巧用CISCO中的DAI功能预防APR攻击

作者:课课家更新于： 2016-12-27 17:06:20

　　所谓APR攻击就是通过伪造IP地址和MAC地址来实现ARP欺骗从而造成网络中断阻塞或中间人攻击，虽然说ARP攻击仅能在以太网内进行攻击，但其危害并不比其他木马、病毒攻击要小。那么我们有没有什么办法来阻止这种攻击呢？事实上我们可以通过CISCO中的DAI功能来预防APR攻击。在本文中课课家笔者以CISCO 4506为大家介绍具体的执行方法供大家参考参考。

　　①启用DHCP SNOOPING

　　第一步我们启用DHCP SNOOPING，通常我们要分别在全局命令和接口命令两个命令来一起设置启用。

　　● 全局命令

　　ip dhcp snooping vlan 10,20,30
　　no ip dhcp snooping information option
　　ip dhcp snooping database flash:dhcpsnooping.text //将snooping表保存到单独文档中，防止掉电后消失。
　　ip dhcp snooping

　　● 接口命令

　　ip dhcp snooping trust //将连接DHCP服务器的端口设置为Trust，其余unTrust（默认）

　　②启用DAI

　　第二步我们启用DAI。我们主要通过手工配置或者DHCP监听snooping交换机将能够确定正确的端口。具体原理为如果ARP应答和snooping不匹配，那么它将被丢弃并且记录违规行为，而违规端口将会进入err-disabled状态，如此一来攻击者就不能继续对网络进行进一步的破坏了。同样这一步我们也需要在全局和接口命令下一起进行配置。

　　● 全局命令

　　ip arp inspection vlan 30

　　● 接口命令（注意交换机之间链路配置DAI信任端口，用户端口则在默认的非信任端口）

　　ip arp inspection trust
　　ip arp inspection limit rate 100

　　③启用IPSG

　　前提是启用IP DHCP SNOOPING，能够获得有效的源端口信息。IPSG是一种类似于uRPF（单播反向路径检测）的二层接口特性，通常uRPF可以检测第三层或路由接口。

　　●接口命令：

　　switchport mode acc
　　switchport port-security
　　ip verify source vlan dhcp-snooping port-security

　　④静态IP的解决

　　关于静态IP的解决我们可以通过ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi0/8来解决。

　　● 通过arp Access-list添加静态主机:

　　arp access-list static-arp
　　permit ip host 192.168.1.1 mac host 0000.0000.0003
　　ip arp inspection filter static-arp vlan 30

　　● DHCP 中绑定固定IP：

　　ip dhcp pool test
　　host 192.168.1.18 255.255.255.0 （分给用户的IP）
　　client-identifier 0101.0bf5.395e.55（用户端mac）
　　client-name test

　　PS：思科交换机在全局配置模式下开启IP DHCP SNOOPING后，所有端口默认处于DHCP SNOOPING UNTRUSTED模式下，但DHCP SNOOPING INFORMATION OPTION功能默认是开启的，此时DHCP报文在到达一个SNOOPING UNTRUSTED端口时将被丢弃。因此必须在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令（默认情况下关闭）以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文。笔者建议在交换机上关闭DHCP INFORMATION OPTION也就是全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。下面是三点额外的补充：

　　● 对于可以手工配置IP地址等参数的客户端，我们通过手工添加绑定条目到DHCP SNOOPING BINDING数据库中，具体配置命令如下：

　　ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一条MAC地址为00d0.2bd0.d80a，其具体意思为IP地址为222.25.77.100，接入端口为GIG1/1，租期时间为600秒的绑定条目。

　　● IPSG是在DHCP SNOOPING功能的基础上形成IP SOURCE BINDING表的，它只作用在二层端口上。启用IPSG的端口会检查接收到所有IP包，通常它只转发与此绑定表的条目相符合的IP包。默认IPSG只以源IP地址为条件过滤IP包，如果加上以源MAC地址为条件过滤的话，我们就必须开启DHCP SNOOPING INFORMAITON OPTION 82功能。

　　● DAI也是以DHCP SNOOPING BINDING DATABASE为基础的，它也区分为信任和非信任端口。DAI只检测非信任端口的ARP包，可以截取、记录和丢弃与SNOOPING BINDING中IP地址到MAC地址映射关系条目不符的ARP包。如果不使用DHCP SNOOPING，我们则需要手工配置ARP ACL。

　　以上就是巧用CISCO中的DAI功能预防APR攻击的几个步骤和命令。

　　本次的巧用CISCO中的DAI功能预防APR攻击的讲解到此就暂告一段落，如果以后有什么相关的内容继续进行补充或者修改的话，笔者会在此继续进行相关的内容的补充或者修改的工作，同时也欢迎大家对本次的讲解提出自己的建议和补充。最后笔者希望本次的讲解对大家学习思科认证能够起到一定的帮助作用！