BMCPowerTrix系列交换机如何预防ARP攻击
近年来,随着网络的普及,网络病毒泛滥,基于病毒的ARP攻击也愈演愈烈,对于单位管理人员和网络管理员对这类病毒攻击更是恨之入骨、苦不堪言。
为了能更好的对付ARP攻击,我们先简单了解一下它。
ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例,其ARP协议运行的主要交互机制如下:
1.如果A需要向B发起通信,A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有,则进行下面的步骤:
2.A在局域网上广播一个ARP请求,查询B的IP地址所对应的MAC地址;
3.本局域网上的所有主机都会收到该ARP请求;
4.所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求,则发送一个ARP应答给A,告知A自己的MAC地址;
5.主机A收到B的ARP应答后,会在自己的 ARP缓存中写入主机B的ARP表项.
如上所述,利用ARP协议,可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。导致在ARP协议中没有认证的机制,从而导致针对ARP协议的欺骗攻击非常容易。
对于ARP攻击,可以简单分为两类:
1、ARP欺骗攻击,又分为ARP仿冒网关攻击和ARP仿冒主机攻击。
2、ARP泛洪(Flood)攻击,也可以称为ARP扫描攻击。
对于这两类攻击,攻击程序都是通过构造非法的ARP报文,修改报文中的源IP地址与(或)源MAC地址,不同之处在于前者用自己的MAC地址进行欺骗,后者则大量发送虚假的ARP报文,拥塞网络。
针对传播广泛、日益泛滥的ARP攻击问题,BMC凭借深厚技术积累,推出具有增强的安全特性全系列交换机,从用户接入到网络汇聚、核心,提供完整全面安全体系架构,从而更加有效的防御ARP攻击。
1、 接入层防范
接入交换机是最接近用户侧的网络设备,也最适于通过它进行相关网络攻击防护。通过对接入交换机的适当设置,我们可以将很多网络威胁隔离在交换机的每端口内,而不至于对整网产生危害。
(1)、AM功能
AM(access management)又名访问管理,它利用收到数据报文的信息(源IP 地址
或者源IP+源MAC)与配置硬件地址池(AM pool)相比较,如果找到则转发,否则丢弃。
AM pool 是一个地址列表,每一个地址表项对应于一个用户。每一个地址表项包括了地址信息及其对应的端口。地址信息可以有两种:
.IP 地址(ip-pool),指定该端口上用户的源IP 地址信息。
.MAC-IP 地址(mac-ip pool),指定该端口上用户的源MAC 地址和源IP 地址信息。
当AM使能的时候,AM模块会拒绝所有的IP报文通过(只允许IP地址池内的成员源地址通过)。
我们可以在交换机端口创建一个MAC+IP 地址绑定,放到地址池中。当端口下联主机发送的IP报文(包含ARP报文)中,所含的源IP+源MAC不符合地址池中的绑定关系,此报文就将被丢弃。、功能特点:
配置简单,除了可以防御ARP攻击,还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。
(2)、ARP Guard功能
基本原理就是利用交换机的过滤表项,检测从端口输入的所有ARP报文,如果ARP报文的源IP地址是受到保护的IP地址(网关或服务器),就直接丢弃报文,不再转发,从而避免非法PC冒充网关或服务器进行ARP欺骗。
功能特点:
配置简单、快速部署,适用于ARP仿冒网关攻击防护。
(3)、DHCP Snooping功能
实现原理:接入层交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。
功能特点:
被动侦听,自动绑定,对信息点数量没有要求,适用于IP地址动态分配环境下广泛实施。
(4)、端口ARP限速功能
BMC系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特征的主机或端口,将切断攻击源头,保障网络的安全。
有两种方式来防ARP 扫描:基于端口和基于IP。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量,若超过了预先设定的阈值,则会down掉此端口。基于IP 的ARP 扫描则计算一段时间内从网段内某IP收到的ARP报文的数量,若超过了预先设置的阈值,则禁止来自此IP 的任何流量,而不是down 与此IP相连的端口。此两种防ARP 扫描功能可以同时启用。端口或IP被禁掉后,可以通过自动恢复功能自动恢复其状态。
功能特点:
全局使能,无须在端口模式下配置,配置简单。适用于对ARP扫描或者flood攻击防御,建议和交换机其它功能一起使用。