局域网ARP欺骗攻击及安全防范策略毕业设计.doc

新疆机电职业技术学院新疆机电职业技术学院 计算机系计算机系毕业论文毕业论文 题 目：局域网 ARP 袭击及防范 专 业：计算机网络技术 年 级：高计算机 10 班 学生姓名：王文瑞 学 号：20231898 指导教师：李 欣 2023 年 12 月 12 日局域网 ARP 袭击及防范 摘要：摘要：ARP 袭击，是针对以太网地址解析协议（ARP）的一种袭击技术。此种袭击可让袭击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。目前，ARP 欺骗是黑客常用的袭击手段之一，且 ARP 欺骗袭击的后果一般都是比较非常严重的，大多数情况下会导致大面积掉线。有些网管员对此不甚了解，出现故障时，认为 PC 没有问题，互换机没掉线的“本领”，电信也不认可宽带故障。并且假如第一种 ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器被认为是“罪魁祸首”，而事实并非如此。鉴于此，本文将论述 ARP 地址解析协议的含义和工作原理，分析了 ARP 协议所存在的安全漏洞，分析网段内和跨网段 ARP 欺骗的实现过程。最后，结合网络管理的实际工作，介绍 IP 地址和 MAC 地址绑定、互换机端口和 MAC地址绑定、VLAN 隔离等技术等几种可以有效防御 ARP 欺骗袭击的安全防范策略。最后通过使用文中介绍安全防范策略成功阻止 P2P 终结者、Arpkiller 等 ARP 袭击软件的袭击验证了该安全策略的有效性。关键词：关键词：ARP 协议 IP 地址 局域网 MAC 地址 网络安全 LAN ARP attack and protection AbstractAbstract:ARP attack,which is based on Ethernet addresses analytical protocol(ARP)an attack technology.This attack may let the attacker has a local-area network packets of data or even tamper with the packet,and allows network on specific computer or all computer cannot normal connection.At present,the ARP deception is hackers commonly used attack means one,and the consequences of ARP deception attack is usually compare very serious,in most circumstances will caused extensive calls.Some network administrator are not well understood,malfunction,think PC no problem,switches didnt dropped skill,telecom does not acknowledge broadband fault.And if the first kind of ARP deception occurs,as long as the restart router,the network can fully recover,that problem must be on a router.Therefore,broadband router is considered the chief culprit,but this is not the case.In view of this,this article will be discussed the meaning of ARP address analytical protocol and working principle,analyzes the existing ARP agreement security vulnerabilities,analyzing network segment within and across the network segment the realization process of ARP deception.Finally,combined with the practical work of network management,introduces the IP address and MAC address binding,switch port and MAC address binding,as well as several vlans isolation technology can effectively defense ARP deception attack security preventive strategy.Finally through the use of introduced safety preventive strategy prevented P2P terminator,Arpkiller etc ARP attack software attack verified the effectiveness of the security strategy.KeyordKeyords s:ARP agreement IP address Bureau area net MAC address Network security目 录 引 言.错误错误!未定义书签。未定义书签。第一章.ARP 协议简介.错误错误!未定义书签。未定义书签。第二章.ARP 协议的工作原理.错误错误!未定义书签。未定义书签。第三章.分析 ARP 协议存在的安全漏洞.错误错误!未定义书签。未定义书签。一、分析 ARP 协议存在的安全漏洞.错误错误!未定义书签。未定义书签。二、ARP 欺骗检测方法.错误错误!未定义书签。未定义书签。(一)主机级检测方法.错误错误!未定义书签。未定义书签。(二)网络级检测方法.错误错误!未定义书签。未定义书签。第四章.ARP 欺骗袭击的实现过程.错误错误!未定义书签。未定义书签。一、通过路由器实现 VLAN 间的通信.错误错误!未定义书签。未定义书签。二、公司网络实现 vlan 间通信.错误错误!未定义书签。未定义书签。第五章.ARP 袭击简介.错误错误!未定义书签。未定义书签。一、仿冒网关.错误错误!未定义书签。未定义书签。二、欺骗网关.错误错误!未定义书签。未定义书签。三、欺骗终端用户.错误错误!未定义书签。未定义书签。四、“中间人”袭击.错误错误!未定义书签。未定义书签。五、ARP 报文泛洪袭击.错误错误!未定义书签。未定义书签。第六章.袭击安全防范策略.错误错误!未定义书签。未定义书签。一、DHCP Snooping 功能.错误错误!未定义书签。未定义书签。二、IP 静态绑定功能.错误错误!未定义书签。未定义书签。三、ARP 入侵检测功能.错误错误!未定义书签。未定义书签。四、ARP 报文限速功能.错误错误!未定义书签。未定义书签。五、CAMS 下发网关配置功能.错误错误!未定义书签。未定义书签。第七章.ARP 袭击防御配置举例.错误错误!未定义书签。未定义书签。一、DHCP 监控模式下的 ARP 袭击防御配置举例.错误错误!未定义书签。未定义书签。(一)组网需求.错误错误!未定义书签。未定义书签。(二)组网图.错误错误!未定义书签。未定义书签。(三)配置思绪.错误错误!未定义书签。未定义书签。(四)配置环节.错误错误!未定义书签。未定义书签。(五)注意事项.错误错误!未定义书签。未定义书签。二、认证模式下的 ARP 袭击防御配置举例.错误错误!未定义书签。未定义书签。(一)组网需求.错误错误!未定义书签。未定义书签。(二)组网图.错误错误!未定义书签。未定义书签。(三)配置思绪.错误错误!未定义书签。未定义书签。(四)配置环节.错误错误!未定义书签。未定义书签。(五)注意事项.错误错误!未定义书签。未定义书签。第八章.结 论.错误错误!未定义书签。未定义书签。参考文献.错误错误!未定义书签。未定义书签。致 谢.错误错误!未定义书签。未定义书签。引 言 在局域网中，网络中实际传输的是“帧”，帧里面是有目的主机的 MAC 地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目的主机的 MAC 地址。网吧是最常见的局域网，在使用过程中有时出现别人可以正常上网而自己却无法访问任何页面和网络信息的情况，虽然导致这种现象的情况有 很多，但是目前最常见的就是 ARP 欺骗了，很多黑客工具甚至是病毒都是通过 ARP 欺骗来实现对主机进行袭击和阻止本机访问任何网络信息的目的。一方面我们可以肯定一点的就是发送 ARP 欺骗包是通过一个恶毒的程序自动发送的，正常的 TCP/IP 网络是不会有这样的错误包发送的，而人工发送又比较麻烦。也就是说当黑客没有运营这个恶毒程序的话，网络上通信应当是一切正常的，保存在各个连接网络计算机上的 ARP 缓存表也应当是对的的，只有程序启动开始发送错误 ARP 信息以及 ARP 欺骗包时才会让某些计算机访问网络出现问题。ARP 欺骗可以导致内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。事实上他的危害还不仅仅如此，一般来说 IP 地址的冲突我们可以通过多种方法和手段来避免，而 ARP 协议工作在更低层，隐蔽性更高。系统并不会判断ARP 缓存的对的与否，无法像 IP 地址冲突那样给出提醒。并且很多黑客工具例如网络剪刀手等，可以随时发送 ARP 欺骗数据包和 ARP 恢复数据包，这样就可以实现在一台普通计算机上通过发送 ARP 数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行袭击，让所有连接网络的计算机都无法正常上网。这点在以前是不也许的，由于普通计算机没有管理权限来控制网关，而现在却成为可 能，所以说 ARP 欺骗的危害是巨大的，并且非常难对付，非法用户和恶意用户可以随时发送 ARP 欺骗和恢复数据包，这样就增长了网络管理员查找真凶的难度，所以跟踪防范局域网 ARP 欺骗类袭击的最新技术，做到防范于未然就必不可少。第一章.ARP 协议简介 ARP(Address Resolution Protocol)，是由 David CPlummer 在 826internet 标准(草案)提出，当时是为了美国数字设备公司、英特尔公司 施乐复印机公司等三个公司的 10 Mbit以太网所设计，在推广时也允许其它类型的网络使用。ARP 也即地址解析协议，该协议是将IP 地址与网络物理地址一一相应的协议。负责 IP 地址和网卡实体地址(MAC)之间的转换。也就是将网络层（IP 层，也就是相称于 ISO/OSI 的第三层）地址解析为数据连接层（MAC层，也就是相称于 ISO/OSI 的第二层）的 MAC 地址。TCP/IP 协议中规定，IP 地址为 32 位，由网络号和网络内的主机号构成，每一台接入局域网或者 Internet 的主机都要配置一个 IP地址。在以太网中，源主机和目的主机通信时，源主机不仅要知道目的主机的 IP 地址，还要知道目的主机的数据链路层地址，即网卡的 MAC 地址，同时规定 MAC 地址为 48 位。ARP协议所做的工作就是查询目的主机的 IP 地址所相应的 MAC 地址，并实现双方通信。第二章.ARP 协议的工作原理 在网络中的任何一台主机，都有两个唯一的标记。一个是由 32 位二进制组成 lP 地址，用于在网络层当中标记和查找计算机，另一个是由 48 位二进制组成的 MAC 地址，用于在数据链路层中标记和查找计算机。IP 地址是不能直接用来通讯的，由于 IP 地址只是主机在网络层中的地址，假如要将网络层中传输的数据报交给目的主机，还要传到链路层变成 MAC帧才干发送到实际的网络上。因此 IP 地址与 MAC 地址之间就必须存在一个映射表，而 ARP协议就很好的解决了这些问题。每一台安装有 TCP/IP 协议的计算机内部都有一张 ARP 高速缓存表，该缓存表记录了最近一段时间内区域网内与该计算机通讯的其他计算机的 IP 地址与其相应的 MAC 地址之间的相应关系。当源主机要发送 lP 数据报时，数据链路层必须将 IP数据报封装成以太网数据帧，才干在以太网中传输。在封装过程中，为了找到与目的 IP 地址相应的 MAC 地址，源主机先会把目的主机的 lP 的地址与子网掩码进行逻辑与操作，以判断目的主机是否与自己在同一个网段内。假如在同一网段内，源主机会先查看 ARP 高速缓存是否有与目的 IP 地址相应的 MAC 地址信息，假如 MAC 地址已存在，就直接使用。假如相应的信息不存在，就向本地网段发起一个包含 ARP 请求的广播包，查询此目的主机相应的 MAC地址。此 ARP 请求数据包里涉及源主机的 IP 地址、MAC 地址、以及目的主机的 lP 地址。网络中所有的主机收到这个ARP请求后。会检查数据包中的目的IP是否和自己的IP地址一致。假如不相同就忽略此数据包，假如相同，则给源主机发送一个 ARP 响应数据包，通过该报文使源主机获得目的主机的 MAC 地址信息则可运用此信息开始数据的传输。假如目的主机与源主机不在同一个网段内，源主机会在 ARP 高速缓存中查找默认网关所相应的 MAC 地址，由默认网关再对该分组进行转发。假如没有，源主机就会发送一个广播包，查询默认网关相应的MAC 地址。主机每隔一段时间或者每收到新的 ARP 应答就会更新 ARP 缓存，以保证自己拥有最新的地址解析缓存。ARP 协议工作原理详见以下图 1 和图 2。图 1 网段内 ARP 工作原理 图 2 夸网段 ARP 工作原理 我们还是来通过实验更加进一步直观地了解 ARP 协议的工作原理吧。我们假设有两台主机：A 机的 IP 地址是 192.168.0.1，MAC 地址是 52-54-ab-27-82-83。B 机的 IP 地址是192.168.0.2，MAC 地址是 52-54-ab-27-82-84。当主机 A 想与主机 B 进行通讯时，A 机只知道 B 机的 IP 地址是 192.168.0.2,当数据包封装到 MAC 层时他如何知道 B 的 MAC 地址呢，一般的 OS 中是这样做的，在 OS 的内核中保存一分 MAC 地址表，就是我们一中介始到的。用arp-a 就可以看见这个表的内容了，例如：C:/arp-a Interface:192.168.0.X on Interface 0 x1000002 Internet Address Physical Address Type 192.168.0.1 52-54-ab-27-82-83 dynamic 其中表内有 IP 和 MAC 地址的相应关系，当要过进行通讯时，系统先查看这个表中是否有相关的表项，假如有就直接使用，假如没有系统就会发出一个 ARP 请求包,这个包的目的地址为 ffffffffffff 的广播地址，他的作用就是询问局域网内 IP 地址为 192.168.0.2 的主机的 MAC 地址，就像是 A 在局域网中发信息找一个 IP 地址为 192.168.0.2 的主机 MAC 地址，同样 A 机把自已的 MAC 地址告诉出去是 52-54-ab-27-82-83，随后所有主机都会接受到这个包，但只有 IP 为 192.168.0.2 的 B 才会响应一个 ARP 应答包给主机 A,B 机会回信息给 A机说他的 MAC 地址是 52-54-ab-27-82-84,好这下主机 A 就知道 B 的 MAC 地址了，于时他就可以封包发送了，同时主机 A 将 B 的 MAC 地址放入 ARP 缓冲中，隔一定期间就将其删除，保证不断更新。注意，在这个过程中，假如主机 A 在发送 ARP 请求时，假如该局域网内有一台主机 C的 IP 和 A 相同，C 就会得知有一台主机的 IP 地址同自已的 IP 地址相同，于时就蹦出一个IP 冲突的对话筐。与 ARP 相相应的尚有一个协议 RARP（Reverse Address Resolution Protocol），反向地址解析协议，该协议重要用于工作站模型动态获取 IP 的过程中，作用是由 MAC 地址向服务器取回 IP 地址。第三章.分析 ARP 协议存在的安全漏洞 一、分析 ARP 协议存在的安全漏洞 ARP 协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它的重要漏洞有以下三点。(1)主机地址映射表是基于高速缓存、动态更新的，ARP 将保存在高速缓存中的每一个映射地址项目都设立了生存时间，它只保存最近的地址相应关系。这样恶意的用户假如在下次互换前修改了被欺骗机器上的地址缓存，就可以进行假冒或拒绝服务袭击。(2)由于 ARP 是无状态的协议，即使没有发送 ARP 请求报文，主机也可以接受 ARP 应答，只要接受到 ARP 应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为 ARP 欺骗提供了也许，恶意节点可以发布虚假的 ARP 报文从而影响网内结点的通信，甚至可以做“中间人”。(3)任何 ARP 应答都是合法的，ARP 应答无须认证，只要是区域内的 ARP应答分组，不管(其实也不知道)是否是合法的应答，主机都会接受 ARP 应答，并用其 lPMAC 信息篡改其缓存。这是 ARP 的另一个隐患。目前重要存在 2 种检测 ARP 欺骗的机制。在主机级，普通主机可以采用两种方法检测自己的是否正在被其它主机欺骗：一种是积极探查可疑的主机；另一种是被动检查网络 ARP 广播报文。在网络级，处在网络管理员控制下的机器将检查所有的 ARP 请求与响应以查明异常并判断是否出现 ARP 欺骗行为。二、ARP 欺骗检测方法(一)主机级检测方法 积极检测。当主机收到 ARP 应答报文时，从应答报文中提取 MAC 地址。然后构造一个 RARP 请求报文，这样就可以得到这个 MAC 地址相应的 IP 地址，比较两个 IP 地址，假如不同，就说明有主机进行了 ARP 欺骗。尚有此外一种方法就是:主机定期向区域网发送查询自己 IP 地址的 ARP 请求报文。假如收到其它主机的应答。就说明该区域网也许存在 ARP 欺骗。被动检测。当系统接受到来自局域网上的 ARP 请求时，系统检查该请求发送端的 IP地址是否与自己的 IP 地址相同。假如相同，则说明该网络上另有一台机器与自己具有相同的 IP 地址。当然尚有一种情况，就是每当系统启动时或更改主机 IP 地址时，ARP 协议自动地向本地网络发送一个广播请求包，通告自己的 IP 地址并检测是否存在 IP 地址冲突。由上可知，主机级检测出来的异常情况。也许是由于用户操作失误或者其它因素导致的，并不能有效和准确的检测出 ARP 欺骗。下面介绍的检测方法更能有效的检测出 ARP 欺骗。(二)网络级检测方法 通过配置主机定期向中心管理主机报告其 ARP 缓存的内容。这样中心管理主机上的程序就会查找出两台或者多台主机报告信息的不一致，以及同一台主机前后报告内容的变化。根据这些情况可以初步拟定谁是进攻者。谁被进攻者。这里需要考虑的是：每台主机向衷心管理主机发送数据的时间间隔，假如发送的间隔太短会占用通讯的信道。影响整个区域网通讯的性能。假如间隔太长，以至超过袭击者一次进攻的时间。进攻者也许在短时间内袭击之后又把一切都恢复了，则失去意义。中心管理主机上保存着可信任的IPMAC映射表，然后通过检查匹配网络的IPMAC映射表，检测 ARP 欺骗。可信任的 IPMAC 映射表可以有管理员手动配置。也可以在网络正常时通过 ARP 扫描获取网内的 IPMAC 映射表。第四章.ARP 欺骗袭击的实现过程 一、通过路由器实现 VLAN 间的通信 ARP 欺骗袭击的核心就是向目的主机发送伪造的 ARP 应答，并使目的主机接受应答中伪造的 IP 与 MAC 间的映射对，并以此更新目的主机缓存。设在同一网段的三台主机分别为,，详见表 1。表 1：同网段主机 IP 地址和 MAC 地址相应表 用户主机 IP 地址 MAC 地址 A 10101001 00-E0-4C-11-11-11 B 10101002 00-E0-4C-22-22-22 C 10101003 00-E0-4C-33-33-33 假设与是信任关系，欲向发送数据包。袭击方通过前期准备，可以发现的漏洞，使暂时无法工作，然后发送包含自己 MAC 地址的 ARP 应答给。由于大多数的操作系统在接受到 ARP 应答后会及时更新 ARP 缓存，而不考虑是否发出过真实的 ARP 请求，所以接受到应答后，就更新它的 ARP 缓存，建立新的 IP 和 MAC 地址映射对，即的 IP地址 10101002 相应了的 MAC 地址 00-E0-4C-33-33-33。这样，导致就将发往的数据包发向了,但和 B 却对此全然不知，因此 C 就实现对 A 和 B 的监听。二、公司网络实现 vlan 间通信 跨网段的 ARP 欺骗比同一网段的 ARP 欺骗要复杂得多，它需要把 ARP 欺骗与 ICMP 重定向袭击结合在一起。假设和在同一网段，在另一网段，详见表 2。表 2：跨网段主机 IP 地址和 MAC 地址相应表 用户主机 IP 地址 MAC 地址 A 10101001 00-E0-4C-11-11-11 B 10101002 00-E0-4C-22-22-22 C 10101003 00-E0-4C-33-33-33 一方面袭击方修改 IP 包的生存时间，将其延长，以便做充足的广播。然后和上面提到的同样，寻找主机的漏洞，袭击此漏洞，使主机暂时无法工作。此后，袭击方发送IP 地址为的 IP 地址 10 10 100 2，MAC 地址为的 MAC 地址 00-E0-4C-33-33-33 的 ARP应答给。接受到应答后，更新其 ARP 缓存。这样，在主机上的 IP 地址就相应的MAC 地址。但是，在发数据包给时，仍然会在局域网内寻找 10101002 的 MAC 地址，不会把包发给路由器，这时就需要进行 ICMP 重定向，告诉主机到 10101002的最短途径不是局域网，而是路由，请主机重定向路由途径，把所有到 10101002 的包发给路由器。主机在接受到这个合理的 ICMP 重定向后，修改自己的路由途径，把对10101002 的数据包都发给路由器。这样袭击方就能得到来自内部网段的数据包。第五章.ARP 袭击简介 ARP 欺骗按照 ARP 协议的设计，一个主机即使收到的 ARP 应答并非自身请求得到的，也会将其 IP 地址和 MAC 地址的相应关系添加到自身的 ARP 映射表中。这样可以减少网络上过多的 ARP 数据通信，但也为“ARP 欺骗”发明了条件。校园网中，常见的 ARP 袭击有如下几中形式。一、仿冒网关 袭击者伪造 ARP 报文，发送源 IP 地址为网关 IP 地址，源 MAC 地址为伪造的 MAC 地址的 ARP 报文给被袭击的主机，使这些主机更新自身 ARP 表中网关 IP 地址与 MAC 地址的相应关系。这样一来，主机访问网关的流量，被重定向到一个错误的 MAC 地址，导致该用户无法正常访问外网。如下图：Gateway Switch攻击者攻击者Host A网关的网关的MAC更新了更新了“仿冒网关”袭击示意图 二、欺骗网关 袭击者伪造 ARP 报文，发送源 IP 地址为同网段内某一合法用户的 IP 地址，源 MAC 地址为伪造的 MAC 地址的 ARP 报文给网关；使网关更新自身 ARP 表中原合法用户的 IP 地址与MAC 地址的相应关系。这样一来，网关发给该用户的所有数据所有重定向到一个错误的 MAC地址，导致该用户无法正常访问外网。如下图：Gateway Switch攻击者攻击者Host AHost A的的MAC更新了更新了“欺骗网关”袭击示意图 三、欺骗终端用户 袭击者伪造 ARP 报文，发送源 IP 地址为同网段内某一合法用户的 IP 地址，源 MAC 地址为伪造的 MAC 地址的 ARP 报文给同网段内另一台合法主机；使后者更新自身 ARP 表中原合法用户的 IP 地址与 MAC 地址的相应关系。这样一来，网段内的其他主机发给该用户的所有数据都被重定向到错误的 MAC 地址，同网段内的用户无法正常互访。如下图：Gateway SwitchHost AHost C攻击者攻击者Host A的的MAC更新了更新了“欺骗终端用户”袭击示意图 四、“中间人”袭击 ARP“中间人”袭击，又称为 ARP 双向欺骗。如错误错误!未找到引用源。未找到引用源。所示，Host A和 Host C 通过 Switch 进行通信。此时，假如有恶意袭击者（Host B）想探听 Host A 和 Host C 之间的通信，它可以分别给这两台主机发送伪造的 ARP 应答报文，使 Host A 和 Host C 用MAC_B 更新自身 ARP 映射表中与对方 IP 地址相应的表项。此后，Host A 和 Host C 之间看似“直接”的通信，事实上都是通过黑客所在的主机间接进行的，即 Host B 担当了“中间人”的角色，可以对信息进行了窃取和篡改。这种袭击方式就称作“中间人（Man-In-The-Middle）袭击”。如下图：Gateway SwitchHost AHost CHost B(攻击者攻击者)伪造的伪造的ARP应答报文应答报文伪造的伪造的ARP应答报文应答报文 ARP“中间人”袭击示意图 五、ARP 报文泛洪袭击 恶意用户运用工具构造大量 ARP 报文发往互换机的某一端口，导致 CPU 承担过重，导致其他功能无法正常运营甚至设备瘫痪。第六章.袭击安全防范策略 本文根据 ARP 袭击的特点，给出了 DHCP 监控模式下的 ARP 袭击防御解决方案和认证模式下的 ARP 袭击防御解决方案。前者通过接入互换机上启动 DHCP Snooping 功能、配置 IP静态绑定表项、ARP 入侵检测功能和 ARP 报文限速功能，可以防御常见的 ARP 袭击；后者不需要在接入互换机上进行防袭击配置，而需要通过 CAMS 服务器下发网关的 IP/MAC 相应关系给客户端，防御“仿冒网关”袭击。详见错误错误!未找到引用源。未找到引用源。常见网络袭击和防范对照表 袭击方式 防御方法 动态获取 IP 地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP 中间人袭击”配置 DHCP Snooping、ARP 入侵检测功能 手工配置 IP 地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用配置 IP 静态绑定表项、ARP 入侵检测功能 户”、“ARP 中间人袭击”ARP 泛洪袭击 配置 ARP 报文限速功能 动态和手工配置 IP 地址的用户进行“仿冒网关”袭击 配置认证模式的 ARP 袭击防御解决方案(CAMS 下发网关配置功能)一、DHCP Snooping 功能 DHCP Snooping 是运营在二层接入设备上的一种 DHCP 安全特性。通过监听 DHCP 报文，记录 DHCP 客户端 IP 地址与 MAC 地址的相应关系；通过设立 DHCP Snooping 信任端口，保证客户端从合法的服务器获取 IP 地址。信任端口正常转发接受到的 DHCP 报文，从而保证了 DHCP 客户端可以从 DHCP 服务器获取 IP 地址。不信任端口接受到 DHCP 服务器响应的 DHCP-ACK 和 DHCP-OFFER 报文后，丢弃该报文，从而防止了 DHCP 客户端获得错误的 IP 地址。二、IP 静态绑定功能 DHCP Snooping 表只记录了通过 DHCP 方式动态获取 IP 地址的客户端信息，假如用户手工配置了固定 IP 地址，其 IP 地址、MAC 地址等信息将不会被 DHCP Snooping 表记录。因此，互换机支持手工配置 IP 静态绑定表的表项，实现用户的 IP 地址、MAC 地址及接入互换机连接该用户的端口之间的绑定关系。这样，该固定用户的报文就不会被 ARP 入侵检测功能过滤。三、ARP 入侵检测功能 H3C 低端以太网互换机支持将收到的 ARP（请求与回应）报文重定向到 CPU，结合 DHCP Snooping 安全特性来判断 ARP 报文的合法性并进行解决，具体如下。当 ARP 报文中的源 IP 地址及源 MAC 地址的绑定关系与 DHCP Snooping 表项或者手工配置的 IP 静态绑定表项匹配，且 ARP 报文的入端口及其所属 VLAN 与 DHCP Snooping 表项或者手工配置的 IP 静态绑定表项一致，则为合法 ARP 报文，进行转发解决。当 ARP 报文中的源 IP 地址及源 MAC 地址的绑定关系与 DHCP Snooping 表项或者手工配置的 IP 静态绑定表项不匹配，或 ARP 报文的入端口，入端口所属 VLAN 与 DHCP Snooping 表项或者手工配置的 IP 静态绑定表项不一致，则为非法 ARP 报文，直接丢弃。四、ARP 报文限速功能 H3C 低端以太网互换机支持端口 ARP 报文限速功能，使受到袭击的端口暂时关闭，来避免此类袭击对 CPU 的冲击。启动某个端口的 ARP 报文限速功能后，互换机对每秒内该端口接受的 ARP 报文数量进行记录，假如每秒收到的 ARP 报文数量超过设定值，则认为该端口处在超速状态（即受到ARP 报文袭击）。此时，互换机将关闭该端口，使其不再接受任何报文，从而避免大量 ARP报文袭击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了 ARP 限速功能的端口，在其因超速而被互换机关闭后，通过一段时间可以自动恢复为启动状态。五、CAMS 下发网关配置功能 CAMS（Comprehensive Access Management Server，综合访问管理服务器）作为网络中的业务管理核心，可以与以太网互换机等网络产品共同组网，完毕用户的认证、授权、计费和权限管理。如错误错误!未找到引用源。未找到引用源。所示。IP networkCAMSSwitch ASwtich BGatewayHost AHost CHost BHost D CAMS 组网示意图 认证模式的 ARP 袭击防御解决方案，不需要在接入互换机上进行特殊的防袭击配置，只需要客户端通过 802.1x 认证登录网络，并在 CAMS 上进行用户网关的设立，CAMS 会通过接入互换机，下发网关的 IP/MAC 相应关系给客户端，来防御“仿冒网关”袭击。第七章.ARP 袭击防御配置举例 一、DHCP 监控模式下的 ARP 袭击防御配置举例(一)组网需求 某校园网内大部分用户通过接入设备连接网关和 DHCP 服务器，动态获取 IP 地址。管理员通过在接入互换机上全面部署 ARP 袭击防御相关特性，形成保护屏障，过滤掉袭击报文。具体网络应用需求分析如下。校园网用户分布在两个区域Host area1和Host area2，分别属于VLAN10和VLAN20，通过接入互换机 Switch A 和 Switch B 连接到网关 Gateway，最终连接外网和 DHCP。Host area1 所在子网内拥有一台 TFTP 服务器，其 IP 地址为 192.168.0.10/24，MAC地址为 000d-85c7-4e00。为防止仿冒网关、欺骗网关等 ARP 袭击形式，启动 Switch A 上 VLAN10 内、Switch B 上 VLAN20 内 ARP 入侵检测功能，设立 Switch A 和 Switch B 的端口 Ethernet1/0/1 为 ARP信任端口。为防止 ARP 泛洪袭击，在 Switch A 和 Switch B 所有直接连接客户端的端口上启动ARP 报文限速功能。同时，启动因 ARP 报文超速而被关闭的端口的状态自动恢复功能，并设立恢复时间间隔 100 秒。(二)组网图 IP networkSwitch ASwtich BGatewayDHCP serverEth1/0/1Eth1/0/3TFTP serverIP:192.168.0.10/24Eth1/0/3Eth1/0/1Vlan-int 10192.168.0.1/24Eth1/0/1Host AHost CVlan-int 20192.168.1.1/24Eth1/0/2Eth1/0/4Eth1/0/2Host BEth1/0/3Eth1/0/4Eth1/0/2Host EHost DVLAN10Host area1VLAN20Host area2 DHCP 监控模式下的 ARP 袭击防御组网示意图(三)配置思绪 在接入互换机 Switch A 和 Switch B 上启动 DHCP snooping 功能，并配置与 DHCP服务器相连的端口为 DHCP snooping 信任端口。在接入互换机 Switch A 上为固定 IP 地址的 TFTP 服务器配置相应的 IP 静态绑定表项。在接入互换机 Switch A 和 Switch B 相应 VLAN 上启动 ARP 入侵检测功能，并配置其上行口为 ARP 信任端口。在接入互换机 Switch A 和 Switch B 直接连接客户端的端口上配置 ARP 报文限速功能，同时全局启动因 ARP 报文超速而被关闭的端口的状态自动恢复功能。(四)配置环节 使用的版本 本举例中使用的接入互换机 Switch A 和 Switch B 为 E126A 系列以太网互换机。配置客户端动态获取 IP 地址。配置客户端自动获取 IP 地址示意图 配置 Switch A#创建 VLAN10，并将端口 Ethernet1/0/1 到 Ethernet1/0/4 加入 VLAN10 中。system-view SwitchA vlan 10 SwitchA-vlan10 port Ethernet 1/0/1 to Ethernet 1/0/4 SwitchA-vlan10 quit#配置 Switch A 的上行口为 DHCP snooping 信任端口。SwitchA interface ethernet1/0/1 SwitchA-Ethernet1/0/1 dhcp-snooping trust SwitchA-Ethernet1/0/1 quit#启动 DHCP snooping。SwitchA dhcp-snooping#在 Switch A 的端口 Ethernet1/0/4 上配置 IP 静态绑定表项。SwitchA interface Ethernet1/0/4 SwitchA-Ethernet1/0/4 ip source static binding ip-address 192.168.0.10 mac-address 000d-85c7-4e00 SwitchA-Ethernet1/0/4 quit#配置 Switch A 的上行口为 ARP 信任端口。SwitchA interface ethernet1/0/1 SwitchA-Ethernet1/0/1 arp detection trust SwitchA-Ethernet1/0/1 quit#启动 VLAN 10 内所有端口的 ARP 入侵检测功能。SwitchA vlan 10 SwitchA-vlan10 arp detection enable SwitchA-vlan10 quit#启动 Switch A 的端口 Ethernet1/0/2、Ethernet1/0/3 上的 ARP 报文限速功能。SwitchA interface Ethernet1/0/2 Swi