上海双线机房|arp防护专区|独立带宽租用|主机代购13774386049 田陈程

　上海移动怒江IDC ARP欺骗攻击防御方案
1. 怒江 IDC 的核心交换机采用的是 Cisco Catalyst 6500 ，而采用的接入交换机包括 Cisco Catalyst 3550 和华为 3952 （虽然怒江 IDC 接入交换机 Cisco Catalyst 3550 和华为 3952 均具备 Layer 3 转发功能，但在当前应用中只启用了 Layer 2 交换功能，并且连接接入交换机的托管主机 default gateway 默认网关都指向设置在 Catalyst 6509 上 HSRP 虚拟地址.
如果 IDC 的托管主机受到 ARP 病毒感染或是被黑客控制了，就可能出现了 ARP 欺骗攻击 - 通常，被感染或被控制的主机会向本网段广播伪造的 ARP 信息，这会导致同网段的其它托管主机或是网关的 ARP 表出现混乱，会造成这些主机无法进行正常通信，更有甚者则会导致这些主机上的通信被监听或窃取事件的发生等等问题
需要说明的是 ARP 欺骗是一种基于 Layer 2 的接入层攻击破坏行为，最好的办法就是在和主机相连的接入交换机上能够对 ARP 信息直接地进行识别并且消除掉其中那些非法的、仿造的 ARP 广播！
2.解决方案.动态ARP检测功能(DAI)
对于网络中可能出现的各种二层、三层等非法行为，包括 ARP 欺骗攻击， Cisco 在相应的产品和解决方案中都有充分的考虑和设计了相应的功能，可以进行有效防御。对于上海移动怒江 IDC 发生的 ARP 欺骗攻击，考虑到 IDC 的实际网络拓扑和应用情况，我们认为最好的办法就是在托管主机的接入层交换机上开启动态 ARP 检测功能 DAI – 该功能就是针对 ARP 欺骗行为的， 它可以监控相应端口的 ARP 广播，对其是否真伪、发送速度是否超出限制都进行实时监控，其会丢弃非法的 ARP 广播，并且对于上述非法行为进行限制、惩罚和进行日志记录，可以十分有效地解决上述问题.
采用的技术和安全防范功能：
设备配置 dhcp snooping 使得下面安全防范检查能够有数据库参考使用； 通过动态 ARP 检查 (DAI - Dynamic ARP Inspection) 功能防止用户 ARP 欺骗攻击 另外，还可以启用下列附加功能 : 通过 IP Guard 技术可以防止伪造 IP 攻击（三层欺骗） 通过 Port Security 的最大 MAC 数量限制可以限制用户上网电脑数量，同时防范 MAC 泛滥攻击
3: 上海移动怒江 IDC 属于非 DHCP 环境，即客户托管主机的 ip 地址都是手工静态 配置的。如何在现有环境下实现动态 ARP 检测，即 DAI ，示意如下:
就是根据以上数据库 ， 使得 DAI 和 IP source-guard 可对用户数据包进行相应检查 ，符合的才能通过 ！ 如果用户私自设置地址，由静态 DHCP snooping 数据库中没有相应数据， ip souce guard 检查中发现 mac 地址不符合设置，调用 port security 关闭端口，用户无法联网;
即使用户手动配置此物理端口正常用户 mac 地址，但是 ip 地址没有按照规范设置，会导致 DAI 检查失败，用户 arp 数据不会被其他正常用户收到，其他用户不会出现 ip 地址冲突告警; 同时由于 DAI 检查失败，用户无法学习到其他机器 ( 包括网关 ) 的 mac ，其他机器也无法收到用户的 mac 地址，导致用户和其他机器 ( 包括网关 ) 无法通讯，用户无法上网; 即使用户手动设定其他机器（包括网关） mac ，强行发送 ip 数据，由于 ip 源地址不对，也会被 ip source guard 拦截，导致攻击失败; 如果用户连接多余 1 台设备上网，由于设置只能允许 1 台电脑，导致端口自动 errordisable ，用户无法上网， 30s 后端口自动恢复，用户如果拔除多余电脑，端口正常; 同样用户如果伪造 ARP 攻击或者伪造 IP 攻击，均会导致 DAI 检查和 IP Source-guard 检查失败，从而伪造流量无法进入交换机; 由于通过 DAI 配置了 ARP 限制，用户如果发起 ARP 攻击，每秒也只能有 15 个 ARP 进入交换机，其他均丢弃; 由于配置了 Port-security 限制，同样防止了 MAC 泛洪攻击; 由于配置了 dhcp snooping 限制，用户无法私自架设 dhcp 服务器干扰; 由于配置 DHCP snooping 频率限制，用户同样无法发起大量 DHCP 请求攻击 dhcp 服务器;
4: DAI的技术特点:
Cisco 的上述解决方案有许多明显的技术优势：
不需要对托管主机进行任何额外配置和要求; 不需要 dhcp 服务支持， ip 地址固定; 可以同时限制每个用户上网的物理端口; 禁止用户私自配置 ip 非法地址上网; 禁止用户架设 dhcp 服务器干扰网络; 防止用户的 arp 二层攻击; 防止用户假冒 ip 地址攻击; 当然，我们需要注意以下两点: 需要手工在每台接入交换机配置上述静态绑定表; 由于绑定了 MAC 地址，托管主机不能随意更换网卡，否则需要通知网管;

 更 多 详 情 请 咨 询 ：
上海美呀美网络科技有限公司---ISP经营许可证：沪B2-20040500
销售部服务热线： 021-62166977/8/9--15（分机）    13774386049--田陈程
网络在线咨询方式：MSN/Email：tcc@letuo.com    QQ：460295073
公司地址：兰溪路10弄3号楼1901室（三汽公司附近，地铁3、4号线曹杨路站）