- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-ARP攻擊防禦命令
本章節下載: 15-ARP攻擊防禦命令 (154.69 KB)
1.1.1 arp source-suppression enable
1.1.2 arp source-suppression limit
1.1.3 display arp source-suppression
1.2.1 arp anti-attack source-mac
1.2.2 arp anti-attack source-mac aging-time
1.2.3 arp anti-attack source-mac exclude-mac
1.2.4 arp anti-attack source-mac threshold
1.2.5 display arp anti-attack source-mac
1.3.1 arp anti-attack valid-check enable
1.4.1 arp anti-attack active-ack enable
【命令】
arp source-suppression enable
undo arp source-suppression enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
arp source-suppression enable命令用來使能ARP源地址抑製功能。undo arp source-suppression enable命令用來恢複缺省情況。
缺省情況下,ARP源地址抑製功能處於關閉狀態。
相關配置可參考命令display arp source-suppression。
【舉例】
# 使能ARP源地址抑製功能。
<Sysname> system-view
[Sysname] arp source-suppression enable
【命令】
arp source-suppression limit limit-value
undo arp source-suppression limit
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
limit-value:ARP源抑製的閾值,取值範圍為2~1024。
【描述】
arp source-suppression limit命令用來配置ARP源抑製的閾值。undo arp source-suppression limit命令用來恢複缺省情況。
缺省情況下,ARP源抑製的閾值為10。
開啟該功能後,當每5秒內由某特定主機發出IP報文觸發的ARP請求報文的流量超過設置的閾值,那麼對這台主機隨後發出的所有IP報文,設備不允許其再觸發ARP請求。直至這5秒結束後,設備允許這台主機重新觸發ARP請求,並重複以上的操作,從而避免了惡意攻擊所造成的危害。
相關配置可參考命令display arp source-suppression。
【舉例】
# 配置ARP源抑製的閾值為100。
<Sysname> system-view
[Sysname] arp source-suppression limit 100
【命令】
display arp source-suppression [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display arp source-suppression命令用來顯示當前ARP源抑製的配置信息。
【舉例】
# 顯示當前ARP源抑製的配置信息。
<Sysname> display arp source-suppression
ARP source suppression is enabled
Current suppression limit: 100
Current cache length: 16
表1-1 display arp source-suppression顯示信息描述表
|
字段 |
描述 |
|
ARP source suppression is enabled |
ARP源地址抑製功能處於使能狀態 |
|
Current suppression limit |
設備在5秒時間間隔內可以接收到的同源IP,且目的IP地址不能解析的IP報文的最大數目 |
|
Current cache length |
目前記錄源抑製信息的緩存的長度 |
【命令】
arp anti-attack source-mac { filter | monitor }
undo arp anti-attack source-mac [ filter | monitor ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
filter:檢測到攻擊後,打印Log信息,同時對該源MAC地址對應的ARP報文進行過濾。
monitor:檢測到攻擊後,
隻打印Log信息,不對該源MAC地址對應的ARP報文進行過濾。
【描述】
arp anti-attack source-mac命令用來使能源MAC地址固定的ARP攻擊檢測功能,並選擇檢查模式。undo arp anti-attack source-mac命令用來恢複缺省情況。
缺省情況下,源MAC地址固定的ARP攻擊檢測功能處於關閉狀態。
使能源MAC地址固定的ARP攻擊檢測之後,該特性會對上送CPU的ARP報文按照源MAC地址和VLAN進行統計。當在一定時間(5秒)內收到某固定源MAC地址的ARP報文超過設定的閾值,不同模式的處理方式存在差異:在filter模式下會打印Log信息並對該源MAC地址對應的ARP報文進行過濾;在monitor模式下隻打印Log信息,不過濾ARP報文。
需要注意的是,如果undo命令中沒有指定檢查模式,則關閉任意檢查模式的源MAC地址固定的ARP攻擊檢測功能。
【舉例】
# 使能源MAC地址固定的ARP攻擊檢測功能,並選擇filter檢查模式。
<Sysname> system-view
[Sysname] arp anti-attack source-mac filter
【命令】
arp anti-attack source-mac aging-time time
undo arp anti-attack source-mac aging-time
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
time:源MAC地址固定的ARP攻擊檢測表項的老化時間,取值範圍為60~6000,單位為秒。
【描述】
arp anti-attack source-mac aging-time命令用來配置源MAC地址固定的ARP攻擊檢測表項的老化時間。undo arp anti-attack source-mac aging-time命令用來恢複缺省情況。
缺省情況下,源MAC地址固定的ARP攻擊檢測表項的老化時間為300秒,即5分鍾。
【舉例】
# 配置源MAC地址固定的ARP攻擊檢測表項的老化時間為60秒。
<Sysname> system-view
[Sysname] arp anti-attack source-mac aging-time 60
【命令】
arp anti-attack source-mac exclude-mac mac-address&<1-n>
undo arp anti-attack source-mac exclude-mac [ mac-address&<1-n> ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
mac-address&<1-n>:MAC地址列表。其中,mac-address表示配置的保護MAC地址,格式為H-H-H。&<1-n>表示每次最多可以配置的保護MAC地址個數。n的取值範圍為1~64。
【描述】
arp anti-attack source-mac exclude-mac命令用來配置保護MAC地址。當配置了保護MAC地址之後,即使該ARP報文中的MAC地址存在攻擊也不會被檢測過濾。undo arp anti-attack source-mac exclude-mac命令用來取消配置的保護MAC地址。
缺省情況下,沒有配置任何保護MAC地址。
需要注意的是,如果undo命令中沒有指定MAC地址,則取消所有配置的保護MAC地址。
【舉例】
# 配置源MAC地址固定的ARP攻擊檢查的保護MAC地址為2-2-2。
<Sysname> system-view
[Sysname] arp anti-attack source-mac exclude-mac 2-2-2
【命令】
arp anti-attack source-mac threshold threshold-value
undo arp anti-attack source-mac threshold
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
threshold-value:固定時間內源MAC地址固定的ARP報文攻擊檢測的閾值,單位為報文個數。取值範圍為10~100。
【描述】
arp anti-attack source-mac threshold命令用來配置源MAC地址固定的ARP報文攻擊檢測閾值,當在固定的時間(5秒)內收到源MAC地址固定的ARP報文超過該閾值則認為存在攻擊。undo arp anti-attack source-mac threshold命令用來恢複缺省情況。
缺省情況下,固定時間內源MAC地址固定的ARP報文攻擊檢測閾值為50。
【舉例】
# 配置源MAC地址固定的ARP報文攻擊檢測閾值為30個。
<Sysname> system-view
[Sysname] arp anti-attack source-mac threshold 30
【命令】
display arp anti-attack source-mac [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
interface interface-type interface-number:顯示指定接口檢測到的源MAC地址固定的ARP攻擊檢測表項。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display arp anti-attack source-mac命令用來顯示檢測到的源MAC地址固定的ARP攻擊檢測表項。
如果不指定接口,則顯示所有接口檢測到的源MAC地址固定的ARP攻擊檢測表項。
【舉例】
# 顯示檢測到的源MAC地址固定的ARP攻擊檢測表項。
<Sysname> display arp anti-attack source-mac
Source-MAC VLAN ID Interface Aging-time
23f3-1122-3344 4094 GE1/1 10
23f3-1122-3355 4094 GE1/2 30
23f3-1122-33ff 4094 GE1/3 25
23f3-1122-33ad 4094 GE1/4 30
23f3-1122-33ce 4094 GE1/5 2
表1-2 display arp anti-attack source-mac命令顯示信息描述表
|
字段 |
描述 |
|
Source-MAC |
檢測到攻擊的源MAC地址 |
|
VLAN ID |
檢測到攻擊的VLAN ID |
|
Interface |
攻擊來源的接口索引 |
|
Aging-time |
ARP防攻擊策略表項老化剩餘時間 |
【命令】
arp anti-attack valid-check enable
undo arp anti-attack valid-check enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
arp anti-attack valid-check enable命令用來在網關設備上使能ARP報文源MAC地址一致性檢查功能。網關使能此功能時,會對接收的ARP報文進行檢查,如果以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同,則丟棄該報文。undo arp anti-attack valid-check enable命令用來恢複缺省情況。
缺省情況下,ARP報文源MAC地址一致性檢查功能處於關閉狀態。
【舉例】
# 使能ARP報文源MAC地址一致性檢查功能。
<Sysname> system-view
[Sysname] arp anti-attack valid-check enable
【命令】
arp anti-attack active-ack enable
undo arp anti-attack active-ack enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
arp anti-attack active-ack enable命令用來使能ARP主動確認功能。undo arp anti-attack active-ack enable命令用來恢複缺省情況。
缺省情況下,ARP主動確認功能處於關閉狀態。
ARP的主動確認功能主要應用於網關設備上,防止攻擊者仿冒用戶欺騙網關設備。
【舉例】
# 使能ARP主動確認功能。
<Sysname> system-view
[Sysname] arp anti-attack active-ack enable
【命令】
arp fixup
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
arp fixup命令用來配置ARP固化功能,將當前的動態ARP表項轉換為靜態ARP表項。後續學習到的動態ARP表項可以通過再次執行arp fixup命令進行固化。
需要注意的是:
· 固化後的靜態ARP表項與配置產生的靜態ARP表項相同。
· 固化生成的靜態ARP表項數量同樣受到設備可以支持的靜態ARP表項數目的限製,由於靜態ARP表項數量的限製可能導致隻有部分動態ARP表項被固化。
· 如果用戶執行固化前有D個動態ARP表項,S個靜態ARP表項,由於固化過程中存在動態ARP表項的老化或者新建動態ARP表項的情況,所以固化後的靜態ARP表項可能為(D+S+M-N)個。其中,M為固化過程中新建的動態ARP表項個數,N為固化過程中老化的動態ARP表項個數。
· 通過固化生成的靜態ARP表項,可以通過命令行undo arp ip-address [ vpn-instance-name ]逐條刪除,也可以通過命令行reset arp all或reset arp static全部刪除。
【舉例】
# 配置ARP固化功能。
<Sysname> system-view
[Sysname] arp fixup
【命令】
arp scan [ start-ip-address to end-ip-address ]
【視圖】
三層以太網接口視圖/三層以太網子接口視圖/VLAN接口視圖
【缺省級別】
2:係統級
【參數】
start-ip-address:ARP掃描區間的起始IP地址。起始IP地址必須小於等於終止IP地址。
end-ip-address:ARP掃描區間的終止IP地址。終止IP地址必須大於等於起始IP地址。
【描述】
arp scan命令用來啟動ARP自動掃描功能,該功能可以對接口下指定地址範圍內的鄰居進行掃描。
需要注意的是:
· 如果用戶知道局域網內鄰居分配的IP地址範圍,指定了ARP掃描區間,則對該範圍內的鄰居進行掃描,減少掃描等待的時間。如果指定的掃描區間同時在接口下多個IP地址的網段內,則發送的ARP請求報文的源IP地址選擇網段範圍較小的接口IP地址。
· 如果用戶不指定ARP掃描區間的起始IP地址和終止IP地址,則僅對接口下的主IP地址網段內的鄰居進行掃描。其中,發送的ARP請求報文的源IP地址就是接口的主IP地址。
· ARP掃描區間的起始IP地址和終止IP地址必須與接口的IP地址(主IP地址或手工配置的從IP地址)在同一網段。
· 對於已存在ARP表項的IP地址不進行掃描。
· 掃描操作可能比較耗時,用戶可以通過<Ctrl_C>來終止掃描(在終止掃描時,對於已經收到的鄰居應答,會建立該鄰居的動態ARP表項)。
【舉例】
# 對接口Ethernet1/1下的主IP地址網段內的鄰居進行掃描。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] arp scan
# 對接口Ethernet1/1下指定地址範圍內的鄰居進行掃描。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] arp scan 1.1.1.1 to 1.1.1.20
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
