【正文】 上午 5時 20分 22秒 上午 5時 20分 05:20: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 。 2023年 4月 上午 5時 20分 :20April 1, 2023 ? 1業(yè)余生活要有意義，不要越軌。 :20:2205:20:22April 1, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 05:20:2205:20:2205:20Saturday, April 1, 2023 ? 1知人者智，自知者明。 05:20:2205:20:2205:204/1/2023 5:20:22 AM ? 1越是沒有本領的就越加自命不凡。 上午 5時 20分 22秒 上午 5時 20分 05:20: ? 楊柳散和風，青山澹吾慮。 2023年 4月 上午 5時 20分 :20April 1, 2023 ? 1少年十五二十時，步行奪得胡馬騎。 2023年 4月 1日星期六 上午 5時 20分 22秒 05:20: ? 1楚塞三湘接，荊門九派通。 05:20:2205:20:2205:20Saturday, April 1, 2023 ? 1不知香積寺，數里入云峰。 05:20:2205:20:2205:204/1/2023 5:20:22 AM ? 1成功就是日復一日那一點點小小努力的積累。 上午 5時 20分 22秒 上午 5時 20分 05:20: ? 沒有失敗，只有暫時停止成功！。 2023年 4月 上午 5時 20分 :20April 1, 2023 ? 1行動出成果，工作出財富。 2023年 4月 1日星期六 上午 5時 20分 22秒 05:20: ? 1比不了得就不比，得不到的就不要。 05:20:2205:20:2205:20Saturday, April 1, 2023 ? 1乍見翻疑夢，相悲各問年。 05:20:2205:20:2205:204/1/2023 5:20:22 AM ? 1以我獨沈久，愧君相見頻。 ? 靜夜四無鄰，荒居舊業(yè)貧。如果相同，則認為此報文非法，將其丟棄；否則，認為此報文合法，繼續(xù)進行后續(xù)處理。 開啟 ARP報文限速 Trap 功能 snmpagent trap enable arp ratelimit （缺省情況下， ARP 報文限速 Trap 功能處于開啟狀態(tài)） 配置 ARP 報文限速功能 arp ratelimit { disable | rate pps drop } （缺省情況下， ARP 報文限速功能處于關閉狀態(tài)） ?? 63 H3C ARP防御方案 ?? 配置 ARP網關保護功能 在設備上不與網關相連的端口上配置此功能，可以防止偽造網關攻擊。例如，在配置了 ARP Detection 功能后，設備會將收到的 ARP 報文重定向到 CPU 進行檢查，這樣引入了新的問題：如果攻擊者惡意構造大量 ARP 報文發(fā)往設備，會導致設備的CPU 負擔過重，從而造成其他功能無法正常運行甚至設備癱瘓，這個時候可以啟用 ARP 報文限速功能來控制上送 CPU 的 ARP 報文的速率。 (3) 如果所有檢查都沒有找到匹配的表項，則認為是非法報文，直接丟棄。如果沒有找到對應源 IP 地址的 靜態(tài)綁定表項，繼續(xù)進行 DHCP Snooping 安全表項、 安全表項和 OUI MAC 地址檢查。如果找到了對應源 IP 地址和源 MAC 地 址的靜態(tài)綁定表項，認為該 ARP 報文合法，進行轉發(fā)。 用戶合法性檢查是根據 ARP 報文中源 IP 地址和源 MAC 地址檢查用戶是否是所屬 VLAN 所在端口上的合法用戶，包括基于 IP Source Guard 靜態(tài)綁定表項的檢查、基于 DHCP Snooping 安全表項的檢查、基于 安全表項的檢查和 OUI MAC 地址的檢查。 ARP Detection 包含三個功能：用戶合法性檢查、 ARP 報文有效性檢查、 ARP 報文強制轉發(fā)。如果發(fā)送攻擊報文的源是固定的，可以采用ARP 源抑制功能；如果發(fā)送攻擊報文的源不固定，可以采用 ARP 黑洞路由功能。 認證綁 定模式 DHCP SNOOPING 模式 優(yōu)點 局限性 ? 需要安裝客戶端 ? 需要采用 H3C認證方式 ? 可以保證網絡無非法 ARP報文傳播，從根本防御 ARP攻擊 ? 純網絡層面實現，不需要用戶安裝客戶端。 ?全網部署后，有效防止所有 ARP常見攻擊類型 DHCP服務器 接入交換機解析客戶端和 DHCP服務器之間的交互報文，獲得合法用戶的 IPMACport對應關系 接入交換機將獲取到的合法用戶的 IPMACport綁定在入接口上 控制點 1 X 想發(fā)送欺騙報文？丟棄 關鍵點 攻擊者 55 認證綁定 Vs. DHCP SNOOPING ? 對網絡設備的依賴小，對接入交換機和網關的綁定可以根據網絡狀況分別使用。 CAMS 認證服務器 利用 Portal認證機制將合法用戶的IPMAC關系上傳到認證服務器 認證服務器將獲取到的 IPMAC對應關系下發(fā)到網關 認證設備將獲取到的 IPMAC對應關系就地綁定 認證客戶端 控制點 1 2 3 X 認證通過后，CAMS將網關的IPMAC對應關系下發(fā)給客戶端進行靜態(tài)綁定 關鍵點 53 認證模式之接入綁定 ?利用認證途徑來獲取合法用戶的 IPMAC關系，在接入交換機（認證設備）進行綁定。 正常用戶 A 網關 G 網關 MAC更新了 網關 ARP表項已更新 攻擊者 B IP Address G MAC G 111 IP Address MAC Type (網關 ) 111 Dynamic IP Address MAC Type （網關） 222 Dynamic ARP表項更新為 這種攻擊為最為常見的攻擊類型 訪問外網數據發(fā)向錯誤的網關 46 攻擊現象 一、網絡執(zhí)法官向受害主機發(fā)送網關的欺騙 ARP報文 二、受害主機網關信息被欺騙，網絡無法正常訪問 間隔時間非常短 47 ARP欺騙攻擊 2－欺騙網關 ? 攻擊者偽造虛假的 ARP報文，欺騙網關相同網段內的某一合法用戶的 MAC地址已經更新 ? 網關發(fā)給該用戶的所有數據全部重定向到一個錯誤的 MAC地址，導致該用戶無法正常訪問外網 正常用戶 A 網關 G 用戶 A的 MAC更新了 用戶 A的 ARP表項已更新 攻擊者 B IP Address MAC Type 333 Dynamic IP Address MAC Type 222 Dynamic ARP表項更新為 IP Address A MAC A 333 外網來的數據流被轉發(fā)到錯誤的終端 48 一、受害主機上正確綁定網關信息 二、網絡還是無法正常訪問 攻擊現象 49 ARP欺騙攻擊 3－欺騙終端用戶 ? 攻擊者以偽造虛假的 ARP報文，欺騙相同網段內的其他主機， 某一合法用戶的 MAC地址已經更新 ? 網段內的其他主機發(fā)給該用戶的所有數據都被重定向到錯誤的 MAC