示例:防范 ARP 欺骗攻击
在 ARP 欺骗攻击中,攻击者将自己的 MAC 地址与连接到交换机的网络设备的 IP 地址相关联。发往该 IP 地址的流量现在会发送给攻击者,而不是发送到预期目标。攻击者可以在 LAN 上发送伪造或“欺骗”的 ARP 消息。
启用动态 ARP 检查 (DAI) 后,交换机会记录在每个接口上接收的无效 ARP 数据包数量,以及发送方的 IP 和 MAC 地址。您可以使用这些日志消息来发现网络上的 ARP 欺骗。ARP 探测数据包不受动态 ARP 检测。交换机始终转发此类数据包。
此示例介绍如何配置 DHCP 侦听和动态 ARP 检查 (DAI) 这两项端口安全功能,以保护交换机免受 ARP 欺骗攻击:
要求
此示例使用以下硬件和软件组件:
一台 EX 系列交换机或一台 QFX3500 交换机
对于 EX 系列交换机,Junos OS 11.4 或更高版本,或者对于 QFX 系列,Junos OS 版本 12.1 或更高版本
DHCP 服务器,用于向交换机上的网络设备提供 IP 地址
在配置 DHCP 侦听和 DAI(两个端口安全功能)来缓解 ARP 欺骗攻击之前,请确保您已:
已将DHCP服务器连接到交换机。
已在交换机上配置VLAN。查看适用于您平台的任务:
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。此示例介绍如何保护交换机免受一种常见类型的攻击,即 ARP 欺骗攻击。
在 ARP 欺骗攻击中,攻击者发送伪造的 ARP 消息,从而在 LAN 上造成各种类型的问题,例如,攻击者可能会发起中间人攻击。
此示例说明如何在连接到 DHCP 服务器的交换机上配置端口安全功能。此示例的设置包括交换机上的 VLAN 员工 VLAN 。主题 示例:为 EX 系列交换机设置与多个 VLAN 的桥接 和示例:在 QFX 系列 交换机上设置与多个 VLAN 的桥接 中介绍了创建该 VLAN 的过程。此处不再重复这一过程。 图 1 说明了此示例的拓扑结构。
拓扑学
的网络拓扑
此示例的拓扑组件如 表 1 所示。
| 属性 | 设置 |
|---|---|
交换机硬件 |
一台 EX3200-24P、24 个端口(8 个 PoE 端口)或一台 QFX3500 交换机 |
VLAN 名称和 ID |
员工 VLAN,标记 20 |
VLAN 子网 |
192.0.2.16/28 192.0.2.17 到 192.0.2.30192.0.2.31 是子网的广播地址 |
员工 VLAN 中的接口 |
ge-0/0/1,ge-0/0/2, ge-0/0/3, ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例中,交换机已配置如下:
交换机上的安全端口访问已激活。
VLAN 员工 VLAN 上的 DHCP 侦听已禁用。
所有接入端口都是不受信任的,这是默认设置。
配置
要配置 DHCP 侦听和动态 ARP 检查 (DAI) 以保护交换机免受 ARP 攻击,请执行以下操作:
程序
CLI 快速配置
要快速配置 DHCP 侦听和动态 ARP 检测 (DAI),请复制以下命令并将其粘贴到交换机终端窗口中:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted user@switch# set vlan employee-vlan examine-dhcp user@switch# set vlan employee-vlan arp-inspection
分步过程
在 VLAN 上配置 DHCP 侦听和动态 ARP 检查 (DAI):
将 ge-0/0/8 接口设置为可信接口:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8 dhcp-trusted
在 VLAN 上启用 DHCP 侦听:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan examine-dhcp
在 VLAN 上启用 DAI:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlan arp-inspection
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
interface ge-0/0/8.0 {
dhcp-trusted;
}
vlan employee-vlan {
arp-inspection;
examine-dhcp;
}
验证
确认配置工作正常。
验证交换机上的 DHCP 侦听是否正常工作
目的
验证交换机上的 DHCP 侦听是否正常工作。
行动
从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。
当 DHCP 服务器连接到交换机的端口受信任时,显示 DHCP 侦听信息。当从 MAC 地址发送请求并且服务器已提供 IP 地址和租约时,将产生以下输出:
user@switch> show dhcp-snooping binding DHCP Snooping Information: MAC Address IP Address Lease Type VLAN Interface ----------------- ---------- ----- ---- ---- --------- 00:05:85:3A:82:77 192.0.2.17 600 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:79 192.0.2.18 653 dynamic employee-vlan ge-0/0/1.0 00:05:85:3A:82:80 192.0.2.19 720 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:81 192.0.2.20 932 dynamic employee-vlan ge-0/0/2.0 00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee-vlan ge-0/0/2.0 00:05:85:27:32:88 192.0.2.22 3200 dynamic employee-vlan ge-0/0/3.0
意义
当 DHCP 服务器连接到交换机的接口设置为受信任时,输出(请参阅前面的示例)会显示每个 MAC 地址的分配 IP 地址和租用时间,即租约到期前剩余的时间(以秒为单位)。
验证交换机上的 DAI 是否正常工作
目的
验证 DAI 是否在交换机上工作。
行动
从连接到交换机的网络设备发送一些 ARP 请求。
显示 DAI 信息:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意义
示例输出显示每个接口接收和检查的 ARP 数据包数,并列出了每个接口上通过检查的数据包数和未通过检测的数据包数。交换机会将 ARP 请求和回复与 DHCP 侦听数据库中的条目进行比较。如果 ARP 数据包中的 MAC 地址或 IP 地址与数据库中的有效条目不匹配,则会丢弃该数据包。