ARP攻擊防備處理方案

下面我們介紹幾種常見ARP攻擊典型的癥狀：

上網(wǎng)的時候經(jīng)常會彈出一些廣告， 有彈出窗口形式的， 也有嵌入網(wǎng)頁形式的。

下載的軟件不是原本要下載的， 而是其它非法程序。

網(wǎng)關設備ARP表項存在大量虛假信息， 上網(wǎng)時斷時續(xù)；網(wǎng)頁打開速度讓使用者無

法接受。

終端不斷彈出“本機的XXX段硬件地址與網(wǎng)絡中的XXX段地址沖突”的對話框。 對于ARP攻擊， 可以簡單分為兩類：

一、ARP欺騙攻擊， 又分為ARP仿冒網(wǎng)關攻擊和ARP仿冒主機攻擊。

二、ARP泛洪（Flood）攻擊， 也可以稱為ARP掃描攻擊。

對于這兩類攻擊， 攻擊程序都是通過構造非法的ARP報文， 修改報文中的源IP地址與（或）源MAC地址， 不同之處在于前者用自己的MAC地址進行欺騙， 后者則大量發(fā)送虛假的ARP報文， 擁塞網(wǎng)絡。

一、接入交換機篇

接入交換機是最接近用戶側的網(wǎng)絡設備， 也最適于通過它進行相關網(wǎng)絡攻擊防護。 通過對接入交換機的適當設置， 我們可以將很多網(wǎng)絡威脅隔離在交換機的每端口內(nèi)， 而不至于對整網(wǎng)產(chǎn)生危害。

1、AM功能

AM（access management）又名訪問管理， 它利用收到數(shù)據(jù)報文的信息（源IP 地址 或者源IP+源MAC）與配置硬件地址池（AM pool）相比較， 如果找到則轉發(fā)， 否則丟棄。

AM pool 是一個地址列表， 每一個地址表項對應于一個用戶。 每一個地址表項包括了地址信息及

其對應的端口。 地址信息可以有兩種：

IP 地址（ip-pool）， 指定該端口上用戶的源IP 地址信息。

MAC-IP 地址（mac-ip pool）， 指定該端口上用戶的源MAC 地址和源IP 地址信息。

當AM使能的時候， AM模塊會拒絕所有的IP報文通過（只允許IP地址池內(nèi)的成員源地址通過）。

我們可以在交換機端口創(chuàng)建一個MAC+IP 地址綁定， 放到地址池中。 當端口下聯(lián)主機發(fā)送的IP報文（包含ARP報文）中， 所含的源IP＋源MAC不符合地址池中的綁定關系， 此報文就將被丟棄。 配置命令示例如下：

舉例：使能AM 并允許交接口4 上源IP為192.1.1.2， 源MAC是00-01-10-22-33-10 的用戶通過。

Switch(Config)#am enable

Switch(Config)#interface Ethernet 0/0/4 Switch(Config-Ethernet0/0/4)#am port

Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2

(1）功能優(yōu)點

配置簡單， 除了可以防御ARP攻擊， 還可以防御IP掃描等攻擊。 適用于信息點不多、規(guī)模不大的靜態(tài)地址環(huán)境下。

(2）功能缺點

1、需要占用交換機ACL資源；

2、網(wǎng)絡管理員配置量大， 終端移動性差。

2、ARP Guard功能

基本原理就是利用交換機的過濾表項， 檢測從端口輸入的所有ARP 報文， 如果ARP 報文的源IP 地址是受到保護的IP 地址， 就直接丟棄報文， 不再轉發(fā)。

舉例：在端口Ethernet0/0/1 啟動配置ARP Guard 地址192.168.1.1（設為網(wǎng)關地址）。

Switch(Config)#interface ethernet0/0/1

Switch(Config- Ethernet 0/0/1)# arp-guard ip 192.168.1.1