1,問題描述
某客戶,S5700做為接入交換機,通過S5700去訪問外網,通過 S9700DHCP SERVER獲取IP地址,客戶希望做到防中間人攻擊。
保證client 2 與其它客戶端正常通信,防止報文錯誤的交互。
2,告警信息
client 1 初次只知道 client 2的 IP地址,不知道MAC地址,client 1 會廣播發送ARP請求,這時候如果,攻擊者偽造了一個相同的IP ,出現問題就是,client 1 會將偽造者當成正確的接受者,報文不能正確發送到client 2
3,處理過程
1.使用命令display mac-address 檢查二層是否有MAC地址表。
2.如果沒有則查看物理鏈路層是否有故障,查看接口是否down的狀態。
3.如果有MAC地址表象,則表明二層沒有問題,下一步檢查三層口。在網關設備上,使用命令display arp查看是否有學習到所有PC的MAC地址和IP地址。
4.如果只有一個條MAC地址對應的IP地址,而且是可以ping通的,則表明網關上做了IP MAC地址綁定的防攻擊的功能。
5.其它PC不能與網關互通,是因為網關設備做了ip mac地址綁定,當一臺PC去訪問網關時,網關會對應自身綁定的 ip 和 MAC地址做檢查,若果是對應自己綁定的ip 和 MAC則允許通信,如果沒有檢測到對應的MAC表象,則代表非法,直接丟棄ARP報文。
4,根因
client 1 初次訪問 client 2 時,只知道對方的IP 而不知道對方的MAC地址,於是發送ARP的廣播請求,每臺客戶端都會收到這份廣播報文,正常情況下,只有client 2 才會接收和響應這份ARP的請求報文,client 2 收到這份ARP報文後,會構建 IP與MAC地址對應的表項。並且向client 1 響應ARP,以單播的形式回應。但是如果攻擊者,偽造了一個相同的IP 收到client 1 發送的ARP報文時,不會丟棄這份報文,而是去響應這份請求報文,這時候client 1 就不能夠擁有client 2 的正確的MAC地址,從而數據直接發送給了攻擊者。
5,解決方案
1.在S5700接入交換機連接PC終端接口上使能ARP報文檢查功能arp anti-attack check user-bind enable
2.連接PC終端的接口使能報文丟棄告警功能arp anti-attack check user-bind alarm enable
3.配置DHCP Snooping功能,以便生成動態用戶的地址和端口的綁定關係表,併為靜態用戶配置靜態綁定表,用於後續的ARP報文檢查。
user-bind static ip-address 10.1.1.2 mac-address 0001-0001-0001 interface GE 0/0/3 vlan 10
4.在相同VLAN內使能ARP檢測功能,對收到的ARP報文的 IP MAC VLAN的綁定關係進行檢查,防止非法ARP報文。
6,建議與總結
1.採用動態ARP的檢測,交換機端口都使能DHCP監聽功能,動態ARP檢測,需要判斷報文是否來自合法的端口。
2.交換機連接DHCP SERVER的端口要設置為信任端口。
閱讀更多 王海軍老師 的文章
