H3C ARP攻击防御解决方案

1 前言

当计算机连接正常，却无法打开网页；或者计算机网络出现频繁断线，同时网速变得非常慢，这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。

ARP欺骗攻击不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用ARP欺骗攻击可进一步实施中间人攻击，以此非法获取到游戏、网银、文件服务等系统的帐号和口令，对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。

ARP攻击已经对各行各业网络造成了巨大威胁，但一直没有得到有效的解决。连我们熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。主要由于ARP欺骗攻击的木马程序，通常会伪装成常用软件的一部分被下载并被激活，或者作为网页的一部分自动传送到浏览者的电脑上并被激活，或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级，杀毒软件常常会失去作用。

2 方案概述

分析ARP攻击的特点，结合市场实际需求，H3C公司推出了全面有效的ARP攻击防御解决方案。

“全面防御，模块定制” H3C ARP攻击防御解决方案

H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”，并且能够根据不同的网络环境和客户需求进行“模块定制”，为用户提供多样、灵活的ARP攻击防御解决方案。

H3C提供两类ARP攻击防御解决方案：监控方式，认证方式。监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认证方式接入的网络环境；实际部署时，建议分析网络的实际场景，选择合适的攻击防御解决方案。另外，结合H3C独有的iMC智能管理中心，可以非常方便、直观的配置网关绑定信息，查看网络用户和设备的安全状况，不仅有效的保障了网络的整体安全，更能快速发现网络中不安全的主机和ARP攻击源，并迅速做出反映。

3 功能特点

u 更灵活。提供监控模式和认证模式两大类方案，组网方式多样、灵活。

u 更彻底。多种方式组合能够全面防御新建网络ARP攻击，切实保障网络稳定和安全。

u 保护投资。对接入交换机的依赖较小，可以较好的支持现有网络的利旧，兼容大部分现有网络场景，有效保护投资。

u 适用性强。解决方案适应动态和静态两种地址分配方式，通过终端、接入交换机、网关多种模块的组合，适用于各种复杂的组网环境。

H3C ARP攻击防御解决方案的推出，为教育、金融、政府、企业等客户网络彻底解决了ARP欺骗攻击的问题，其“全面防御模块定制”的理念，能够满足新旧网络的不同需要，让ARP欺骗攻击从此不再困扰！

4 典型应用

4.1 监控方式

接入交换机通过监控用户的正常动态IP地址获取过程，获取正常用户的IP-MAC对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的ARP报文，来防止接入的用户主机进行ARP欺骗攻击。这种防攻击手段能够有效防御各种ARP攻击。对于某些采用静态IP地址设置，如打印机、服务器的特殊客户端，可以采取在接入交换机上手工添加表项的方式进行合法IP-MAC的绑定。

业务流程如下图：

图1 监控模式示意图

4.2 认证方式

如下图所示，通过增强用户的认证机制来获取上线用户的IP-MAC对应关系，并且利用认证的手段来确认当前用户的合法性。从而有效的解决难以获取合法用户的IP-MAC对应关系的问题。同时通过事先在认证服务器上配置网关的IP-MAC对应关系的方式来集中管理网络中存在的网关的IP-MAC信息。当合法用户上线时，可以利用上述的两个关键信息对网络中存在的虚假ARP报文以过滤或者绑定合法的ARP信息，从而有效的防御ARP欺骗行为。H3C的防御手段充分的考虑了方案实施的适应性要求，对虚假ARP报文加以过滤或者绑定合法ARP信息的功能可以根据网络的条件分开使用。具体模式如下图所示：

图2 认证模式示意图

4.2.1 认证模式之终端防护

如下图所示，在用户进行802.1X认证的过程中，通过iMC服务器下发预定的网关IP-MAC映射到iNode客户端，iNode客户端在用户PC上针对所有网卡查找匹配的网关，并将匹配网关的IP-MAC映射关系在PC上形成静态ARP绑定，从而有效防止针对主机的网关仿冒ARP攻击。如下所示图：

图3 认证模式之终端防护示意图

4.2.2 认证模式之接入绑定

如下所示图，在用户进行802.1X认证的过程中，通过扩展802.1X协议报文，在eapol的response报文（code=1、type=2）中携带用户PC的IP地址（iNode客户端需选定“上传IP地址”选项，且推荐客户PC上手工配置IP地址及网关），接入交换机通过监听802.1X认证过程的协议报文，将用户PC的IP地址、MAC地址和接入端口形成绑定关系，在接入交换机上建立IP-MAC-Port映射表项，并据此对用户发送的ARP/IP报文进行检测，从而有效防止用户的非法ARP/IP报文进入网络。类似于监控模式，对于某些不能采用认证手段的特殊客户端，如打印机等，也可以采取在接入交换机上手工绑定该终端的合法IP-MAC。

图4 认证模式之接入绑定示意图