找回密码
 注册

QQ登录

只需一步,快速开始

搜索
楼主: parphy

[其它] 关于三层交换防ARP攻击的误区

[复制链接]
发表于 2007-2-7 08:50:50 | 显示全部楼层
管理问题也不能忽视!
routeros
回复

使用道具 举报

发表于 2007-2-7 09:04:25 | 显示全部楼层
现在用ROS做PPPOE服务器才是解决攻击和ARP欺骗的王道!
routeros
回复

使用道具 举报

 楼主| 发表于 2007-2-7 12:26:36 | 显示全部楼层
原帖由 everest79 于 2007-2-6 19:57 发表


设想吗,说不定那个天才发明就被我这样给乱撞出来了,嘿


我觉得那个不是会首先查询本地MAC缓存吗,所以就想到能不能搞个MAC服务器之类的,嘿嘿



小时候,
我突然发现,
3方+4方=5方,
于是
到现在,
我都以为
勾股定理
是我发明的


##########
另外,同意楼上几位的,防ARP攻击,万变不离其宗,任何在二层隔离的方案都可以实现防ARP攻击
如果不能隔离,至少还有两条路,过滤和严格绑定
总之,关键看基础知识学得扎实与否
routeros
回复

使用道具 举报

发表于 2007-2-7 21:24:17 | 显示全部楼层
小时候,死记硬背什么定理之类的
长大后,突然发现,就是看看玄幻小说都打算去套用脑海中浮现出的沟沟股股的,无它,条件反射也是一种约束
小强告诉我,三角形有四角
routeros
回复

使用道具 举报

发表于 2007-2-7 22:42:41 | 显示全部楼层
晕,这样的帖子弄了这么久

ARP是广播包,如果交换机能限制广播域,当然就解决了ARP问题了,所以每个端口划分VLAN就能解决,最顶层弄个3层交换机,东北很多网吧都用这样的方式了

至于楼主说的3层交换机转发能力不行,那是应该存在的,但既然ARP是广播包,就不存在ARP被转发了,如果楼主因此说3层交换机不能防止ARP,我觉得似乎楼主在误导!
routeros
回复

使用道具 举报

发表于 2007-2-10 22:59:27 | 显示全部楼层
我觉得楼主的观点是很正确的。首先,我们应该结合自身的网络需要选择合适手段、适当的设备(根据财力而定)来制定方案。实际上解决ARP并不只是PPPOE方式,只是大家觉得PPPOE是最廉价的一种。但是我没有采用PPPOE来解决ARP,我的网络环境是小区,是环境的恶劣程度肯定比网吧坏,每个用户不可能限制要求安装还原精灵或者做无盘,病毒泛滥成灾。我这边没有采用三层,大量的采用了智能网管交换机(这个可能对网吧不适合)进行端口隔离。网络运行很正常。很高兴看到大家都在讨论ARP防范的问题。向大家学习
routeros
回复

使用道具 举报

发表于 2007-2-11 11:52:28 | 显示全部楼层
那绑定端口MAC会不会影响前边提到的交换表?
routeros
回复

使用道具 举报

发表于 2007-2-11 15:47:26 | 显示全部楼层
原帖由 liguibin 于 2007-2-10 22:59 发表
我觉得楼主的观点是很正确的。首先,我们应该结合自身的网络需要选择合适手段、适当的设备(根据财力而定)来制定方案。实际上解决ARP并不只是PPPOE方式,只是大家觉得PPPOE是最廉价的一种。但是我没有采用PPPO ...


正解,要根据实际情况决定方案
routeros
回复

使用道具 举报

发表于 2007-2-12 15:32:57 | 显示全部楼层
引一段华三儿KMS里的,给大家作个参考:

如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习到错误的arp,如下所示:
---------------------  错误 arp 表项 --------------------------------
IP Address    MAC Address     VLAN ID  Port Name       Aging Type
100.1.1.4     000d-88f8-09fa   1        Ethernet0/2     20    Dynamic
100.1.1.3     000f-3d81-45b4   1       Ethernet0/2     20    Dynamic

从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击:
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
2. 在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。
3. 对于二层设备(S3050C和S3026E系列),除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3026C端口E0/4上做如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。
routeros
回复

使用道具 举报

发表于 2007-2-12 20:59:00 | 显示全部楼层
楼主泱泱撒撒写了半天,我也没看懂到底什么意思,不过有几点结论我感觉不托!
1、是ARP协议分属在那层?呵呵,目前实际应用的是TCP/IP协议,至于二层或三层也是基于TCP/IP协议模型,套用OSI的7层模型不合适吧!何况ARP属于二层和一层之间的一个协议(参见TCP/IP协议详解第1章图4和第四、五章)。TCP/IP协议采用的是层层封装机制,因此在三层上解决ARP是很不明智的。
2、至于“三层交换机 不等于 三层+交换”,这个我占同,不过你自己的解释很牵强,至于“三层交换”不知道有这个名词没,我记得只有三层交换机,据我所知三层交换机核心技术是“路由+交换+流技术”“流技术”是思科的专利,也有其他类似的技术完成这个功能!所以我认为三层交换机绝对不是利用三层的包过滤来完成ARP的访欺骗!
3、智能二层交换机(能操作ARP缓存表的二层交换机)是可以防ARP欺骗的,因为它可以根据MAC和IP来控制客机对ARP的广播请求!试想ARP请求在交换机端口上被拒绝,那么该机怎么可能发起ARP广播请求呢?没非法ARP广播请求就不会造成ARP欺骗!
4、双绑只能缓解ARP欺骗,但不是根本解决之道!你以后遇到过这样的攻击就知道了!
routeros
回复

使用道具 举报

发表于 2007-2-13 02:27:18 | 显示全部楼层
按楼上两们老大讲的,我在二层上绑定端口跟MAC后是可以了?还是需要控制ARP缓存?
还有就是我打电话问过厂家,说只能在二层上绑定MAC,不能绑IP是不是正确的?
routeros
回复

使用道具 举报

发表于 2007-2-13 02:36:44 | 显示全部楼层
我曾试过,现在有的病毒可以把机器的静态ARP表改了,它能不断的向外发送ARP包.挡都挡不住,听说有一款路由可以把它挡住,用的跟它的原理一样,设定每秒广播的次数.....................
routeros
回复

使用道具 举报

 楼主| 发表于 2007-2-13 10:21:22 | 显示全部楼层
原帖由 hotdll 于 2007-2-12 20:59 发表
1、是ARP协议分属在那层?呵呵,目前实际应用的是TCP/IP协议,至于二层或三层也是基于TCP/IP协议模型,套用OSI的7层模型不合适吧!何况ARP属于二层和一层之间的一个协议(参见TCP/IP协议详解第1章图4和第四、五章)。TCP/IP协议采用的是层层封装机制,因此在三层上解决ARP是很不明智的。


地球人都知道,OSI模型是通用的网络模型,TCP/IP的四层模型与OSI7层模型并不矛盾,只是划分方法不太一样,显然阁下将本人的“三层这个概念”给张冠李戴了,错误太多,我不一一列举,只说一例,如“参见TCP/IP协议详解第1章图4和第四、五章”这句话,显然书上是按照TCP/IP的4层结构讲的,而我说的三层是,网络里的三层即OSI的三层,而三层交换里的三层一定是指OSI的3层,绝对不是TCP/IP里的三层!交换机并非只能跑TCP/IP,所以用TCP/IP的4层概念来套用是错误的,但用OSI套就不错。总之,看了书是好事,但一定要用对地方

2、至于“三层交换机 不等于 三层+交换”,这个我占同,不过你自己的解释很牵强,至于“三层交换”不知道有这个名词没,我记得只有三层交换机,据我所知三层交换机核心技术是“路由+交换+流技术”“流技术”是思科的专利,也有其他类似的技术完成这个功能!所以我认为三层交换机绝对不是利用三层的包过滤来完成ARP的访欺骗!

从这些话可以看出,很明显,阁下到现在还根本不知道人家到底是如何用三层交换来防ARP的,换句话说,给你一台三层交换,你也未必做的对。。。还是基本功问题

3、智能二层交换机(能操作ARP缓存表的二层交换机)是可以防ARP欺骗的,因为它可以根据MAC和IP来控制客机对ARP的广播请求!试想ARP请求在交换机端口上被拒绝,那么该机怎么可能发起ARP广播请求呢?没非法ARP广播请求就不会造成ARP欺骗!

这个,后半句说的有点模样了,但前面说的基本原理则大错特错了,二层交换机不靠操作ARP表防ARP的,即使能够做到操作ARP表,也只能防交换机本身被欺骗,而不能防止连接到交换机上的主机之间的ARP欺骗,因为,不被骗,并不代表拒绝转发,这个问题足以使其他主机被骗!智能二层交换机并不能直接根据MAC和IP来控制客机对ARP的广播请求,因为前面我说过了,智能二层交换机只要不在三层上,就不能读懂ARP包,我前面讲的智能二层交换机防ARP的原理是采用“家长式”的管理方式,不准出去玩,没有理由(读不懂ARP)
端口+MAC+IP绑定可以防ARP攻击这也是防ARP的很大误区,有些设备可以阻挡,也有的设备只针对单播包,就不能阻挡,但这不属于三层交换问题,我前面没有过多提及

4、双绑只能缓解ARP欺骗,但不是根本解决之道!

在不隔离的网络,又不依靠第三方的手段(如通过其它设备等),要防止ARP欺骗,除了保证每台机器的安全(清除ARP攻击工具),双绑是唯一的解决办法,而且只要做对,就行之有效!好的网管,一方面要找到合适的根本解决办法,另一方面,在(不够充分的)现有条件下,也要尽可能采取行动

你以后遇到过这样的攻击就知道了!

说这话,就好象一个算命大师,不用看,就知道本人没遇到过ARP攻击,说实话,我处理过的ARP欺骗,没有五百起也有三百起了(不是机器台数,而是“起”),各种方案也都用过,毕竟条条大路通罗马,我最早碰到过的案例,也早在2001年的某高校,有兴趣,你可以搜一下,那个时候,网上有多少人在谈论ARP欺骗这个话题

好好看书吧,一知半解,比看不懂更可怕

[ 本帖最后由 parphy 于 2007-2-13 10:33 编辑 ]
routeros
回复

使用道具 举报

 楼主| 发表于 2007-2-13 10:27:23 | 显示全部楼层
原帖由 guaidetian 于 2007-2-13 02:36 发表
我曾试过,现在有的病毒可以把机器的静态ARP表改了,


病毒改静态ARP表,通常是只能改自己的(网络自杀式),不会影响别人,如果把别的主机也改了,那就是我前面说的补丁问题,或者别的主机也有同样病毒发作,仔细回头看吧。
新手,往往容易把相同的现象归结为相同的原因甚至相同的病灶
它能不断的向外发送ARP包.挡都挡不住,

只要别人不被骗,那也一样没关系

听说有一款路由可以把它挡住,用的跟它的原理一样,设定每秒广播的次数.....................

那没用,想过没有,病毒可以发得比你设定的还快!

[ 本帖最后由 parphy 于 2007-2-13 10:43 编辑 ]
routeros
回复

使用道具 举报

发表于 2007-2-13 12:34:15 | 显示全部楼层
听君一席话,胜读十年书,看来最廉价的方案除PPP以外,就是网管二层交换+双向绑定,这个比三层省钱多了
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-23 08:42 , Processed in 0.131474 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表