关于ARP欺骗的防范cisco

端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口 MAC ，直到指定的 MAC 地址数量，交换机关机后重新学习。目前较新的技术是 Sticky Port Security ，交换机将学到的 mac 地址写到端口配置中，交换机重启后配置仍然存 　1.4配置 　　port-security 配置选项： 　　Switch(config-if)# switchport port-security ? 　　aging Port-security aging commands 　　mac-address Secure mac address 　　maximum Max secure addresses 　　violation Security violation mode 　　配置 port-security 最大 mac 数目，违背处理方式，恢复方法 　　Cat4507(config)#int fastEthernet 3/48 　　Cat4507 (config-if)#switchport port-security 　　Cat4507 (config-if)#switchport port-security maximum 2 　　Cat4507 (config-if)#switchport port-security violation shutdown 　　Cat4507 (config)#errdisable recovery cause psecure-violation 　　Cat4507 (config)#errdisable recovery interval 30 　　通过配置 sticky port-security学得的MAC 　　interface FastEthernet3/29 　　switchport mode access 　　switchport port-security 　　switchport port-security maximum 5 　　switchport port-security mac-address sticky 　　switchport port-security mac-address sticky 000b.db1d.6ccd 　　switchport port-security mac-address sticky 000b.db1d.6cce 　　switchport port-security mac-address sticky 000d.6078.2d95 　　switchport port-security mac-address sticky 000e.848e.ea01 　　1.5使用 其它技术 防范MAC/CAM*** 　　除了 Port Security 采用 DAI 技术也可以防范 MAC 地址欺骗。 DHCP SNOOPING .2DHCP Snooping技术概况 　　DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，如下表所示： 　　cat4507#sh ip dhcp snooping binding 　　MacAddress IpAddress Lease(sec) Type VLAN Interface 　　------------------ --------------- ---------- ------- ---- -------------------- 　　00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7 　　这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测DA）和IP Source Guard使用。 　　2.3基本防范 　　首先定义交换机上的信任端口和不信任端口，对于不信任端口的 DHCP 报文进行截获和嗅探， DROP 掉来自这些端口的非正常 DHCP 报文，如下图所示： 　　 　　基本配置示例如下表： 　　IOS 全局命令： 　　ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探 　　ip dhcp snooping 　　接口命令 　　ip dhcp snooping trust 　　no ip dhcp snooping trust (Default) 　　ip dhcp snooping limit rate 10 (pps) /* 一定程度上防止 DHCP 拒绝服 /* 务*** 　　手工添加 DHCP 绑定表 　　ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000 　　导出 DHCP 绑定表到 TFTP 服务器 　　ip dhcp snooping database tftp:// 10.1.1 .1/directory/file 　　需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或导出到指定 TFTP 服务器上，否则交换机重启后 DHCP 绑定表丢失，对于已经申请到 IP 地址的设备在租用期内，不会再次发起 DHCP 请求，如果此时交换机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术，这些用户将不能访问网络 DAI 3.3防范方法 　　思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定， 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”***。 　　3.3配置示例 　　IOS 全局命令： 　　ip dhcp snooping vlan 100,200 　　no ip dhcp snooping information option 　　ip dhcp snooping 　　ip arp inspection vlan 100,200 /* 定义对哪些 VLAN 进行 ARP 报文检测 　　ip arp inspection log-buffer entries 1024 　　ip arp inspection log-buffer logs 1024 interval 10 　　IOS 接口命令： 　　ip dhcp snooping trust 　　ip arp inspection trust /* 定义哪些接口是信任接口，通常是网络设备接口， TRUNK 接口等 　　ip arp inspection limit rate 15 (pps) /* 定义接口每秒 ARP 报文数量 　　对于没有使用 DHCP 设备可以采用下面办法： 　　arp access-list static-arp 　　permit ip host 10.66.227.5 mac host 0009.6b88.d387 　　ip arp inspection filter static-arp vlan 201 3.3配置DAI后的效果： 　　? 在配置 DAI技术的接口上，用户端不能采用指定地址地址将接入网络。 　　? 由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系，无法实施中间人***，***工具失效。下表为实施中间人***是交换机的警告： 　　3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 　　? 由于对 ARP请求报文做了速度限制，客户端无法进行认为或者病毒进行的IP扫描、探测等行为，如果发生这些行为，交换机马上报警或直接切断扫描机器。如下表所示： 　　3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******报警 　　3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state ******切断端口 　　I49-4500-1#.....sh int f.5/30 　　FastEthernet5/30 is down, line protocol is down (err-disabled) 　　Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d) 　　MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, 　　reliability 255/255, txload 1/255, rxload 1/255 　　I49-4500-1#...... 　　? 用户获取 IP地址后，用户不能修改IP或MAC，如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可，对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的报警： 　　3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30, vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ]) 　　4 IP/MAC欺骗的防范 　　4．1常见的欺骗***的种类和目的 　　常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗，其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是***行为：如Ping Of Death、syn flood、ICMP unreacheable Storm，另外病毒和***的***也具有典型性，下面是******的一个例子 4.3IP/MAC欺骗的防范 　　IP Source Guard 技术配置在交换机上仅支持在 2 层端口上的配置，通过下面机制可以防范 IP/MAC 欺骗： 　　? IP Source Guard 使用 DHCP sooping 绑定表信息。 　　? 配置在交换机端口上，并对该端口生效。 　　? 运作机制类似 DAI，但是 IP Source Guard不仅仅检查ARP报文，所有经过定义IP Source Guard检查的端口的报文都要检测。 　　? IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表，如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82，同时使路由器支持Option 82信息。 　　通过在交换机上配置 IP Source Guard： 　　? 可以过滤掉非法的 IP地址，包含用户故意修改的和病毒、***等造成的。 　　? 解决 IP地址冲突问题。 　　? 提供了动态的建立 IP＋MAC＋PORT的对应表和绑定关系，对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中。 　　? 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。 　　? 不能防止“中间人***”。 　　对于 IP欺骗在路由器上也可以使用urpf技术。 　　4.4配置示例： 　　检测接口上的 IP+MAC 　　IOS 全局配置命令： 　　ip dhcp snooping vlan 12,200 　　ip dhcp snooping information option 　　ip dhcp snooping 　　接口配置命令： 　　ip verify source vlan dhcp-snooping port-security 　　switchport mode access 　　switchport port-security 　　switchport port-security limit rate invalid-source-mac N 　　/* 控制端口上所能学习源 MAC 的速率，仅当 IP+MAC 同时检测时有意义。 　　检测接口上的 IP 　　IOS 全局配置命令 　　ip dhcp snooping vlan 12,200 　　no ip dhcp snooping information option 　　ip dhcp snooping 　　接口配置命令： 　　ip verify source vlan dhcp-snooping 　　不使用 DHCP 的静态配置 　　IOS 全局配置命令： 　　ip dhcp snooping vlan 12,200 　　ip dhcp snooping information option 　　ip dhcp snooping 　　ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5 IP SOURCE GARUD 很象DAI

转载于:https://blog.51cto.com/840422/242856