naboo 发表于 2007-2-7 08:50:50

管理问题也不能忽视!

zooyo 发表于 2007-2-7 09:04:25

现在用ROS做PPPOE服务器才是解决攻击和ARP欺骗的王道!

parphy 发表于 2007-2-7 12:26:36

原帖由 everest79 于 2007-2-6 19:57 发表


设想吗,说不定那个天才发明就被我这样给乱撞出来了,嘿


我觉得那个不是会首先查询本地MAC缓存吗,所以就想到能不能搞个MAC服务器之类的,嘿嘿


小时候,
我突然发现,
3方+4方=5方,
于是
到现在,
我都以为
勾股定理
是我发明的


##########
另外,同意楼上几位的,防ARP攻击,万变不离其宗,任何在二层隔离的方案都可以实现防ARP攻击
如果不能隔离,至少还有两条路,过滤和严格绑定
总之,关键看基础知识学得扎实与否

everest79 发表于 2007-2-7 21:24:17

小时候,死记硬背什么定理之类的
长大后,突然发现,就是看看玄幻小说都打算去套用脑海中浮现出的沟沟股股的,无它,条件反射也是一种约束
小强告诉我,三角形有四角

专卖精品 发表于 2007-2-7 22:42:41

晕,这样的帖子弄了这么久

ARP是广播包,如果交换机能限制广播域,当然就解决了ARP问题了,所以每个端口划分VLAN就能解决,最顶层弄个3层交换机,东北很多网吧都用这样的方式了

至于楼主说的3层交换机转发能力不行,那是应该存在的,但既然ARP是广播包,就不存在ARP被转发了,如果楼主因此说3层交换机不能防止ARP,我觉得似乎楼主在误导!

liguibin 发表于 2007-2-10 22:59:27

我觉得楼主的观点是很正确的。首先,我们应该结合自身的网络需要选择合适手段、适当的设备(根据财力而定)来制定方案。实际上解决ARP并不只是PPPOE方式,只是大家觉得PPPOE是最廉价的一种。但是我没有采用PPPOE来解决ARP,我的网络环境是小区,是环境的恶劣程度肯定比网吧坏,每个用户不可能限制要求安装还原精灵或者做无盘,病毒泛滥成灾。我这边没有采用三层,大量的采用了智能网管交换机(这个可能对网吧不适合)进行端口隔离。网络运行很正常。很高兴看到大家都在讨论ARP防范的问题。向大家学习

everest79 发表于 2007-2-11 11:52:28

那绑定端口MAC会不会影响前边提到的交换表?

专卖精品 发表于 2007-2-11 15:47:26

原帖由 liguibin 于 2007-2-10 22:59 发表
我觉得楼主的观点是很正确的。首先,我们应该结合自身的网络需要选择合适手段、适当的设备(根据财力而定)来制定方案。实际上解决ARP并不只是PPPOE方式,只是大家觉得PPPOE是最廉价的一种。但是我没有采用PPPO ...

正解,要根据实际情况决定方案

naboo 发表于 2007-2-12 15:32:57

引一段华三儿KMS里的,给大家作个参考:

如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习到错误的arp,如下所示:
---------------------错误 arp 表项 --------------------------------
IP Address    MAC Address   VLAN IDPort Name       Aging Type
100.1.1.4   000d-88f8-09fa   1      Ethernet0/2   20    Dynamic
100.1.1.3   000f-3d81-45b4   1       Ethernet0/2   20    Dynamic

从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击:
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
2. 在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。
3. 对于二层设备(S3050C和S3026E系列),除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3026C端口E0/4上做如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。

hotdll 发表于 2007-2-12 20:59:00

楼主泱泱撒撒写了半天,我也没看懂到底什么意思,不过有几点结论我感觉不托!
1、是ARP协议分属在那层?呵呵,目前实际应用的是TCP/IP协议,至于二层或三层也是基于TCP/IP协议模型,套用OSI的7层模型不合适吧!何况ARP属于二层和一层之间的一个协议(参见TCP/IP协议详解第1章图4和第四、五章)。TCP/IP协议采用的是层层封装机制,因此在三层上解决ARP是很不明智的。
2、至于“三层交换机 不等于 三层+交换”,这个我占同,不过你自己的解释很牵强,至于“三层交换”不知道有这个名词没,我记得只有三层交换机,据我所知三层交换机核心技术是“路由+交换+流技术”“流技术”是思科的专利,也有其他类似的技术完成这个功能!所以我认为三层交换机绝对不是利用三层的包过滤来完成ARP的访欺骗!
3、智能二层交换机(能操作ARP缓存表的二层交换机)是可以防ARP欺骗的,因为它可以根据MAC和IP来控制客机对ARP的广播请求!试想ARP请求在交换机端口上被拒绝,那么该机怎么可能发起ARP广播请求呢?没非法ARP广播请求就不会造成ARP欺骗!
4、双绑只能缓解ARP欺骗,但不是根本解决之道!你以后遇到过这样的攻击就知道了!

everest79 发表于 2007-2-13 02:27:18

按楼上两们老大讲的,我在二层上绑定端口跟MAC后是可以了?还是需要控制ARP缓存?
还有就是我打电话问过厂家,说只能在二层上绑定MAC,不能绑IP是不是正确的?

guaidetian 发表于 2007-2-13 02:36:44

我曾试过,现在有的病毒可以把机器的静态ARP表改了,它能不断的向外发送ARP包.挡都挡不住,听说有一款路由可以把它挡住,用的跟它的原理一样,设定每秒广播的次数.....................

parphy 发表于 2007-2-13 10:21:22

原帖由 hotdll 于 2007-2-12 20:59 发表
1、是ARP协议分属在那层?呵呵,目前实际应用的是TCP/IP协议,至于二层或三层也是基于TCP/IP协议模型,套用OSI的7层模型不合适吧!何况ARP属于二层和一层之间的一个协议(参见TCP/IP协议详解第1章图4和第四、五章)。TCP/IP协议采用的是层层封装机制,因此在三层上解决ARP是很不明智的。

地球人都知道,OSI模型是通用的网络模型,TCP/IP的四层模型与OSI7层模型并不矛盾,只是划分方法不太一样,显然阁下将本人的“三层这个概念”给张冠李戴了,错误太多,我不一一列举,只说一例,如“参见TCP/IP协议详解第1章图4和第四、五章”这句话,显然书上是按照TCP/IP的4层结构讲的,而我说的三层是,网络里的三层即OSI的三层,而三层交换里的三层一定是指OSI的3层,绝对不是TCP/IP里的三层!交换机并非只能跑TCP/IP,所以用TCP/IP的4层概念来套用是错误的,但用OSI套就不错。总之,看了书是好事,但一定要用对地方


2、至于“三层交换机 不等于 三层+交换”,这个我占同,不过你自己的解释很牵强,至于“三层交换”不知道有这个名词没,我记得只有三层交换机,据我所知三层交换机核心技术是“路由+交换+流技术”“流技术”是思科的专利,也有其他类似的技术完成这个功能!所以我认为三层交换机绝对不是利用三层的包过滤来完成ARP的访欺骗!

从这些话可以看出,很明显,阁下到现在还根本不知道人家到底是如何用三层交换来防ARP的,换句话说,给你一台三层交换,你也未必做的对。。。还是基本功问题

3、智能二层交换机(能操作ARP缓存表的二层交换机)是可以防ARP欺骗的,因为它可以根据MAC和IP来控制客机对ARP的广播请求!试想ARP请求在交换机端口上被拒绝,那么该机怎么可能发起ARP广播请求呢?没非法ARP广播请求就不会造成ARP欺骗!
这个,后半句说的有点模样了,但前面说的基本原理则大错特错了,二层交换机不靠操作ARP表防ARP的,即使能够做到操作ARP表,也只能防交换机本身被欺骗,而不能防止连接到交换机上的主机之间的ARP欺骗,因为,不被骗,并不代表拒绝转发,这个问题足以使其他主机被骗!智能二层交换机并不能直接根据MAC和IP来控制客机对ARP的广播请求,因为前面我说过了,智能二层交换机只要不在三层上,就不能读懂ARP包,我前面讲的智能二层交换机防ARP的原理是采用“家长式”的管理方式,不准出去玩,没有理由(读不懂ARP)
端口+MAC+IP绑定可以防ARP攻击这也是防ARP的很大误区,有些设备可以阻挡,也有的设备只针对单播包,就不能阻挡,但这不属于三层交换问题,我前面没有过多提及


4、双绑只能缓解ARP欺骗,但不是根本解决之道!

在不隔离的网络,又不依靠第三方的手段(如通过其它设备等),要防止ARP欺骗,除了保证每台机器的安全(清除ARP攻击工具),双绑是唯一的解决办法,而且只要做对,就行之有效!好的网管,一方面要找到合适的根本解决办法,另一方面,在(不够充分的)现有条件下,也要尽可能采取行动


你以后遇到过这样的攻击就知道了!

说这话,就好象一个算命大师,不用看,就知道本人没遇到过ARP攻击,说实话,我处理过的ARP欺骗,没有五百起也有三百起了(不是机器台数,而是“起”),各种方案也都用过,毕竟条条大路通罗马,我最早碰到过的案例,也早在2001年的某高校,有兴趣,你可以搜一下,那个时候,网上有多少人在谈论ARP欺骗这个话题

好好看书吧,一知半解,比看不懂更可怕

[ 本帖最后由 parphy 于 2007-2-13 10:33 编辑 ]

parphy 发表于 2007-2-13 10:27:23

原帖由 guaidetian 于 2007-2-13 02:36 发表
我曾试过,现在有的病毒可以把机器的静态ARP表改了,

病毒改静态ARP表,通常是只能改自己的(网络自杀式),不会影响别人,如果把别的主机也改了,那就是我前面说的补丁问题,或者别的主机也有同样病毒发作,仔细回头看吧。
新手,往往容易把相同的现象归结为相同的原因甚至相同的病灶
它能不断的向外发送ARP包.挡都挡不住,
只要别人不被骗,那也一样没关系

听说有一款路由可以把它挡住,用的跟它的原理一样,设定每秒广播的次数.....................
那没用,想过没有,病毒可以发得比你设定的还快!

[ 本帖最后由 parphy 于 2007-2-13 10:43 编辑 ]

everest79 发表于 2007-2-13 12:34:15

听君一席话,胜读十年书,看来最廉价的方案除PPP以外,就是网管二层交换+双向绑定,这个比三层省钱多了
页: 1 2 [3] 4
查看完整版本: 关于三层交换防ARP攻击的误区