資源描述:
《DCN交換機(jī)ARP GUARD功能技術(shù)白皮書(shū)》由會(huì)員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�。
1、DCN交換機(jī)ARPGUARD功能技術(shù)白皮書(shū)文件編號(hào)文件類別技術(shù)白皮書(shū)編寫孫團(tuán)會(huì)日期2007/06/07審核日期批準(zhǔn)日期神州數(shù)碼網(wǎng)絡(luò)有限公司神州數(shù)碼網(wǎng)絡(luò)有限公司修改記錄版本日期修改紀(jì)要修改人審核人發(fā)現(xiàn)問(wèn)題VX.XYYYY-MM-DD創(chuàng)建XXXXXX[說(shuō)明:技術(shù)白皮書(shū)由研發(fā)人員編寫初稿(要?dú)w檔到研發(fā)中心CC服務(wù)器相關(guān)項(xiàng)目或部門中)��,提交給產(chǎn)品經(jīng)理����,產(chǎn)品經(jīng)理進(jìn)行修訂潤(rùn)色,形成可提供給外部客戶的最終稿(歸檔到產(chǎn)品部知識(shí)庫(kù))�����。[]內(nèi)藍(lán)色字體部分為文檔內(nèi)容編寫提要�,請(qǐng)產(chǎn)品經(jīng)理注意技術(shù)白皮書(shū)最終定稿后請(qǐng)刪除[]內(nèi)容。]神州數(shù)碼網(wǎng)
2����、絡(luò)有限公司目錄1.概述12.縮寫和術(shù)語(yǔ)13.技術(shù)介紹14.主要特性35.技術(shù)特色與優(yōu)勢(shì)36.典型應(yīng)用指南37.參考資料4神州數(shù)碼網(wǎng)絡(luò)有限公司1.概述ARP協(xié)議用于IPV4網(wǎng)絡(luò)中解析網(wǎng)絡(luò)設(shè)備MAC地址,其基本原理是PC1已知PC2的IP地址��,PC1向PC2發(fā)送IP報(bào)文之前必需首先獲取PC2的MAC地址�����。為此���,PC1發(fā)送ARPREQUEST報(bào)文向PC2請(qǐng)求MAC地址�;PC2接收到ARPREQUEST報(bào)文之后����,發(fā)送ARPREPLY報(bào)文,通告自己的MAC地址�����;PC1接收到PC2的ARPREPLY報(bào)文�����,就創(chuàng)建ARP表項(xiàng)����,然后
3���、就可以根據(jù)ARP表項(xiàng)向PC2發(fā)送IP數(shù)據(jù)。同時(shí)為了提交效率����,RFC規(guī)定在PC2沒(méi)有接收到ARPREQUEST的時(shí)候也可以主動(dòng)發(fā)送ARPREPLY報(bào)文通告自己的MAC地址;其它網(wǎng)絡(luò)設(shè)備接收到ARPREPLY報(bào)文之后就直接創(chuàng)建ARP表項(xiàng)��,并據(jù)此向PC2發(fā)送IP數(shù)據(jù)���。ARP協(xié)議的設(shè)計(jì)存在嚴(yán)重的安全漏洞���,任何網(wǎng)絡(luò)設(shè)備都可以發(fā)送ARP報(bào)文通告IP地址和MAC地址的映射關(guān)系。這就為ARP欺騙提供了可乘之機(jī)���,攻擊者發(fā)送ARPREQUEST報(bào)文或者ARPREPLY報(bào)文通告錯(cuò)誤的IP地址和MAC地址映射關(guān)系�����,導(dǎo)致網(wǎng)絡(luò)通訊故障�����。ARP
4����、欺騙的危害主要表現(xiàn)為兩種形式:1、PC4發(fā)送ARP報(bào)文通告PC2的IP地址映射為自己的MAC地址��,將導(dǎo)致本應(yīng)該發(fā)送給PC2的IP報(bào)文全部發(fā)送到了PC4���,這樣PC4就可以監(jiān)聽(tīng)、截獲PC2的報(bào)文�����;2����、PC4發(fā)送ARP報(bào)文通告PC2的IP地址映射為非法的MAC地址,將導(dǎo)致PC2無(wú)法接收到本應(yīng)該發(fā)送給自己的報(bào)文�。特別是如果攻擊者假冒網(wǎng)關(guān)進(jìn)行ARP欺騙,將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓��。圖1-12.縮寫和術(shù)語(yǔ)ARP:AddressResolutionProtocol��,IPV4使用的地址解析協(xié)議��。ARPGUARD:防止ARP欺騙的技術(shù)。3.
5�、技術(shù)介紹ARP報(bào)文格式如下:DCN交換機(jī)ARPGUARD功能技術(shù)白皮書(shū)第4頁(yè)/共7頁(yè)神州數(shù)碼網(wǎng)絡(luò)有限公司正常情況下,ARP報(bào)文中的源IP地址(senderIPaddress)����,源MAC地址(senderhardwareaddress)就是發(fā)送ARP報(bào)文的網(wǎng)絡(luò)設(shè)備的正確地址。接收到ARP報(bào)文的網(wǎng)絡(luò)設(shè)備����,根據(jù)ARP報(bào)文中的源IP地址和源MAC地址創(chuàng)建ARP表項(xiàng),并據(jù)此和發(fā)送ARP報(bào)文的網(wǎng)絡(luò)設(shè)備通訊�����。發(fā)生ARP欺騙攻擊時(shí)����,網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文中源IP地址是被攻擊的地址,源MAC地址是非法地址�。這樣其它網(wǎng)絡(luò)設(shè)備就會(huì)創(chuàng)建
6、錯(cuò)誤的ARP表項(xiàng)�,被攻擊設(shè)備就無(wú)法接收到發(fā)送給自己的報(bào)文。例如發(fā)動(dòng)攻擊的網(wǎng)絡(luò)設(shè)備發(fā)送的ARP報(bào)文中源IP地址填寫網(wǎng)關(guān)IP地址���,而源MAC地址添加自己的MAC地址�,這樣網(wǎng)絡(luò)內(nèi)其它設(shè)備創(chuàng)建錯(cuò)誤的網(wǎng)關(guān)ARP表項(xiàng),并把應(yīng)該發(fā)送給網(wǎng)關(guān)的報(bào)文發(fā)送給了攻擊者����。圖1-2圖1-3我們利用ARP欺騙的報(bào)文特點(diǎn),通過(guò)檢測(cè)ARP報(bào)文中源IP地址的合法性��,防止ARP欺騙攻擊����。例如我們已知IP地址為IP1網(wǎng)關(guān)接入端口為A��,則檢查從交換機(jī)其它端口輸入的ARP報(bào)文��,如果ARP報(bào)文源IP地址為IP1就認(rèn)為遭到ARP欺騙攻擊�����,直接丟棄攻擊報(bào)文��;否則就
7�、認(rèn)為ARP報(bào)文合法,應(yīng)該被正常轉(zhuǎn)發(fā)���。ARPGUARD功能防止ARP欺騙的命令行:命令解釋端口配置模式arp-guardip:被保護(hù)的IP地址��。此后從這個(gè)端口上接收到源IP地址為的ARP報(bào)文就認(rèn)為報(bào)文非法�,將被直接丟棄。DCN交換機(jī)ARPGUARD功能技術(shù)白皮書(shū)第4頁(yè)/共7頁(yè)神州數(shù)碼網(wǎng)絡(luò)有限公司1.主要特性該功能主要的特性為:每個(gè)端口最多可以配置16個(gè)被保護(hù)的IP地址����,主要用來(lái)保護(hù)網(wǎng)關(guān)和重要服務(wù)器的ARP不被ARP欺騙攻擊。目前支持的產(chǎn)品:DCS-3926S(V1V2)�����、DCS-3
8���、926S(V3)����、DCS-3950S�、DCS-3950-X;正在開(kāi)發(fā)DCRS-7600系列�����、DCRS-6800系列���、DCRS-5900系列�����、DCRS-5500系列�����。2.技術(shù)特色與優(yōu)勢(shì)3.典型應(yīng)用指南圖1-4ARPGUARD一般應(yīng)用在接入交換機(jī)�����,交換機(jī)本身不是接入用戶的網(wǎng)關(guān)�����。如圖1-2�,交換機(jī)端口E連接網(wǎng)關(guān)Gateway��,其它端口A�、B、C��、D接入用戶PC1-
