1、 ARP 防攻击配置下表列出了本章所包含的内容。如果您需要 请阅读了解 ARP 地址欺骗防攻击的原理和配置 ARP 地址欺骗防攻击了解 ARP 网关冲突防攻击的原理和配置 ARP 网关冲突防攻击配置了解 ARP 报文防攻击的原理和配置 ARP 报文防攻击配置了解 ARP 协议防攻击综合配置举例 ARP 防攻击配置举例3.1 ARP 地址欺骗防攻击3.1.1 ARP 地址欺骗防攻击简介ARP 协议缺少安全保障机制,维护起来耗费人力,且极易受到攻击。 对于静态配置 IP 地址的网络,目前只能通过配置静态 ARP 方式防止 ARP表项被非法修改,但是配置繁琐,需要花费大量人力去维护,极不方便; 对于
2、动态配置 IP 地址的网络,攻击者通过伪造其他用户发出的 ARP 报文,篡改网关设备上的用户 ARP 表项,可以造成其他合法用户的网络中断。图 3-1 ARP 地址欺骗攻击示意图如 图 3-1 所示,A 为合法用户,通过交换机 G 与外界通讯:攻击者 B 通过伪造A 的 ARP 报文,使得 G 设备上 A 的 ARP 表项中的相应信息被修改,导致 A 与 G的通讯失败。对于动态 ARP 地址欺骗攻击方式,S9500 系列交换机可通过以下方法进行防御。1. 固定 MAC 地址对于动态 ARP 的配置方式,交换机第一次学习到 ARP 表项之后就不再允许通过ARP 学习对 MAC 地址进行修改,直到
3、此 ARP 表项老化之后才允许此 ARP 表项更新 MAC 地址,以此来确保合法用户的 ARP 表项不被修改。固定 MAC 有两种方式:Fixed-mac 和 Fixed-all。 Fixed-mac 方式;不允许通过 ARP 学习对 MAC 地址进行修改,但允许对VLAN 和端口信息进行修改。这种方式适用于静态配置 IP 地址,但网络存在冗余链路的情况。当链路切换时,ARP 表项中的端口信息可以快速改变。 Fixed-all 方式;对动态 ARP 和已解析的短静态 ARP、MAC、VLAN 和端口信息均不允许修改。 这种方式适用于静态配置 IP 地址、网络没有冗余链路、同一 IP 地址用户不
4、会从不同端口接入交换机的情况。2. 主动确认(Send-ack)交换机收到一个涉及 MAC 地址修改的 ARP 报文时,不会立即修改原 ARP 表项,而是先对原 ARP 表中与此 MAC 地址对应的对应用户发一个单播确认: 如果在一定时间内收到原用户的应答报文,说明原用户仍存在,则在后续一分钟时间内不允许对此 ARP 表项进行 MAC 地址修改;同样,ARP 表项在新生成一分钟时间内,也不允许修改此 ARP 表项中的 MAC 地址; 如果一定时间内没有收到原用户的应答报文,则对新用户发起一个单播请求报文,收到新用户的应答报文之后才修改 ARP 表项,使新用户成为合法用户。主动确认方式可以适应动
5、态分配 IP 地址、有冗余链路的网络。3.1.2 ARP 地址欺骗防攻击配置表 3-1 ARP 地址欺骗防攻击配置操作 命令 说明进入系统视图 system-view -配置 ARP 地址欺骗防攻击arp entry-check fixed-mac | fixed-all | send-ack 必选缺省情况下,ARP 地址欺骗防攻击功能关闭显示 ARP 地址欺骗防攻击配置信息display arp entry-checkdisplay 命令可以在任意视图下执行3.2 ARP 网关冲突防攻击配置3.2.1 ARP 网关冲突防攻击简介图 3-2 ARP 网关冲突攻击示意图ARP 网关冲突攻击,指攻
6、击者仿冒网关地址,在局域网内部发送源 IP 地址是网关地址的免费 ARP 报文。局域网内部的主机接收到该报文后,会修改自己原来的网关地址为攻击者的地址,最终导致局域网内部所有主机无法访问网络。为解决此问题,S9500 交换机引入了 ARP 网关冲突防攻击的功能。S9500 交换机收到到与网关地址冲突的 ARP 报文时,如果存在下列情况之一: ARP 报文的源 IP 与报文入接口的 IP 地址相同; ARP 报文的源 IP 是 NAT 地址池的地址或内部服务器的地址; VRRP 虚 MAC 方式时,ARP 报文的源 IP 是入接口的虚拟 IP 地址,但 ARP 报文源 MAC 不是 VRRP 虚
7、 MAC。 则系统生成 ARP 防攻击表项,在后续一段时间内对收到具有相同以太网头部源MAC 地址的报文直接丢弃,这样可以防止与网关地址冲突的 ARP 报文在 VLAN 内的广播转发。3.2.2 ARP 网关冲突防攻击配置注意: ARP 网关冲突防攻击能够检测并防止与 VLAN 接口地址、VRRP 虚地址和 NAT 地址池的冲突; 交换机检测到网管口上存在地址冲突时,只 记录 日志信息,不能阻止攻击发生; 交换机工作在 VRRP实 MAC 地址的情况下, 检测 到冲突后记录日志信息,不能阻止攻击发生。表 3-2 ARP 网关冲突防攻击配置操作 命令 说明进入系统视图 system-view -
8、配置 ARP 网关冲突防攻击anti-attack gateway-duplicate enable | disable 必选缺省情况下,ARP 网关冲突防攻击功能处于关闭状态显示网关地址冲突防攻击表项信息display anti-attack gateway-duplicate slot slotiddisplay 命令可以在任意视图下执行3.3 ARP 报文防攻击配置3.3.1 ARP 报文防攻击简介ARP 协议没有任何认证机制,极易遭受到各种方式的攻击。ARP 报文攻击就是其中常见的一种,通过采用固定源 MAC 地址发送大量 ARP 报文,影响交换机对正常 ARP 报文的学习。S9500
9、 交换机具有防源 MAC 地址的 ARP 报文攻击的功能。在一段时间内,如果交换机收到固定源 MAC 地址的 ARP 报文数目达到设定阈值,则认为使用该 MAC地址的用户在进行 ARP 攻击,系统会下发防攻击表项对该 MAC 地址进行过滤。系统下发防攻击表项后,该用户将无法正常访问网络。3.3.2 ARP 报文防攻击配置表 3-3 ARP 报文防攻击配置操作 命令 说明进入系统视图 system-view -配置 ARP 报文防攻击anti-attack arp enable | monitor | disable 必选缺省情况下,ARP 报文防攻击功能处于监控状态配置 ARP 报文防攻击报文
10、检测阈值anti-attack arp threshold threshold-value可选threshold-value 取值范围 5pps300pps,缺省值为 30pps操作 命令 说明配置 ARP 报文防攻击表项的老化时间anti-attack arp aging-time time可选time 缺省值为 600 秒ARP 报文防攻击表项的老化时间和网关地址冲突防攻击表项的老化时间相同配置 ARP 报文防攻击保护 MAC 地址anti-attack arp exclude-mac mac-address可选配置的保护 MAC 不会被防攻击功能过滤掉,系统最多支持 16 个保护 MAC
11、 地址显示 ARP 报文防攻击表项信息display anti-attack arp slot slotiddisplay 命令可以在任意视图下执行 说明: 如果接口板的 CPU 没有收到任何报文, 则接口板的 ARP 防攻击表项不会老化; ARP 防攻击表项没有老化时,与 ARP 防攻击表项 中具有相同 MAC地址的动态 MAC 地址表项也不能老化; 网管口不支持 ARP报文防攻击功能。3.4 ARP 防攻击配置举例1. 组网需求 Switch1 是 S9500 系列交换机,通过端口 Ethernet 1/1/1 和端口Ethernet 1/1/2 连接低端交换机 Switch2 和 Swi
12、tch3。 Switch1 下挂 PC1、Switch2 下挂 PC2、PC3,且 PC2、PC3 属于同一个网段;Switch3 下挂 PC4、PC5,且 PC4、PC5 同属于另外一个网段。 PC1 中病毒后,会发出大量 ARP 攻击报文,部分 ARP 报文源 IP 地址在本网段内不停变化,部分 ARP 报文源 IP 和网关 IP 地址相同;PC4 用户构造大量源 MAC 地址固定的 ARP 报文对网络进行攻击。Switch1 能够防止 PC1 和 PC4 的攻击。2. 组网图图 3-3 ARP 防攻击配置举例组网图3. 配置步骤# 进入系统视图。system-view# 配置 ARP 地
13、址欺骗防攻击方式为 send-ack 方式,防止 PC1 发起的 ARP 地址欺骗。Switch1 arp entry-check send-ack# 使能 ARP 网关冲突防攻击功能,防止 PC1 发起的伪造网关地址攻击。Switch1 anti-attack gateway-duplicate enable# 使能 ARP 报文防攻击功能,防止 PC4 发起的大流量 ARP 报文攻击。Switch1 anti-attack arp enable# 配置 ARP 报文防攻击报文的检测阈值为 40pps。Switch1 anti-attack arp threshold 40# 配置 ARP
14、报文防攻击的表项老化时间为 300 秒。Switch1 anti-attack arp aging-time 300# 配置 ARP 报文防攻击的保护 MAC 地址为 0-0-1。Switch1 anti-attack arp exclude-mac 0-0-1配置完成后,可以通过 display current 命令查询当前 ARP 防攻击配置情况。同时,还可以通过 display anti-attack 命令查看当前网络中存在的网关地址冲突攻击和源 MAC 地址固定的 ARP 报文攻击的信息。需要说明的是: 配置 ARP 地址欺骗防攻击功能后,在存在攻击的情况下,交换机的 CPU 的占用率将升高,可能导致其处理速度变慢; 网关地址冲突防攻击可以防止在交换机某个端口收到网关地址冲突报文后不转发到其他端口,但是该端口下挂的用户依然存在被攻击的风险; 启用网关地址冲突防攻击和 ARP 报文防攻击功能后,交换机不但可以隔离攻击者,而且可以阻止其无法正常使用网络资源。
