- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
25-H3C VSR1000虛擬路由器ARP防攻擊特性典型配置舉例
本章節下載: 25-H3C VSR1000虛擬路由器ARP防攻擊特性典型配置舉例 (206.49 KB)
H3C VSR1000虛擬路由器ARP防攻擊特性典型配置舉例
|
Copyright © 2014 杭州華三通信技術有限公司 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部, 並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。 |
|
目 錄
本文檔介紹VSR1000虛擬路由器ARP防攻擊特性典型配置舉例。
本文檔不嚴格與具體軟件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解ARP攻擊防禦特性。
如圖1所示,局域網內的主機Host A通過網關Router連接到外網。現要求:
· Router通過ARP自動掃描功能建立局域網內主機Host A的動態ARP表項,然後通過ARP固化功能將動態ARP表項轉換為靜態ARP表項。
· 固化完成後,禁止網關學習動態ARP表項,新增主機Host B無法訪問網關。
圖1 ARP自動掃描和固化功能配置舉例組網圖
本舉例是在E0301版本上進行配置和驗證的。
# 配置接口的IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] ip address 10.1.1.1 24
# 接口上啟用ARP自動掃描功能(該命令隻做執行,不生成配置文件)。
[Router-GigabitEthernet1/0] arp scan
This operation may take a long time to collect these ARP entries, and you can press CTRL_C to break. Please specify a right range. Continue? [Y/N]: y
Scanning ARP. Please wait...
Scanning is complete.
[Router-GigabitEthernet1/0]quit
# 當組網中僅有主機Host A時,啟動掃描功能後,通過命令display arp查看網關路由器Router進行ARP掃描後學習到的ARP表項。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.2 0015-e943-7e6a N/A GE1/0 20 D
# 使用ARP固化將動態ARP轉換為靜態ARP(該命令隻做執行,不生成配置文件)。
[Router] arp fixup
Fixup ARP. Please wait...
Fixup is complete.
# 啟動固化功能後,通過命令display arp查看網關路由器Router進行ARP固化後ARP表項。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.2 0015-e943-7e6a N/A GE1/0 N/A S
# 配置禁止接口GigabitEthernet1/0學習動態ARP。
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] arp max-learning-num 0
[Router-GigabitEthernet1/0] quit
# 局域網中新增加主機Host B,查看ARP表項,沒有Host B的ARP表項。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Typ
10.1.1.2 0015-e943-7e6a N/A GE1/0 N/A S
# 在Host B上ping不通網關。
C:\> ping 10.1.1.1
Pinging 10.1.1.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.1.1.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
arp max-learning-num 0
#
如圖2所示,局域網中的主機Host A通過Router作為網關連接到外網。現要求:網關上啟用ARP主動確認功能,防止攻擊者使用仿冒ARP報文欺騙網關設備。
圖2 ARP主動確認功能配置舉例組網圖
本舉例是在E0301版本上進行配置和驗證的。
# 配置接口的IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] ip address 10.1.1.1 24
[Router-GigabitEthernet1/0] quit
# 配置ARP主動確認功能。
[Router] arp active-ack enable
# 查看網關的ARP表項顯示有Host A對應的ARP表項。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.2 000f-e123-4568 N/A GE1/0 20 D
# 打開ARP的報文調試信息開關。
<Router> terminal debugging
The current terminal is enabled to display debugging logs.
<Router> debugging arp packet
# 新增一台主機Host B仿冒Host A向網關發送偽造的ARP請求報文,其中ARP報文中的源MAC修改為0086-0005-0004。網關Router A收到該ARP報文後,發現該報文對應的ARP表項的刷新時間超過一分鍾,啟用ARP表項正確性檢查,網關會發送一個單播ARP請求報文(報文的目的IP地址、目的MAC地址采用ARP表項中的的源IP地址、源MAC地址),如果在隨後的5s內收到ARP應答報文,將對前期收到的ARP報文與此次收到的ARP應答報文進行比較(比較內容包括:源IP地址、源MAC地址)。在一定時間內收到的ARP應答報文:
*Jul 3 18:07:38:660 2014 Router ARP/7/ARP_RCV: Received an ARP message, operation: 1, sender MAC: 0086-0005-0004, sender IP: 10.1.1.2, target MAC: 0cda-41c7-057f, target IP: 10.1.1.1
*Jul 3 18:07:38:660 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1, sender
MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 000f-e123-4568, target IP: 10.1.1.2
*Jul 3 18:07:38:660 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 2, sender
MAC:0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0086-0005-0004, target IP: 10.1.1.2
*Jul 3 18:07:38:660 2014 Router ARP/7/ARP_RCV: Received an ARP message, operation: 2, sender MAC: 000f-e123-4568, sender IP: 10.1.1.2, target MAC: 0cda-41c7-057f, target IP: 10.1.1.1
# 後收到的ARP報文是Host A發送的,該報文與ARP表項中的IP地址、MAC地址一致,網關認為前期收到的ARP報文為攻擊報文,通過命令display arp查看網關路由器的ARP表項不更新。
<Router> display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.2 000f-e123-4568 N/A GE1/0 20 D
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
arp active-ack enable
#
如圖3所示,局域網內服務器和主機通過網關Router與外部網絡通信。在網關上使能源MAC固定的ARP攻擊檢測功能,具體需求如下:
· 對普通PC,固定的時間(5秒)內收到源MAC地址固定的ARP報文超過30時,會打印Log信息並對來自PC的ARP報文進行過濾。
· 配置服務器Server的MAC為保護MAC,使服務器可以對網關發送大量ARP報文。
圖3 源MAC固定的ARP攻擊檢測功能配置舉例組網圖
為了使路由器在檢測到ARP攻擊時能夠打印告警信息,並將由攻擊源發送的ARP報文過濾掉,需要在開啟源MAC固定ARP攻擊檢測功能時同時選擇過濾模式。
本舉例是在E0301版本上進行配置和驗證的。
# 使能源MAC固定ARP攻擊檢測功能,並選擇過濾模式。
<Router> system-view
[Router] arp source-mac filter
# 配置源MAC固定ARP報文攻擊檢測閾值為30個。
[Router] arp source-mac threshold 30
# 配置源MAC地址固定的ARP攻擊檢測表項的老化時間為60秒。
[Router] arp source-mac aging-time 60
# 將0086-0005-0004配置為保護MAC。
[Router] arp source-mac exclude-mac 0086-0005-0004
# 配置接口IP地址。
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] ip address 10.1.1.1 24
[Router-GigabitEthernet1/0] quit
# 打開ARP的報文調試信息開關。
<Router> terminal debugging
The current terminal is enabled to display debugging logs.
<Router> debugging arp packet
# PC向網關設備Router發送ARP報文,發送頻率為6個/秒,相當於5秒30個,設備上不打印log信息,未生成ARP防攻擊檢測表項。
<Router> display arp source-mac
Source-MAC VLAN ID Interface Aging-time
# PC向網關設備Router發送ARP報文,發送頻率為10個/秒,相當於5秒50個同時生成ARP防攻擊檢測表項。
<Router> display arp source-mac
Source-MAC VLAN ID Interface Aging-time
0088-0008-0009 N/A GE1/0 48
# 此時設備上打印log信息如下。
*Jun 20 13:54:42:482 2014 Router ARP/7/ARP_RCV: Received an ARP message, opera
tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cda-41c7
-057f, target IP: 10.1.1.1
*Jun 20 13:54:42:482 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operatio
n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000
9, target IP: 10.1.1.20
*Jun 20 13:54:42:582 2014 Router ARP/7/ARP_RCV: Received an ARP message, opera
tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cd
a-41c7-057f, target IP: 10.1.1.1
*Jun 20 13:54:42:582 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operatio
n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000
9, target IP: 10.1.1.20
*Jun 20 13:54:42:682 2014 Router ARP/7/ARP_RCV: Received an ARP message, opera
tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cda-41c7
-057f, target IP: 10.1.1.1
*Jun 20 13:54:42:682 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operatio
n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000
9, target IP: 10.1.1.20
# Server向網關設備Router發送ARP報文,發送頻率為10個/秒,相當於5秒50個,設備上不打印log信息,未生成ARP防攻擊檢測表項。
<Router> display arp source-mac
Source-MAC VLAN ID Interface Aging-time
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
arp source-mac filter
arp source-mac aging-time 60
arp source-mac exclude-mac 0086-0005-0004
#
如圖4所示,某局域網內屬於VLAN 10和VLAN 20的主機通過接入交換機連接到網關Router與外部網絡通信。現要求:開啟ARP源抑製功能,防止惡意用戶使用同一源IP地址發送大量目標IP地址不能解析的IP報文來攻擊設備。
圖4 ARP源抑製功能配置舉例組網圖
本舉例是在E0301版本上進行配置和驗證的。
# 配置接口IP地址
<Router> system-view
[Router] interface gigabitethernet 2/0
[Router-GigabitEthernet2/0] ip address 20.1.1.1 24
[Router-GigabitEthernet2/0] quit
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] ip address 10.1.1.1 24
[Router-GigabitEthernet1/0] quit
# 使能ARP源抑製功能。
[Router] arp source-suppression enable
# 配置ARP源抑製的閾值為2。
[Router] arp source-suppression limit 2
# Host D向網關設備Router發送目的IP為20.1.1.2的IP報文,20.1.1.2這個地址在該局域網中不存在,驗證網關設備在使能ARP源抑製情況下對ARP報文的處理情況。
# 打開ARP的報文調試信息開關。
<Router> terminal debugging
The current terminal is enabled to display debugging logs.
<Router> debugging arp packet
*Jul 23 17:29:03:061 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:05:262 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:07:462 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:09:662 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:11:862 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:14:062 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
通過調試信息發現,網絡中每5秒內從某IP地址向設備發送目的IP地址不能解析的IP報文超過了設置的閾值2時,則設備將不再處理由此IP地址發出的IP報文直至該5秒結束,從而避免了惡意攻擊所造成的危害。
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet2/0
port link-mode route
ip address 20.1.1.1 255.255.255.0
#
arp source-suppression enable
arp source-suppression limit 2
#
· 《H3C VSR1000虛擬路由器配置指導》中的“安全配置指導”
· 《H3C VSR1000虛擬路由器命令參考》中的“安全命令參考”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
