攻击简介
如图1-1所示,局域网中UserA、UserB、UserC等用户通过Switch接入连接到Gateway访问Internet。
图1-1 ARP欺骗攻击组网
正常情况下,UserA、UserB、UserC上线之后,通过相互之间交互ARP报文,UserA、UserB、UserC和Gateway上都会创建相应的ARP表项。此时,如果有攻击者Attacker通过在广播域内发送伪造的ARP报文,篡改Gateway或者UserA、UserB、UserC上的ARP表项,Attacker可以轻而易举地窃取UserA、UserB、UserC的信息或者阻碍UserA、UserB、UserC正常访问网络。
现象描述
局域网内用户时通时断,无法正常上网。网络设备会经常脱管,网关设备会打印大量地址冲突的告警。
定位思路
交换机做网关,如果攻击源发送假冒网关的ARP报文经过网关交换机时,报文会上送交换机的CPU处理,交换机在检测到网关冲突的同时记录日志.
执行命令display logbuffer查看日志信息。日志信息如下所示,其中MacAddress代表攻击者的MAC地址.
ARP/4/ARP_DUPLICATE_IPADDR:ReceivedanARPpacketwithaduplicateIPaddressfromtheinterface.(IpAddress=[IPADDR],InterfaceName=[STRING],MacAddress=[STRING])
根据日志信息记录的攻击者的MAC地址查找MAC地址表,从而获取到攻击源所在的端口,通过网络进一步排查,进一步定位出攻击源,查看是否中毒所致。
交换机做网关,如果攻击源发送假冒网关的ARP报文不经过网关交换机,直接在交换机的下游转发到用户,则需要在下层网络排查。例如,可以在终端上使用报文解析工具(比如wireshark)解析网关回应的ARP报文,如果解析出来的MAC地址不是网关的MAC地址,则代表终端遭遇攻击,其中解析出来的MAC地址即为攻击者MAC地址。如果解析出来的mac是网关的MAC地址,但是IP不是网关IP,则是模拟网关的MAC攻击,接入交换机上应该会有MAC漂移,根据漂移端口排查攻击源。
问题根因
1、终端中毒。
2、攻击者将主机地址设为网关地址。
处理步骤
方法一: 可以在用户允许的情况下,直接在交换机上配置黑名单过滤攻击源的源MAC地址。
[HUAWEI]acl4444 [HUAWEI-acl-L2-4444]rulepermitl2-protocolarpsource-mac1-1-1 [HUAWEI-acl-L2-4444]quit [HUAWEI]cpu-defendpolicypolicy1 [HUAWEI-cpu-defend-policy-policy1]blacklist1acl4444
接下来应用防攻击策略policy1,关于防攻击策略的应用,请参见3.1 应用防攻击策略。
方法二: 更严厉的惩罚措施可以将攻击者的MAC配置成黑洞MAC,彻底不让该攻击者上网。
[HUAWEI]mac-addressblackhole1-1-1vlan3
方法三: 可以在交换机上配置防网关冲突功能(该功能要求交换机必须做网关),ARP网关冲突防攻击功能使能后,系统生成ARP防攻击表项,在后续一段时间内对收到具有相同源MAC地址的报文直接丢弃,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。
[HUAWEI]arpanti-attackgateway-duplicateenabl