关于三层交换防ARP攻击的误区

naboo

管理问题也不能忽视！

zooyo

现在用ROS做PPPOE服务器才是解决攻击和ARP欺骗的王道！

parphy

原帖由 everest79 于 2007-2-6 19:57 发表


设想吗，说不定那个天才发明就被我这样给乱撞出来了，嘿


我觉得那个不是会首先查询本地MAC缓存吗，所以就想到能不能搞个MAC服务器之类的，嘿嘿

小时候，
我突然发现，
3方+4方=5方，
于是
到现在，
我都以为
勾股定理
是我发明的


##########
另外，同意楼上几位的，防ARP攻击，万变不离其宗，任何在二层隔离的方案都可以实现防ARP攻击
如果不能隔离，至少还有两条路，过滤和严格绑定
总之，关键看基础知识学得扎实与否

everest79

小时候，死记硬背什么定理之类的
长大后，突然发现，就是看看玄幻小说都打算去套用脑海中浮现出的沟沟股股的，无它，条件反射也是一种约束
小强告诉我，三角形有四角

专卖精品

晕，这样的帖子弄了这么久

ARP是广播包，如果交换机能限制广播域，当然就解决了ARP问题了，所以每个端口划分VLAN就能解决，最顶层弄个3层交换机，东北很多网吧都用这样的方式了

至于楼主说的3层交换机转发能力不行，那是应该存在的，但既然ARP是广播包，就不存在ARP被转发了，如果楼主因此说3层交换机不能防止ARP，我觉得似乎楼主在误导！

liguibin

我觉得楼主的观点是很正确的。首先，我们应该结合自身的网络需要选择合适手段、适当的设备（根据财力而定）来制定方案。实际上解决ARP并不只是PPPOE方式，只是大家觉得PPPOE是最廉价的一种。但是我没有采用PPPOE来解决ARP，我的网络环境是小区，是环境的恶劣程度肯定比网吧坏，每个用户不可能限制要求安装还原精灵或者做无盘，病毒泛滥成灾。我这边没有采用三层，大量的采用了智能网管交换机（这个可能对网吧不适合）进行端口隔离。网络运行很正常。很高兴看到大家都在讨论ARP防范的问题。向大家学习

everest79

那绑定端口MAC会不会影响前边提到的交换表？

专卖精品

原帖由 liguibin 于 2007-2-10 22:59 发表
我觉得楼主的观点是很正确的。首先，我们应该结合自身的网络需要选择合适手段、适当的设备（根据财力而定）来制定方案。实际上解决ARP并不只是PPPOE方式，只是大家觉得PPPOE是最廉价的一种。但是我没有采用PPPO ...

正解，要根据实际情况决定方案

naboo

引一段华三儿KMS里的，给大家作个参考：

如图1所示，当PC-B发送源IP地址为PC-D的arp reply攻击报文，源mac是PC-B的mac (000d-88f8-09fa)，源ip是PC-D的ip(100.1.1.3)，目的ip和mac是网关（3552P）的，这样3552上就会学习到错误的arp，如下所示：
---------------------  错误 arp 表项 --------------------------------
IP Address    MAC Address     VLAN ID  Port Name       Aging Type
100.1.1.4     000d-88f8-09fa   1        Ethernet0/2     20    Dynamic
100.1.1.3     000f-3d81-45b4   1       Ethernet0/2     20    Dynamic

从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上，而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击：
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
2. 在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。
3. 对于二层设备（S3050C和S3026E系列），除了可以配置静态ARP外，还可以配置IP＋MAC＋port绑定，比如在S3026C端口E0/4上做如下操作：
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口，仿冒其它设备的ARP报文则无法通过，从而不会出现错误ARP表项。

hotdll

楼主泱泱撒撒写了半天，我也没看懂到底什么意思，不过有几点结论我感觉不托！
1、是ARP协议分属在那层？呵呵，目前实际应用的是TCP/IP协议，至于二层或三层也是基于TCP/IP协议模型，套用OSI的7层模型不合适吧！何况ARP属于二层和一层之间的一个协议（参见TCP/IP协议详解第1章图4和第四、五章）。TCP/IP协议采用的是层层封装机制，因此在三层上解决ARP是很不明智的。
2、至于“三层交换机 不等于 三层+交换”，这个我占同，不过你自己的解释很牵强，至于“三层交换”不知道有这个名词没，我记得只有三层交换机，据我所知三层交换机核心技术是“路由+交换+流技术”“流技术”是思科的专利，也有其他类似的技术完成这个功能！所以我认为三层交换机绝对不是利用三层的包过滤来完成ARP的访欺骗！
3、智能二层交换机（能操作ARP缓存表的二层交换机）是可以防ARP欺骗的，因为它可以根据MAC和IP来控制客机对ARP的广播请求！试想ARP请求在交换机端口上被拒绝，那么该机怎么可能发起ARP广播请求呢？没非法ARP广播请求就不会造成ARP欺骗！
4、双绑只能缓解ARP欺骗，但不是根本解决之道！你以后遇到过这样的攻击就知道了！

everest79

按楼上两们老大讲的，我在二层上绑定端口跟MAC后是可以了？还是需要控制ARP缓存？
还有就是我打电话问过厂家，说只能在二层上绑定MAC，不能绑IP是不是正确的？

guaidetian

我曾试过,现在有的病毒可以把机器的静态ARP表改了,它能不断的向外发送ARP包.挡都挡不住,听说有一款路由可以把它挡住,用的跟它的原理一样,设定每秒广播的次数.....................

parphy

原帖由 hotdll 于 2007-2-12 20:59 发表
1、是ARP协议分属在那层？呵呵，目前实际应用的是TCP/IP协议，至于二层或三层也是基于TCP/IP协议模型，套用OSI的7层模型不合适吧！何况ARP属于二层和一层之间的一个协议（参见TCP/IP协议详解第1章图4和第四、五章）。TCP/IP协议采用的是层层封装机制，因此在三层上解决ARP是很不明智的。

地球人都知道，OSI模型是通用的网络模型，TCP/IP的四层模型与OSI7层模型并不矛盾，只是划分方法不太一样，显然阁下将本人的“三层这个概念”给张冠李戴了，错误太多，我不一一列举，只说一例，如“参见TCP/IP协议详解第1章图4和第四、五章”这句话，显然书上是按照TCP/IP的4层结构讲的，而我说的三层是，网络里的三层即OSI的三层，而三层交换里的三层一定是指OSI的3层，绝对不是TCP/IP里的三层！交换机并非只能跑TCP/IP，所以用TCP/IP的4层概念来套用是错误的，但用OSI套就不错。总之，看了书是好事，但一定要用对地方

2、至于“三层交换机 不等于 三层+交换”，这个我占同，不过你自己的解释很牵强，至于“三层交换”不知道有这个名词没，我记得只有三层交换机，据我所知三层交换机核心技术是“路由+交换+流技术”“流技术”是思科的专利，也有其他类似的技术完成这个功能！所以我认为三层交换机绝对不是利用三层的包过滤来完成ARP的访欺骗！

从这些话可以看出，很明显，阁下到现在还根本不知道人家到底是如何用三层交换来防ARP的，换句话说，给你一台三层交换，你也未必做的对。。。还是基本功问题

3、智能二层交换机（能操作ARP缓存表的二层交换机）是可以防ARP欺骗的，因为它可以根据MAC和IP来控制客机对ARP的广播请求！试想ARP请求在交换机端口上被拒绝，那么该机怎么可能发起ARP广播请求呢？没非法ARP广播请求就不会造成ARP欺骗！

这个，后半句说的有点模样了，但前面说的基本原理则大错特错了，二层交换机不靠操作ARP表防ARP的，即使能够做到操作ARP表，也只能防交换机本身被欺骗，而不能防止连接到交换机上的主机之间的ARP欺骗，因为，不被骗，并不代表拒绝转发，这个问题足以使其他主机被骗！智能二层交换机并不能直接根据MAC和IP来控制客机对ARP的广播请求，因为前面我说过了，智能二层交换机只要不在三层上，就不能读懂ARP包，我前面讲的智能二层交换机防ARP的原理是采用“家长式”的管理方式，不准出去玩，没有理由（读不懂ARP）
端口+MAC+IP绑定可以防ARP攻击这也是防ARP的很大误区，有些设备可以阻挡，也有的设备只针对单播包，就不能阻挡，但这不属于三层交换问题，我前面没有过多提及

4、双绑只能缓解ARP欺骗，但不是根本解决之道！

在不隔离的网络，又不依靠第三方的手段（如通过其它设备等），要防止ARP欺骗，除了保证每台机器的安全（清除ARP攻击工具），双绑是唯一的解决办法，而且只要做对，就行之有效！好的网管，一方面要找到合适的根本解决办法，另一方面，在（不够充分的）现有条件下，也要尽可能采取行动

你以后遇到过这样的攻击就知道了！

说这话，就好象一个算命大师，不用看，就知道本人没遇到过ARP攻击，说实话，我处理过的ARP欺骗，没有五百起也有三百起了（不是机器台数，而是“起”），各种方案也都用过，毕竟条条大路通罗马，我最早碰到过的案例，也早在2001年的某高校，有兴趣，你可以搜一下，那个时候，网上有多少人在谈论ARP欺骗这个话题

好好看书吧，一知半解，比看不懂更可怕

[ 本帖最后由 parphy 于 2007-2-13 10:33 编辑 ]

parphy

原帖由 guaidetian 于 2007-2-13 02:36 发表
我曾试过,现在有的病毒可以把机器的静态ARP表改了,

病毒改静态ARP表，通常是只能改自己的（网络自杀式），不会影响别人，如果把别的主机也改了，那就是我前面说的补丁问题，或者别的主机也有同样病毒发作，仔细回头看吧。
新手，往往容易把相同的现象归结为相同的原因甚至相同的病灶

它能不断的向外发送ARP包.挡都挡不住,

只要别人不被骗，那也一样没关系

听说有一款路由可以把它挡住,用的跟它的原理一样,设定每秒广播的次数.....................

那没用，想过没有，病毒可以发得比你设定的还快！

[ 本帖最后由 parphy 于 2007-2-13 10:43 编辑 ]

everest79

听君一席话，胜读十年书，看来最廉价的方案除PPP以外，就是网管二层交换+双向绑定，这个比三层省钱多了