- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
21-ARP攻擊防禦配置
本章節下載: 21-ARP攻擊防禦配置 (306.47 KB)
目 錄
設備提供了多種ARP攻擊防禦技術對局域網中的ARP攻擊和ARP病毒進行防範、檢測和解決。常見的ARP攻擊方式包括:
· 攻擊者通過向設備發送大量目標IP地址不能解析的IP報文,使得設備試圖反複地對目標IP地址進行解析,導致CPU負荷過重及網絡流量過大。
· 攻擊者向設備發送大量ARP報文,對設備的CPU形成衝擊。
· 攻擊者可以仿冒用戶、仿冒網關發送偽造的ARP報文,使網關或主機的ARP表項不正確,從而對網絡進行攻擊。
如下所有配置均為可選,請根據實際情況選擇配置。
· 防止泛洪攻擊
· 防止仿冒用戶、仿冒網關攻擊
如果網絡中有主機通過向設備發送大量目標IP地址不能解析的IP報文來攻擊設備,則會造成下麵的危害:
· 設備向目的網段發送大量ARP請求報文,加重目的網段的負載。
· 設備會試圖反複地對目標IP地址進行解析,增加了CPU的負擔。
為避免這種IP報文攻擊所帶來的危害,設備提供了ARP源抑製功能:如果發送攻擊報文的源是固定的,可以采用ARP源抑製功能。開啟該功能後,如果網絡中每5秒內從某IP地址向設備某接口發送目的IP地址不能解析的IP報文超過了設置的閾值,則設備將不再處理由此IP地址發出的IP報文直至該5秒結束,從而避免了惡意攻擊所造成的危害。
(1) 進入係統視圖。
system-view
(2) 開啟ARP源抑製功能。
arp source-suppression enable
缺省情況下,ARP源抑製功能處於關閉狀態。
(3) 配置ARP源抑製的閾值。
arp source-suppression limit limit-value
缺省情況下,ARP源抑製的閾值為10。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後ARP源抑製的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 ARP防止IP報文攻擊顯示和維護
|
操作 |
命令 |
|
顯示ARP源抑製的配置信息 |
display arp source-suppression |
本特性根據ARP報文的源MAC地址對上送CPU的ARP報文進行統計,在5秒內,如果收到同一源MAC地址(源MAC地址固定)的ARP報文超過一定的閾值,則認為存在攻擊,係統會將此MAC地址添加到攻擊檢測表項中。當開啟了ARP日誌信息功能(配置arp check log enable命令),且在該攻擊檢測表項老化之前,如果設置的檢查模式為過濾模式,則會打印日誌信息並且將該源MAC地址發送的ARP報文過濾掉;如果設置的檢查模式為監控模式,則隻打印日誌信息,不會將該源MAC地址發送的ARP報文過濾掉。
對於已添加到源MAC地址固定的ARP攻擊檢測表項中的MAC地址,在等待設置的老化時間後,會重新恢複成普通MAC地址。
關於ARP日誌信息功能的詳細描述,請參見“三層技術-IP業務配置指導”中的“ARP”。
切換源MAC地址固定的ARP攻擊檢查模式時,如果從監控模式切換到過濾模式,過濾模式馬上生效;如果從過濾模式切換到監控模式,已生成的攻擊檢測表項,到表項老化前還會繼續按照過濾模式處理。
對於網關或一些重要的服務器,可能會發送大量ARP報文,為了使這些ARP報文不被過濾掉,可以將這類設備的MAC地址配置成保護MAC地址,這樣,即使該設備存在攻擊也不會被檢測或過濾。
(1) 進入係統視圖。
system-view
(2) 開啟源MAC地址固定的ARP攻擊檢測功能,並選擇檢查模式。
arp source-mac { filter | monitor }
缺省情況下,源MAC地址固定的ARP攻擊檢測功能處於關閉狀態。
(3) 配置源MAC地址固定的ARP報文攻擊檢測的閾值。
arp source-mac threshold threshold-value
缺省情況下,源MAC地址固定的ARP報文攻擊檢測閾值為30。
(4) 配置源MAC地址固定的ARP攻擊檢測表項的老化時間。
arp source-mac aging-time time
缺省情況下,源MAC地址固定的ARP攻擊檢測表項的老化時間為300秒,即5分鍾。
(5) (可選)配置保護MAC地址。
arp source-mac exclude-mac mac-address&<1-n>
缺省情況下,未配置任何保護MAC地址。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後源MAC地址固定的ARP攻擊檢測的運行情況,通過查看顯示信息驗證配置的效果。
表1-2 源MAC地址固定的ARP攻擊檢測顯示和維護
|
操作 |
命令 |
|
顯示檢測到的源MAC地址固定的ARP攻擊檢測表項 |
display arp source-mac { interface interface-type interface-number | slot slot-number } |
ARP報文源MAC地址一致性檢查功能主要應用於網關設備上,防禦以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同的ARP攻擊。
配置本特性後,網關設備在進行ARP學習前將對ARP報文進行檢查。如果以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同,則認為是攻擊報文,將其丟棄;否則,繼續進行ARP學習。
(1) 進入係統視圖。
system-view
(2) 開啟ARP報文源MAC地址一致性檢查功能。
arp valid-check enable
缺省情況下,ARP報文源MAC地址一致性檢查功能處於關閉狀態。
ARP的主動確認功能主要應用於網關設備上,防止攻擊者仿冒用戶欺騙網關設備。ARP主動確認功能分為非嚴格模式和嚴格模式,這兩種模式的實現如下:
· 配置非嚴格模式的ARP主動確認功能時,處理方式如下:
¡ 收到目標IP地址為自己的ARP請求報文時,設備會發送ARP應答報文,但先不建立對應的表項。同時,設備立即向ARP請求報文的發送端IP地址發送ARP請求,在一個探測周期內如果收到發送端IP地址對應的設備回複的ARP應答報文,則建立ARP表項。
¡ 收到ARP應答報文時,需要確認本設備是否在當前探測時間周期內對該報文中的源IP地址發起過ARP請求:
- 若發起過請求,則設備建立該ARP表項;
- 若未發起過請求,則不建立ARP表項。同時,設備立即向ARP應答報文的發送端IP地址發送ARP請求,在一個探測周期內如果收到發送端IP地址對應的設備回複的ARP應答報文,則建立ARP表項。
· 配置嚴格模式的ARP主動確認功能時,處理方式如下:
¡ 收到目標IP地址為自己的ARP請求報文時,設備會發送ARP應答報文,但不建立ARP表項;
¡ 收到ARP應答報文時,需要確認本設備是否在當前探測時間周期內對該報文中的源IP地址發起過ARP請求:若發起過請求,則設備建立該ARP表項;若未發起過請求,則設備丟棄該報文,不建立表項。
(1) 進入係統視圖。
system-view
(2) 開啟ARP主動確認功能。
arp active-ack enable
缺省情況下,ARP主動確認功能處於關閉狀態。
所謂授權ARP(Authorized ARP),就是動態學習ARP的過程中,隻有和DHCP服務器生成的租約或DHCP中繼生成的安全表項一致的ARP報文才能夠被學習。關於DHCP服務器和DHCP中繼的介紹,請參見“三層技術-IP業務配置指導”中的“DHCP服務器”和“DHCP中繼”。
配置接口的授權ARP功能後,可以防止用戶仿冒其他用戶的IP地址或MAC地址對網絡進行攻擊,保證隻有合法的用戶才能使用網絡資源,增加了網絡的安全性。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
支持的接口類型包括三層以太網接口、三層以太網子接口、三層聚合接口、三層聚合子接口和VLAN接口視圖。
(3) 開啟授權ARP功能。
arp authorized enable
缺省情況下,接口下的授權ARP功能處於關閉狀態。
ARP Detection功能主要應用於接入設備上,通過檢測並丟棄非法用戶的ARP報文來防止仿冒用戶、仿冒網關的攻擊,具體包括以下幾個功能:
· 用戶合法性檢查;
· ARP報文有效性檢查;
· ARP報文強製轉發;
· ARP Detection日誌功能。
如果既配置了報文有效性檢查功能,又配置了用戶合法性檢查功能,那麼先進行報文有效性檢查,然後進行用戶合法性檢查。
ARP Detection功能與ARP Snooping功能不能同時配置,否則會導致ARP Snooping表項無法生成。
對於ARP信任接口,不進行用戶合法性檢查;對於ARP非信任接口,需要進行用戶合法性檢查,以防止仿冒用戶的攻擊。
用戶合法性檢查是根據ARP報文中源IP地址和源MAC地址檢查用戶是否是所屬VLAN所在接口上的合法用戶,包括基於用戶合法性規則檢查和IP Source Guard靜態綁定表項的檢查。
設備收到ARP報文後,首先進行基於用戶合法性規則檢查,如果找到與報文匹配的規則,則按照該規則對報文進行處理;如果未找到與報文匹配的規則,則繼續進行基於802.1X安全表項的檢查:
· 隻要符合802.1X安全表項,就認為該ARP報文合法,進行轉發。轉發時查詢報文目的IP地址對應的802.1X安全表項:
¡ 如果查詢到匹配的表項,且和源IP地址對應表項的接口不一致,則將報文從目的IP地址對應的表項中的接口發送出去;
¡ 如果查詢到匹配的表項,且和源IP地址對應表項的接口一致,則將報文進行二層轉發;
¡ 如果未查到任何表項,則將報文進行二層轉發。
· 如果沒有找到匹配的表項,則認為是非法報文,直接丟棄。
IP Source Guard靜態綁定表項通過ip source binding命令生成,詳細介紹請參見“安全配置指導”中的“IP Source Guard”。
配置用戶合法性檢查功能時,必須至少配置用戶合法性規則或者IP Source Guard靜態綁定表項兩者之一,否則所有從ARP非信任接口收到的ARP報文都將被丟棄。
在配置IP Source Guard靜態綁定表項時,必須指定IP、MAC和VLAN參數,否則ARP報文將無法通過基於IP Source Guard靜態綁定表項的檢查。
(1) 進入係統視圖。
system-view
(2) (可選)配置用戶合法性檢查規則。
arp detection rule rule-id { deny | permit } ip { ip-address [ mask ] | any } mac { mac-address [ mask ] | any } [ vlan vlan-id ]
缺省情況下,未配置用戶合法性檢查規則。
(3) 進入VLAN視圖。
vlan vlan-id
(4) 開啟ARP Detection功能。
arp detection enable
缺省情況下,ARP Detection功能處於關閉狀態,即不進行用戶合法性檢查。
(5) (可選)將不需要進行用戶合法性檢查的接口配置為ARP信任接口。
a. 退回係統視圖。
quit
b. 進入接口視圖。
interface interface-type interface-number
支持的接口類型包括二層以太網接口和二層聚合接口視圖。
c. 將不需要進行用戶合法性檢查的接口配置為ARP信任接口。
arp detection trust
缺省情況下,接口為ARP非信任接口。
對於ARP信任接口,不進行報文有效性檢查;對於ARP非信任接口,需要根據配置對MAC地址和IP地址不合法的報文進行過濾。可以選擇配置源MAC地址、目的MAC地址或IP地址檢查模式。
· 源MAC地址的檢查模式:會檢查ARP報文中的源MAC地址和以太網報文頭中的源MAC地址是否一致,一致則認為有效,否則丟棄報文;
· 目的MAC地址的檢查模式(隻針對ARP應答報文):會檢查ARP應答報文中的目的MAC地址是否為全0或者全1,是否和以太網報文頭中的目的MAC地址一致。全0、全1、不一致的報文都是無效的,需要被丟棄;
· IP地址檢查模式:會檢查ARP報文中的源IP或目的IP地址,如全1、或者組播IP地址都是不合法的,需要被丟棄。對於ARP應答報文,源IP和目的IP地址都進行檢查;對於ARP請求報文,隻檢查源IP地址。
配置本功能前需保證已經配置了“1.8.2 用戶合法性檢查”。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 開啟ARP Detection功能。
arp detection enable
缺省情況下,ARP Detection功能處於關閉狀態,即不進行報文有效性檢查。
(4) 開啟ARP報文有效性檢查功能。
a. 退回係統視圖。
quit
b. 開啟ARP報文有效性檢查功能。
arp detection validate { dst-mac | ip | src-mac } *
缺省情況下,ARP報文有效性檢查功能處於關閉狀態。
(5) (可選)將不需要進行ARP報文有效性檢查的接口配置為ARP信任接口。
a. 進入接口視圖。
interface interface-type interface-number
支持的接口類型包括二層以太網接口和二層聚合接口。
b. 將不需要進行ARP報文有效性檢查的接口配置為ARP信任接口。
arp detection trust
缺省情況下,接口為ARP非信任接口。
對於從ARP信任接口接收到的ARP報文不受此功能影響,按照正常流程進行轉發;對於從ARP非信任接口接收到的並且已經通過用戶合法性檢查的ARP報文的處理過程如下:
· 對於ARP請求報文,通過信任接口進行轉發;
· 對於ARP應答報文,首先按照報文中的以太網目的MAC地址進行轉發,若在MAC地址表中沒有查到目的MAC地址對應的表項,則將此ARP應答報文通過信任接口進行轉發。
ARP報文強製轉發功能不支持目的MAC地址為多端口MAC的情況。
配置本功能前需保證已經配置了“1.8.2 用戶合法性檢查”。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 開啟ARP報文強製轉發功能。
arp restricted-forwarding enable
缺省情況下,ARP報文強製轉發功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後ARP Detection的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,用戶可以執行reset命令清除ARP Detection的統計信息。
表1-3 ARP Detection顯示和維護
|
操作 |
命令 |
|
顯示開啟了ARP Detection功能的VLAN |
display arp detection |
|
顯示ARP Detection丟棄報文的統計信息 |
display arp detection statistics [ interface interface-type interface-number ] |
|
清除ARP DetectionARP Detection的報文丟棄統計信息 |
reset arp detection statistics [ interface interface-type interface-number ] |
建議在網吧這種環境穩定的小型網絡中使用ARP自動掃描、固化功能。ARP自動掃描功能一般與ARP固化功能配合使用:
· 配置ARP自動掃描功能後,設備會對局域網內的鄰居自動進行掃描(向鄰居發送ARP請求報文,獲取鄰居的MAC地址,從而建立動態ARP表項)。
· ARP固化用來將當前的ARP動態表項(包括ARP自動掃描生成的動態ARP表項)轉換為靜態ARP表項。通過對動態ARP表項的固化,可以有效防止攻擊者修改ARP表項。
固化後的靜態ARP表項與配置產生的靜態ARP表項相同。
· 對於已存在ARP表項的IP地址不進行掃描。
· 固化生成的靜態ARP表項數量同樣受到設備可以支持的靜態ARP表項數目的限製,由於靜態ARP表項數量的限製可能導致隻有部分動態ARP表項被固化。
· 通過arp fixup命令將當前的動態ARP表項轉換為靜態ARP表項後,後續學習到的動態ARP表項可以通過再次執行arp fixup命令進行固化。
· 通過固化生成的靜態ARP表項,可以通過命令行undo arp ip-address [ vpn-instance-name ]逐條刪除,也可以通過命令行reset arp all或reset arp static全部刪除。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟ARP自動掃描功能。
arp scan [ start-ip-address to end-ip-address ]
掃描操作可能比較耗時,且會占用較大的設備資源和網絡負載。可以通過<Ctrl_C>來終止掃描(在終止掃描時,對於已經收到的鄰居應答,會建立該鄰居的動態ARP表項)。
(4) 退回係統視圖。
quit
(5) 將設備上的動態ARP表項轉化成靜態ARP表項。
arp fixup
在設備上不與網關相連的接口上配置此功能,可以防止偽造網關攻擊。
在接口上開啟此功能後,當接口收到ARP報文時,將檢查ARP報文的源IP地址是否和配置的被保護網關的IP地址相同。如果相同,則認為此報文非法,將其丟棄;否則,認為此報文合法,繼續進行後續處理。
· 每個接口最多支持配置8個被保護的網關IP地址。
· 不能在同一接口下同時配置命令arp filter source和arp filter binding。
· 本功能與ARP Detection和ARP Snooping功能配合使用時,先進行本功能檢查,本功能檢查通過後才會進行其他配合功能的處理。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
支持的接口類型包括二層以太網接口和二層聚合接口。
(3) 開啟ARP網關保護功能,配置被保護的網關IP地址。
arp filter source ip-address
缺省情況下,ARP網關保護功能處於關閉狀態。
本功能用來限製接口下允許通過的ARP報文,可以防止仿冒網關和仿冒用戶的攻擊。
在接口上配置此功能後,當接口收到ARP報文時,將檢查ARP報文的源IP地址和源MAC地址是否和允許通過的IP地址和MAC地址相同:
· 如果相同,則認為此報文合法,繼續進行後續處理;
· 如果不相同,則認為此報文非法,將其丟棄。
· 每個接口最多支持配置8組允許通過的ARP報文的源IP地址和源MAC地址。
· 不能在同一接口下同時配置命令arp filter source和arp filter binding。
· 本功能與ARP Detection和ARP Snooping配合使用時,先進行本功能檢查,本功能檢查通過後才會進行其他配合功能的處理。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
支持的接口類型包括二層以太網接口和二層聚合接口。
(3) 開啟ARP過濾保護功能,配置允許通過的ARP報文的源IP地址和源MAC地址。
arp filter binding ip-address mac-address
缺省情況下,ARP過濾保護功能處於關閉狀態。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
