ARP攻击防御术心法-几乎不涉及产品
查看( 133 ) /
评论( 5 )
TAG:
-
jyiufe
发布于2008-11-15 20:31:05
-
卷一:
卷一卷首语:
本卷huawei派武功为基础,huawei派武功秉承我中华上下五千文化,不求冗长复杂,但求简单易练。第一卷为第一式 L2的ARP防御术+辅助心法静态ARP转发表项。
第一式:L2的ARP防御术
Huawei开创了自定义ACL(acl number 5000‐5999)利用这个我们可以在 L2层面上阻击ARP attack。在这里我仅以S3026举例。
全局配置ACL禁止所有源IP是网关的ARP报文
acl num 5001
rule 0 deny 0806 ffff 24 c0a80001 ffffffff 40
rule1 permit 0806 ffff 24 0013320207ba ffffffffffff 34
其中rule0把整个S3026的端口冒充网关的ARP报文禁掉,其中红色字体部分c0a80001是网关IP地址 192.168.0.1的16进制表示形式。Rule1允许通过网关发送的ARP报文,红色字体部分为网关的mac地址0013‐3202‐07ba。
注意:配置Rulee时的配置顺序,上述配置为先下发后生效的情况。
在S3026 统视图下发acl规则:
[S3026C] packet-filter user-group 5001
这样只有S3026C上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。
如何验证第一式修炼成功呢?修炼者练成之后,换一个网关设备,网关ip不变,网络肯定就不通了,只有将rule1里面的MAC地址换成新网关的地址后才能正常通讯。
辅助心法:在这一式里面,如果想气脉更为通畅,还需再修炼一个辅助心法(可能有的修炼者已经练成),就是在网关处设置静态的ARP转发表项。
-
jyiufe
发布于2008-11-15 20:31:39
-
第二卷(DAI心法)
第二卷较为复杂,需要修炼者具有较深厚的内力,任督二脉具通者修炼更为提速。修炼第二卷需要一些先天条件:DHCPserver一台、CISCO4506一台(仅用于举例)、CISCO3550\2950若干。
第一式:搭建DHCPserver
这是第二卷的心法的基础, DHCPserver可以用windows搭建也可以用linux\UNIX 搭建。我比较懒,就用windows搭建吧。基本上有多少个VLAN 就要在DHCPserver里面做多少个域。但是有一点就是,server就不需要做DHCP 了。
第二式:在4506上面启用DHCPrelay
Switch(Config)#ServiceDhcp
Switch(Config)#Ip Dhcp Relay Information check
第三式:给每个VLAN 定义 DHCPserver
在VLAN虚接口下
interface Vlan2 (这个是服务器所在的 VLAN)
description server
!
interface Vlan3
ip address 10.167.89.62255.255.255.192
IP helper‐address10.167.88.7(这就是给VLAN添加DHCP服务器的命令)
ip pim dense-mode
!
第四式:启动 ip dhcp snooping
ip dhcp snooping vlan3‐7,9,101‐105(需要在哪个VLAN上启用就写哪个VLAN的VLAN 号)
no ip dhcp snooping information option
ip dhcp snooping
这一步按照我的理解就是建立一个IP和MAC的对应关系,但是,这个对应关系的来源是来自DHCP。
第五式:启动ip arp inspection并记录日(记录日志非常重要,后面需要用它找到网段中发送ARP异常的机器。)
ip arp inspection vlan 3‐7,9,101,200 (设置需要启用Ip arp inspection的VLAN)
ip arp inspection log‐buffer entries 1024(这个就不用说了吧,字面上都看得出来)
ip arp inspection log‐buffer logs 1024 interval 10
ip arp inspection limitrate30(这是设置ARP阀值,超过此阀值会直接导致端口因发生err‐disable错误而DOWN)
这已是里面我认为最重要的就是最后一条,如何能保证网络的稳定运行,就靠它了,那个端口发生问题就把那个关掉,以免影响 VLAN 内其它机器。
第六式:设置err‐disable 恢复条件
第五式中端口会被DOWN掉,那怎么恢复呢?不能一直被 DOWN。在这里我们有两个选择。
一、手动将端口 shutdown 、noshutdown,对于我这个天下第一懒武术家怎么能忍受这种笨到家的办法呢!
二、使用 errdisable recovery心法
errdisable recovery cause arp‐inspection(对arp‐inspection产生的errdisable 事件使用自动恢复)
errdisable recovery interval 30(恢复时间为相对时间 30 秒)
第七式:设置端口为untrust
Switch(Config)#interface range fastEthernet 2/1每-48
Switch(config‐if‐range)#no ip arp inspection trust(设置端口为untrust端口,这样ip arp inspection才会在这个端口上生效)
第八式:设置日志服务器
logging source‐interface GigabitEthernet1/2(发送日志的源接口)
logging 10.167.88.7(日志服务器地址)
第九式:法外开恩
有些网段里面可能有一些计算机不能更改地址,或者是一些设备不能使用DHCP。那么我们就要法外开恩,不对他们进行检测。
第一招:定义arp access-list
arp access-list caiwuliwai
permit ip host 10.167.91.10 mac any log
arp access-list shengchanliwai
permit ip host 10.167.90.101 mac any log
permit ip host 10.167.90.66 mac any log
第二招: ip arp inspection filter
ip arp inspection filter caiwuliwai vlan 4
ip arp inspection filter shengchanliwai vlan 103
第十式:搭建日志服务器
我用的是 KiwiSyslogDaemon轻量级的日志系统。
至此第二卷全部结束。
心法要领说明:
17:56:00:%SW_DAI坼4坼DHCP_SNOOPING_DENY:1InvalidARPs(Req)onFa4/19,vlan
200.([000a.e43e.c463/192.168.200.100/0000.0000.0000/192.168.200.100/08:12:15 UTCWed Apr262006])这个设备的时间我没调整
这个日志说明用户没有使用 DHCP,而是使用手工指定的方式配置 Ip 地址。
03:23:09:%SW_DAI坼4坼PACKET_RATE_EXCEEDED:16 packets received in 4 milliseconds on Fa6/10 (阀值值超过报警)
03:23:09:%PM-4-ERR_DISABLE:arp-inspection error detected on Fa6/10,putting Fa6/10 in
err-disable state(端口自动关闭)
这个日志说明这个端口接收到的 ARP报文超过了阀值,端口自动关闭。
本心法还可防止用户手工配置IP地址,有利于管理。
这个心法对于那种疯狂发送 ARP报文,还有那种 ARP扫描都很有效。Arp 扫描我使用的是WinArpAttacker3.50。
除此之外,为防止交换机下面挂的傻HUB、杂牌交换机上的PC互相攻击的问题,采用编写脚本下发的模式,脚本在附件里面。
-
银色黎明
发布于2008-11-15 20:43:51
-
还是很不错滴
-
赛尔鲁东发布于2008-11-24 13:45:50
-
-
明年今日发布于2008-11-27 09:42:13
-
楼主辛苦啦,支持一吧!!
标题搜索
日历
|
|||||||||
| 日 | 一 | 二 | 三 | 四 | 五 | 六 | |||
| 1 | 2 | 3 | 4 | 5 | 6 | ||||
| 7 | 8 | 9 | 10 | 11 | 12 | 13 | |||
| 14 | 15 | 16 | 17 | 18 | 19 | 20 | |||
| 21 | 22 | 23 | 24 | 25 | 26 | 27 | |||
| 28 | 29 | 30 | 31 | ||||||
我的存档
数据统计
- 访问量: 1089
- 日志数: 11
- 建立时间: 2007-12-07
- 更新时间: 2009-06-10
