南江检察院新大楼网络建设方案(编辑修改稿)

南江检察院新大楼网络建设方案(编辑修改稿)内容摘要：

用软件出现故障等 ；仔细检查你会发现 同一网段的所有上网机器均无法正常连接网络 ， 打开 交换或路由设备 的系统历史记录中看到大量的 MAC 更换信息。 一旦网络出现了上述的症状，你就该第一时间反应过来，你是否正收到来自 ARP 欺骗的威胁。 目前，恶意主机可以在端点毫不知情的情况下窃取两个端点之间的谈话内容。 攻击者不但可以窃取密码和数据，还可以偷听 IP 电话内容 ，给网络用户造成了极大的威胁。 一般，我们认为 ARP 欺骗有两种形式，一是 ARP 欺骗网关，另一是 ARP欺骗主机，下面的内容将向你详细描述。 8/19 ARP 欺骗主机 IP 地址欺骗攻击者可以模仿合 法地址，方法是人工修改某个地址，或者通过程序执行地址欺骗 ，核心就是向网络中发送错误的 IP 和 MAC 对应的 ARP 请求，使得网段内其它主机更新自己的缓存表，把错误信息加入到缓存表中，而使得网段内某些合法主机无法实现正常通信。 举例说明，如下图： 主机 D 维护着一个缓存表，正确的记录着网段内主机的网络地址和物理地址的对应关系，恶意主机 A 发送 ARP 欺骗： 对应 MAC B， 主机 D 对此作出响应，并更改自己的缓存表，如下图： 在主机 A 进行 ARP 欺骗前，主机 B 与主机 D 之间是正常的数据交互关系，而当主机 A 发起攻击后，主机 D 依错误请求修改了自己的缓存表，于是，主机D 就把原本发给主机 B 的数据包全部发给了主机 A。 ARP 欺骗网关 ARP 欺骗网关可能会对整个网段造成更大的危害。 攻击者 通过 发送带假冒源地址的 ARP 包，希望默认网关或其它主机能够承认该地址，并将其保存在 ARP网关 主机 D 主机 C 主机 B 主机 A 向 D 发送 ARP 响应： MAC A …… …… MAC C MAC B MAC A 网关 主机 D 主机 C 主机 B 主机 A 主机 D修改了缓存表，同时把发给 B的数据直接发给了 A …… …… MAC C MAC A MAC A 9/19 表中。 ARP 协议不执行任何验证或过滤就会在目标主机中为这些恶意主机生成记录项， 这是网络隐患的开始。 举例说明，如下图： 网关维护着一个正确的网段内逻辑地址与物理地址的对应表，如上图所示，恶意主机 A 为了攻击网关，在网段内不断的发送 ARP 欺骗： 对应 MAC A， 则主机 A、 C、 D 都相应的更新自己的缓存表。 如上图所示，系统认为主机 A 为网关，于是本该发到主机 E 的数据都发到主机 A 上面，主机 A 成功截获所有流量，给网络造成了极大的安全隐患。 ARP flood 攻击 我们都知道了 Switch 上维护着一个动态的 MAC 缓存 ，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应 MAC 地址表 Port n Mac 记录着每一个端口下面存在那些 MAC 地址，这个表开始是空的，交换机从来往网关 E： 主机 D 主机 C 主机 B 主机 A 在网段内发 ARP 响应： MAC A …… …… MAC B MAC A MAC E 网关 E： 主机 D 主机 C 主机 B 主机 A 网段内其它主机修改自己的缓存表，并认为主机 A就是网关 „„ „„ MAC B MAC A MAC A 10/19 数据帧中学习。 因为 MACPORT 缓存表是动态更新的，那么让整个 Switch 的端口表都改变，对 Switch 进行 MAC 地址欺骗的 Flood，不断发送大量虚假的伪造的 MAC 地址数据包， Switch 就更新 MACPORT 缓存，通过这样的办法，攻击源能把以前正常的 MAC 和 Port 对应的关系给破坏掉。 那么 Switch 就会进行泛洪发送给每一个端口，让 Switch 基本变成一个 HUB，向所有的端口发送数据包。 当攻击源大量的不停的向局域网中发送虚假的 ARP 信息后，就会造成局域网中主机的 ARP 缓存的崩溃。 二、 DCN 解决方案 端口 IPMAC 绑定 网关 E 主机 D 主机 C 主机 B 主机 A 不断向网关 E发送大量虚假 伪造的 MAC地址数据包 11/19 DCN 交换机本身具有完备的安全特性，如上图所示，在交换机端口上进行IP、 MAC 的绑定，这样，交换机将不转发非法用户的数据包，并把它丢弃，让攻击源无可乘之机。 实现方式是全局使能 AM（ Address Manage），在端口上配置 IPpool 或者macippool（用户可根据自己的需求进行选择），当用户有发包请求时，系统根据其源 IP 和 MAC 查找地址池，与地址池内的用户相匹配的主机可以通过交换机转发所有报文，否则丢弃报文。 通过 AM 设置，可有效防止网络上某些危险主机冒充合法主机的 IP，造成网络混乱。 举例：在交换机接口 4 上将源 IP 为 和 源 MAC 是 000110223310 绑定。 Switch(Config)am enable Switch(Config)interface Ether 0/0/4 Switch(ConfigEther0/0/4)macip pool 000110223310 启用交换机 SARP 功能 神州数码网络交换机产品支持 SARP（即安全 ARP）功能，可有效的防止ARP Spoofing 的攻击。 网关 主机 D 主机 C 主。