华为交换机防ARP攻击配置手册
  ARP防攻击配置
下表列出了本章所包含的内容。
如果您需要……
请阅读……
了解ARP地址欺骗防攻击的原理和配置
ARP地址欺骗防攻击
了解ARP网关冲突防攻击的原理和配置
ARP网关冲突防攻击配置
了解ARP报文防攻击的原理和配置
ARP报文防攻击配置
了解ARP协议防攻击综合配置举例
ARP防攻击配置举例
 
3.1  ARP地址欺骗防攻击
3.1.1  ARP地址欺骗防攻击简介
ARP协议缺少安全保障机制,维护起来耗费人力,且极易受到攻击。
              对于静态配置IP地址的网络,目前只能通过配置静态ARP方式防止ARP表项被非法修改,但是配置繁琐,需要花费大量人力去维护,极不方便;
              对于动态配置IP地址的网络,攻击者通过伪造其他用户发出的ARP报文,篡改网关设备上的用户ARP表项,可以造成其他合法用户的网络中断。
3-1 ARP地址欺骗攻击示意图
图3-1所示,A为合法用户,通过交换机G与外界通讯:攻击者B通过伪造AARP报文,使得G设备上AARP表项中的相应信息被修改,导致AG的通讯失败。
对于动态ARP地址欺骗攻击方式,S9500系列交换机可通过以下方法进行防御。
1. 固定MAC地址
对于动态ARP的配置方式,交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改,直到此ARP表项老化之后才允许此ARP表项更新MAC地址,以此来确保合法用户的ARP表项不被修改。
固定MAC有两种方式:Fixed-macFixed-all
              Fixed-mac方式;不允许通过ARP学习对MAC地址进行修改,但允许对VLAN和端口信息进行修改。这种方式适用于静态配置IP地址,但网络存在冗余链路的情况。当链路切换时,ARP表项中的端口信息可以快速改变。
              Fixed-all方式;对动态ARP和已解析的短静态ARPMACVLAN和端口信息均不允许修改。 这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。
2. 主动确认(Send-ack
交换机收到一个涉及MAC地址修改的ARP报文时,不会立即修改原ARP表项,而是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认:
              如果在一定时间内收到原用户的应答报文,说明原用户仍存在,则在后续一分钟时间内不允许对此ARP表项进行MAC地址修改;同样,ARP表项在新生成一分钟时间内,也不允许修改此ARP表项中的MAC地址;
              如果一定时间内没有收到原用户的应答报文,则对新用户发起一个单播请求报文,收到新用户的应答报文之后才修改ARP表项,使新用户成为合法用户。
主动确认方式可以适应动态分配IP地址、有冗余链路的网络。
3.1.2  ARP地址欺骗防攻击配置
3-1 ARP地址欺骗防攻击配置
操作
命令
说明
进入系统视图
system-view
受到arp攻击-
配置ARP地址欺骗防攻击
arp entry-check { fixed-mac | fixed-all | send-ack }
必选
缺省情况下,ARP地址欺骗防攻击功能关闭
显示ARP地址欺骗防攻击配置信息
display arp entry-check
display命令可以在任意视图下执行
 
3.2  ARP网关冲突防攻击配置
3.2.1  ARP网关冲突防攻击简介
3-2 ARP网关冲突攻击示意图
ARP网关冲突攻击,指攻击者仿冒网关地址,在局域网内部发送源IP地址是网关地址的免费ARP报文。局域网内部的主机接收到该报文后,会修改自己原来的网关地址为攻击者的地址,最终导致局域网内部所有主机无法访问网络。
为解决此问题,S9500交换机引入了ARP网关冲突防攻击的功能。S9500交换机收到到与网关地址冲突的ARP报文时,如果存在下列情况之一:
              ARP报文的源IP与报文入接口的IP地址相同;
              ARP报文的源IPNAT地址池的地址或内部服务器的地址;
              VRRPMAC方式时,ARP报文的源IP是入接口的虚拟IP地址,但ARP报文源MAC不是VRRPMAC
则系统生成ARP防攻击表项,在后续一段时间内对收到具有相同以太网头部源MAC地址的报文直接丢弃,这样可以防止与网关地址冲突的ARP报文在VLAN内的广播转发。
3.2.2  ARP网关冲突防攻击配置
  注意:
      ARP网关冲突防攻击能够检测并防止与VLAN接口地址、VRRP虚地址和NAT地址池的冲突;
      交换机检测到网管口上存在地址冲突时,只记录日志信息,不能阻止攻击发生;
      交换机工作在VRRPMAC地址的情况下,检测到冲突后记录日志信息,不能阻止攻击发生。
 
3-2 ARP网关冲突防攻击配置
操作
命令
说明
进入系统视图
system-view
-
配置ARP网关冲突防攻击
anti-attack gateway-duplicate{ enable | disable }
必选
缺省情况下,ARP网关冲突防攻击功能处于关闭状态
显示网关地址冲突防攻击表项信息
display anti-attack gateway-duplicate slot slotid
display命令可以在任意视图下执行
 
3.3  ARP报文防攻击配置
3.3.1  ARP报文防攻击简介
ARP协议没有任何认证机制,极易遭受到各种方式的攻击。ARP报文攻击就是其中常见的一种,通过采用固定源MAC地址发送大量ARP报文,影响交换机对正常ARP报文的学习。
S9500交换机具有防源MAC地址的ARP报文攻击的功能。在一段时间内,如果交换机收到固定源MAC地址的ARP报文数目达到设定阈值,则认为使用该MAC地址的用户在进行ARP攻击,系统会下发防攻击表项对该MAC地址进行过滤。系统下发防攻击表项后,该用户将无法正常访问网络。
3.3.2  ARP报文防攻击配置
3-3 ARP报文防攻击配置
操作
命令
说明
进入系统视图
system-view
-
配置ARP报文防攻击
anti-attack arp { enable | monitor | disable }
必选
缺省情况下,ARP报文防攻击功能处于监控状态
配置ARP报文防攻击报文检测阈值
anti-attack arp threshold threshold-value
可选
threshold-value取值范围5pps300pps,缺省值为30pps
配置ARP报文防攻击表项的老化时间
anti-attack arp aging-time time
可选
time缺省值为600
ARP报文防攻击表项的老化时间和网关地址冲突防攻击表项的老化时间相同
配置ARP报文防攻击保护MAC地址
anti-attack arp exclude-mac mac-address
可选
配置的保护MAC不会被防攻击功能过滤掉,系统最多支持16个保护MAC地址
显示ARP报文防攻击表项信息
display anti-attack arp slot slotid
display命令可以在任意视图下执行
 
  说明:
      如果接口板的CPU没有收到任何报文,则接口板的ARP防攻击表项不会老化;
      ARP防攻击表项没有老化时,与ARP防攻击表项中具有相同MAC地址的动态MAC地址表项也不能老化;
      网管口不支持ARP报文防攻击功能。
 
3.4  ARP防攻击配置举例
1. 组网需求
              Switch1S9500系列交换机,通过端口Ethernet 1/1/1和端口Ethernet 1/1/2连接低端交换机Switch2Switch3
              Switch1下挂PC1Switch2下挂PC2PC3,且PC2PC3属于同一个网段;Switch3下挂PC4PC5,且PC4PC5同属于另外一个网段。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。