首页 >> 服务器 >> IDC频道 >> 技术和方案

上海移动怒江IDC ARP欺骗攻击防御方案

2008-8-6 8:34:00　文/IDC频道　出处：IT.com.cn(IT世界网)

    目前乐拓数据中心和上海移动数据中心，思科一起建立了上海怒江机房ARP防护专区。

    IP地址，MAX地址和交换机端口3个唯一性的参数全部绑定。完全做到，单机单网，自己中毒了也不会影响他人，他人中毒了也不会影响你。我们不能承诺您的服务器不被入侵，也不能承诺您的服务器不会中ARP，但是我们相信，干净而互不侵扰网络环境才是对客户最好的支持。而着，确实已经是目前IDC企业和运营商和设备商共同努力能提供的最好的网络环境了。

    对于ARP攻击防制，最多的时候是先踏踏实实把基本防制工作做好，才是根本解决的方法。由于市场上的解决方式众多，我们无法一一加以说明优劣，因此我们仅从ARP攻击防制的基本思想来进行解释。

    上海移动怒江IDC的网络拓扑结构示意图如下：

    1. 怒江IDC的核心交换机采用的是 Cisco Catalyst 6500 ，而采用的接入交换机包括 Cisco Catalyst 3550 和华为 3952 （虽然怒江IDC接入交换机 Cisco Catalyst 3550 和华为 3952 均具备 Layer 3 转发功能，但在当前应用中只启用了 Layer 2 交换功能，并且连接接入交换机的托管主机 default gateway 默认网关都指向设置在 Catalyst 6509 上 HSRP 虚拟地址.

    如果IDC的托管主机受到 ARP 病毒感染或是被黑客控制了，就可能出现了 ARP 欺骗攻击 - 通常，被感染或被控制的主机会向本网段广播伪造的 ARP 信息，这会导致同网段的其它托管主机或是网关的 ARP 表出现混乱，会造成这些主机无法进行正常通信，更有甚者则会导致这些主机上的通信被监听或窃取事件的发生等等问题。

    需要说明的是 ARP 欺骗是一种基于 Layer 2 的接入层攻击破坏行为，最好的办法就是在和主机相连的接入交换机上能够对 ARP 信息直接地进行识别并且消除掉其中那些非法的、仿造的 ARP 广播！

    2.解决方案.动态ARP检测功能(DAI)

    对于网络中可能出现的各种二层、三层等非法行为，包括 ARP 欺骗攻击， Cisco 在相应的产品和解决方案中都有充分的考虑和设计了相应的功能，可以进行有效防御。对于上海移动怒江 IDC 发生的 ARP 欺骗攻击，考虑到 IDC 的实际网络拓扑和应用情况，我们认为最好的办法就是在托管主机的接入层交换机上开启动态 ARP 检测功能 DAI – 该功能就是针对 ARP 欺骗行为的， 它可以监控相应端口的 ARP 广播，对其是否真伪、发送速度是否超出限制都进行实时监控，其会丢弃非法的 ARP 广播，并且对于上述非法行为进行限制、惩罚和进行日志记录，可以十分有效地解决上述问题.

    采用的技术和安全防范功能：

    设备配置 dhcp snooping 使得下面安全防范检查能够有数据库参考使用；通过动态 ARP 检查 (DAI - Dynamic ARP Inspection) 功能防止用户 ARP 欺骗攻击；

    另外，还可以启用下列附加功能：
    通过 IP Guard 技术可以防止伪造 IP 攻击（三层欺骗）
    通过 Port Security 的最大 MAC 数量限制可以限制用户上网电脑数量，同时防范 MAC 泛滥攻击

    3、上海移动怒江IDC属于非DHCP环境，即客户托管主机的IP地址都是手工静态配置的。如何在现有环境下实现动态ARP检测，即DAI，示意如下：

    就是根据以上数据库，使得DAI和IP source-guard可对用户数据包进行相应检查，符合的才能通过。

    根据上述参考配置，可以实现：

    如果用户私自设置地址，由静态DHCP snooping 数据库中没有相应数据，ip souce guard 检查中发现mac地址不符合设置，调用 port security 关闭端口，用户无法联网；

    即使用户手动配置此物理端口正常用户mac地址，但是ip地址没有按照规范设置，会导致DAI检查失败，用户 arp 数据不会被其他正常用户收到，其他用户不会出现ip地址冲突告警；

    同时由于DAI检查失败，用户无法学习到其他机器( 包括网关 ) 的 mac ，其他机器也无法收到用户的mac地址，导致用户和其他机器 ( 包括网关) 无法通讯，用户无法上网；

    即使用户手动设定其他机器（包括网关）mac，强行发送ip数据，由 ip源地址不对，也会被ip source guard 拦截，导致攻击失败；

    如果用户连接多余 1台设备上网，由于设置只能允许 1 台电脑，导致端口自动errordisable，用户无法上网，30s后端口自动恢复，用户如果拔除多余电脑，端口正常；

    同样用户如果伪造ARP攻击或者伪造IP攻击，均会导致 DAI 检查和 IP Source-guard 检查失败，从而伪造流量无法进入交换机；

    由于通过DAI 配置了 ARP 限制，用户如果发起ARP攻击，每秒也只能有15个ARP进入交换机，其他均丢弃；

    由于配置Port-security 限制，同样防止了MAC泛洪攻击；

    由于配置了dhcp snooping 限制，用户无法私自架设 dhcp 服务器干扰；

    由于配置DHCP snooping 频率限制，用户同样无法发起大量DHCP 请求攻击dhcp服务器；

    4、DAI的技术特点：

    Cisco 的上述解决方案有许多明显的技术优势：

    不需要对托管主机进行任何额外配置和要求；
    不需要 dhcp 服务支持， ip 地址固定；
    可以同时限制每个用户上网的物理端口；
    禁止用户私自配置 ip 非法地址上网；
    禁止用户架设 dhcp 服务器干扰网络；
    防止用户的 arp 二层攻击；
    防止用户假冒 ip 地址攻击；

    当然，我们需要注意以下两点：
    需要手工在每台接入交换机配置上述静态绑定表；
    由于绑定了 MAC 地址，托管主机不能随意更换网卡，否则需要通知网管。

　

• 看本文的网友还看了：
  ·小心防范黑客攻击方式的四种新趋势
  ·安全专家支招防范黑客攻击九大方法
  ·虚拟化四大安全隐忧拍砖虚拟化市场
  ·Secure Computing助力联通解决垃圾邮件问题
  ·管好网络必须得从用活IP地址开始
  
• 热点关注：

  [原创]台电代言MM	[原创]最后的冲刺
  ·激凸人体摄影　　·上传相册　·怎么上传

打印此页 投稿与建议 返回顶部