到自己的主機(jī)不破壞在一個(gè)網(wǎng)段的主機(jī)ARP緩存， 但是不能保證在網(wǎng)絡(luò)的另一個(gè)部分的主機(jī)來破壞運(yùn)行DAI的交換機(jī)相連的主機(jī)的ARP緩存。 （通常用ARP＋ACL來控制）

乍一看， 是有點(diǎn)兒復(fù)雜。 通過在接口上配置DAI是十分少見的， 主要是因?yàn)楝F(xiàn)代網(wǎng)絡(luò)越來越復(fù)雜， 用戶不可能在復(fù)雜的網(wǎng)絡(luò)中確定哪個(gè)接口是可信任的哪個(gè)是不可信任的， 哪個(gè)交換機(jī)要起DAI哪個(gè)不需要起。 所以現(xiàn)在重要的是在vlan接口上應(yīng)用DAI＋DHCP＋ARP ACL來實(shí)現(xiàn)對(duì)ip－mac的綁定。

對(duì)于ARP數(shù)據(jù)包的頻率限制：

交換機(jī)能夠?qū)崿F(xiàn)對(duì)ARP數(shù)據(jù)包的頻率限制來防止DOS（denial－of－service）攻擊。 默認(rèn)的在不被信任的接口上是每秒15個(gè)數(shù)據(jù)包， 信任接口沒有頻率限制。

當(dāng)進(jìn)入不被信任的接口的ARP數(shù)據(jù)包超過限制的范圍的時(shí)候， 接口會(huì)自己處于錯(cuò)誤狀態(tài)（error－disabled）， 知道用戶對(duì)其進(jìn)行另行的配置

ARP ACLs和DHCP檢測(cè)得優(yōu)先級(jí)問題：

交換機(jī)首先和用戶配置的ACL進(jìn)行比較， 如果ARP ACL阻止了數(shù)據(jù)包， 交換機(jī)也會(huì)阻止這個(gè)數(shù)據(jù)包， 即使交換機(jī)配置的DHCP檢測(cè)中的合法綁定數(shù)據(jù)庫允許該數(shù)據(jù)包通過。

通告丟棄的數(shù)據(jù)包：

當(dāng)交換機(jī)丟棄一個(gè)數(shù)據(jù)包， 就會(huì)出發(fā)系統(tǒng)日志來記錄有關(guān)信息， 以便用戶進(jìn)行分析。 當(dāng)日志信息滿的時(shí)候， 交換機(jī)會(huì)清理相關(guān)的日志信息。 每個(gè)日志信息包括以下信息， 進(jìn)入的vlan， 接口號(hào)碼， 源地址和目標(biāo)地址（ip和mac）。

DAI 配置指南和限制：

1.

DAI是一個(gè)安全方案， 不會(huì)額外的提供其他的檢測(cè)功能

2.

DAI不會(huì)對(duì)沒有配置或者不支持DAI的交換機(jī)相連的主機(jī)起到作用。 應(yīng)為ARP攻擊僅僅是限于2層的廣播域中， 不同的廣播域要單獨(dú)配置DAI,不然是起不到DAI的作用的。 總之， DAI是對(duì)一個(gè)廣播域中的ARP進(jìn)行自動(dòng)檢測(cè)的。

3.

DAI是基于DHCP檢測(cè)綁定數(shù)據(jù)庫來確定合法的ip－mac地址的轉(zhuǎn)換， 在ARP請(qǐng)求和答復(fù)的過程中， 所以要確定DHCP檢測(cè)的正常工作。

4.

用戶不想通過DHCP服務(wù)獲得的ip地址可以用ARP ACL來控制。

5.

DAI可以應(yīng)用到普通接口， trunk口， EtherChannel口， 和vlan。

6.

在配置EtherChannel時(shí)候要注意物理接口的信任模式。 把物理接口加入EtherChannel時(shí)候， 要把物理接口的信任模式配置成為EtherChannel的模式， 才能配置成功。 再有， 在把端口綁定成為EtherChannel時(shí)候， EtherChannel的模式會(huì)和第一個(gè)加入的物理接口的信任模式一樣。 所以EtherChannel會(huì)續(xù)承第一個(gè)物理接口的信任模式。 把第一個(gè)接口的信任模式改變， 就可以改變EtherChannel的模式。

7.

配置EtherChannel的ARP接受頻率是屬于EtherChannel的物理接口實(shí)際接受ARP包的總和。 當(dāng)EtherChannel接收的ARP包超過設(shè)置的數(shù)值時(shí)候， 整個(gè)EtherChannel會(huì)處于錯(cuò)誤狀態(tài)。

8.

確定ARP通過trunk接口的上限值。 配置vlan間的trunk的通過ARP包一個(gè)高的上限， 可以引起vlan間的dos的攻擊。