13-ARP攻击防御配置
本章节下载: 13-ARP攻击防御配置 (407.01 KB)
目 录
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。
· 攻击者可以仿冒用户、仿冒网关发送伪造的ARP报文,使网关或主机的ARP表项不正确,从而对网络进行攻击。
· 攻击者通过向设备发送大量目标IP地址不能解析的IP报文,使得设备试图反复地对目标IP地址进行解析,导致CPU负荷过重及网络流量过大。
· 攻击者向设备发送大量ARP报文,对设备的CPU形成冲击。
关于ARP攻击报文的特点以及ARP攻击类型的详细介绍,请参见“ARP攻击防范技术白皮书”。
目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决。
下面将详细介绍一下这些技术的原理以及配置。
表1-1 ARP攻击防御配置任务简介
|
配置任务 |
说明 |
详细配置 |
||
|
防止泛洪攻击 |
配置ARP防止IP报文攻击功能 |
配置ARP源抑制功能 |
可选 建议在网关设备上配置本功能 |
|
|
配置ARP报文限速功能 |
可选 建议在接入设备上配置本功能 |
|||
|
配置源MAC地址固定的ARP攻击检测功能 |
可选 建议在网关设备上配置本功能 |
|||
|
防止仿冒用户、仿冒网关攻击 |
配置ARP报文源MAC地址一致性检查功能 |
可选 建议在网关设备上配置本功能 |
||
|
配置ARP主动确认功能 |
可选 建议在网关设备上配置本功能 |
|||
|
配置ARP Detection功能 |
可选 建议在接入设备上配置本功能 |
|||
|
配置ARP网关保护功能 |
可选 建议在接入设备上配置本功能 |
|||
|
配置ARP过滤保护功能 |
可选 建议在接入设备上配置本功能 |
|||
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
· 设备向目的网段发送大量ARP请求报文,加重目的网段的负载。
· 设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。
为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:
· 如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文,当每5秒内由此主机发出IP报文触发的ARP请求报文的流量超过设置的阈值,那么对于由此主机发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理,从而避免了恶意攻击所造成的危害。
· 如果发送攻击报文的源不固定,可以采用ARP黑洞路由功能。开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。
表1-2 配置ARP源抑制功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能ARP源抑制功能 |
arp source-suppression enable |
必选 缺省情况下,关闭ARP源抑制功能 |
|
配置ARP源抑制的阈值 |
arp source-suppression limit limit-value |
可选 缺省情况下,ARP源抑制的阈值为10 |
ARP黑洞路由功能的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。
表1-3 配置ARP黑洞路由功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能ARP黑洞路由功能 |
arp resolving-route enable |
必选 缺省情况下,ARP黑洞路由的保持时间为25秒 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP源抑制的运行情况,通过查看显示信息验证配置的效果。
表1-4 ARP源抑制显示和维护
|
操作 |
命令 |
|
显示ARP源抑制的配置信息 |
display arp source-suppression [ | { begin | exclude | include } regular-expression ] |
某局域网内存在两个区域:研发区和办公区,用户分别属于VLAN 10和VLAN 20,通过接入交换机连接到网关AC,如下图所示。
网络管理员在监控网络时发现办公区存在大量源地址固定的ARP请求报文,通过分析认为存在IP泛洪攻击,为避免这种IP报文攻击所带来的危害,可采用ARP源抑制功能和ARP黑洞路由功能。
图1-1 ARP防止IP报文攻击配置组网图
对攻击报文进行分析,如果发送攻击报文的源地址是固定的,采用ARP源抑制功能。在AC上做如下配置:
· 使能ARP源抑制功能;
· 配置ARP源抑制的阈值为100,即当每5秒内的ARP请求报文的流量超过100后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理。
· 否则采用ARP黑洞路由功能,在AC上配置ARP黑洞路由功能。
(1) 使能ARP源抑制功能,并配置ARP源抑制的阈值为100。
<AC> system-view
[AC] arp source-suppression enable
[AC] arp source-suppression limit 100
(2) 配置ARP黑洞路由功能
# 使能ARP黑洞路由功能。
<AC> system-view
[AC] arp resolving-route enable
支持