国家 / 地区

11-安全配置指导

15-ARP攻击防御配置

本章节下载  (233.96 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG-Release_2104(V1.10)/11/201311/803428_30005_0.htm

15-ARP攻击防御配置


1 ARP攻击防御配置

1.1  ARP攻击防御简介

ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。

l              攻击者可以仿冒用户、仿冒网关发送伪造的ARP报文,使网关或主机的ARP表项不正确,从而对网络进行攻击。

l              攻击者通过向设备发送大量目标IP地址不能解析的IP报文,使得设备试图反复地对目标IP地址进行解析,导致CPU负荷过重及网络流量过大。

l              攻击者向设备发送大量ARP报文,对设备的CPU形成冲击。

关于ARP攻击报文的特点以及ARP攻击类型的详细介绍,请参见“ARP攻击防范技术白皮书”。

目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行检测和解决。

下面将详细介绍一下这些技术的原理以及配置。

1.2  ARP攻击防御配置任务简介

表1-1 ARP攻击防御配置任务简介

 

配置任务

说明

详细配置

防止泛洪攻击

配置ARP防止IP报文攻击功能

配置ARP源抑制功能

可选

建议在网关设备上配置本功能

1.3 

配置ARP黑洞路由功能

可选

建议在网关设备上配置本功能

 

配置源MAC地址固定的ARP攻击检测功能

可选

建议在网关设备上配置本功能

1.4 

防止仿冒用户、仿冒网关攻击

配置ARP报文源MAC地址一致性检查功能

可选

建议在网关设备上配置本功能

1.5 

配置ARP主动确认功能

可选

建议在网关设备上配置本功能

1.6 

配置授权ARP功能

可选

建议在网关设备上配置本功能

1.7 

配置ARP自动扫描、固化功能

可选

建议在网关设备上配置本功能

1.8 

 

1.3  配置ARP防止IP报文攻击功能

1.3.1  ARP防止IP报文攻击功能简介

如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:

l              设备向目的网段发送大量ARP请求报文,加重目的网段的负载。

l              设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。

为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:

l              如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文,当每5秒内由此主机发出IP报文触发的ARP请求报文的流量超过设置的阈值,那么对于由此主机发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理,从而避免了恶意攻击所造成的危害。

l              如果发送攻击报文的源不固定,可以采用ARP黑洞路由功能。开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。

1.3.2  配置ARP防止IP报文攻击功能

1. 配置ARP源抑制功能

表1-2 配置ARP源抑制功能

操作

命令

说明

进入系统视图

system-view

-

使能ARP源抑制功能

arp source-suppression enable

必选

缺省情况下,关闭ARP源抑制功能

配置ARP源抑制的阈值

arp source-suppression limit limit-value

可选

缺省情况下,ARP源抑制的阈值为10

 

1.3.3  ARP防止IP报文攻击显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP源抑制的运行情况,通过查看显示信息验证配置的效果。

表1-3 ARP源抑制显示和维护

操作

命令

显示ARP源抑制的配置信息

display arp source-suppression [ | { begin | exclude | include } regular-expression ]

 

1.4  配置源MAC地址固定的ARP攻击检测功能

1.4.1  源MAC地址固定的ARP攻击检测功能简介

本特性根据ARP报文的源MAC地址进行统计,在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印告警信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的模式为监控模式,则只打印告警信息,不会将该源MAC地址发送的ARP报文过滤掉。

对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该MAC地址存在攻击也不会被检测、过滤。

只对上送CPU的ARP报文进行统计。

1.4.2  配置源MAC地址固定的ARP攻击检测功能

表1-4 配置源MAC地址固定的ARP攻击检测功能

配置步骤

命令

说明

进入系统视图

system-view

-

使能源MAC地址固定的ARP攻击检测功能,并选择检查模式

arp anti-attack source-mac { filter | monitor }

必选

缺省情况下,源MAC地址固定的ARP攻击检测功能处于关闭状态

配置源MAC地址固定的ARP报文攻击检测的阈值

arp anti-attack source-mac threshold threshold-value

可选

配置源MAC地址固定的ARP防攻击检测表项的老化时间

arp anti-attack source-mac aging-time time

可选

缺省情况下,源MAC地址固定的ARP防攻击检测表项的老化时间为300秒,即5分钟

配置保护MAC地址

arp anti-attack source-mac exclude-mac mac-address&<1-n>

可选

缺省情况下,没有配置任何保护MAC地址

n的取值范围和设备相关,请以设备的实际情况为准

 

*

对于已添加到源MAC地址固定的ARP防攻击检测表项中的MAC地址,在等待设置的老化时间后,会重新恢复成普通MAC地址。

 

1.4.3  源MAC地址固定的ARP攻击检测显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后源MAC地址固定的ARP攻击检测的运行情况,通过查看显示信息验证配置的效果。

表1-5 源MAC地址固定的ARP攻击检测显示和维护

操作

命令

显示检测到的源MAC地址固定的ARP防攻击检测表项

display arp anti-attack source-mac [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

 

1.5  配置ARP报文源MAC地址一致性检查功能

1.5.1  ARP报文源MAC地址一致性检查功能简介

ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。

配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

1.5.2  配置ARP报文源MAC地址一致性检查功能

表1-6 配置ARP报文源MAC地址一致性检查功能

配置步骤

命令

说明

进入系统视图

system-view

-

使能ARP报文源MAC地址一致性检查功能

arp anti-attack valid-check enable

必选

缺省情况下,关闭ARP报文源MAC地址一致性检查功能

 

1.6  配置ARP主动确认功能

1.6.1  ARP主动确认功能简介

ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。

启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。关于工作原理的详细介绍请参见“ARP攻击防范技术白皮书”。

1.6.2  配置ARP主动确认功能

表1-7 配置ARP主动确认功能

配置步骤

命令

说明

进入系统视图

system-view

-

使能ARP主动确认功能

arp anti-attack active-ack enable

必选

缺省情况下,关闭ARP主动确认功能

 

1.7  配置授权ARP功能

*

l    本特性目前仅支持三层以太网接口。

l    关于DHCP服务器和DHCP中继的介绍,请参见“三层技术-IP业务配置指导”中的“DHCP”。

 

1.7.1  授权ARP功能简介

所谓授权ARP(Authorized ARP),就是根据DHCP服务器生成的租约或者DHCP中继生成的安全表项同步生成ARP表项。

使能接口的授权ARP功能后:

l              系统会启动接口下授权ARP表项的老化探测功能,可以检测用户的非正常下线;

l              系统会禁止该接口学习动态ARP表项,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。

*

静态ARP表项可以覆盖授权ARP表项,授权ARP表项可以覆盖动态ARP表项,但是授权ARP表项不能覆盖静态ARP表项,动态ARP表项不能覆盖授权ARP表项。

 

1.7.2  配置授权ARP功能

表1-8 配置授权ARP功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置DHCP服务器(DHCP中继)支持授权ARP功能

dhcp update arp

必选

缺省情况下,DHCP服务器(DHCP中继)不支持授权ARP功能

使能授权ARP功能

arp authorized enable

必选

缺省情况下,接口下没有使能授权ARP功能

配置授权ARP表项的老化时间

arp authorized time-out seconds

可选

缺省情况下,接口下授权ARP表项的老化时间为1200秒

 

*

如果DHCP服务器(DHCP中继)不支持授权ARP功能,当配置了arp authorized enable命令后,只是会禁止该接口学习动态ARP表项,不会同步生成授权ARP表项。

 

1.7.3  授权ARP功能在DHCP服务器上的典型配置举例

1. 组网需求

l              Router A是DHCP服务器,为同一网段中的客户端动态分配IP地址,地址池网段为10.1.1.0/24。通过在接口Ethernet1/1上启用授权ARP功能对客户端进行老化探测,并保证客户端的合法性。

l              Router B是DHCP客户端,通过DHCP协议从DHCP服务器获取IP地址

2. 组网图

图1-1 授权ARP功能典型配置组网图

 

3. 配置步骤

(1)        配置Router A

# 配置接口的IP地址。

<RouterA> system-view

[RouterA] interface ethernet 1/1

[RouterA-Ethernet1/1] ip address 10.1.1.1 24

[RouterA-Ethernet1/1] quit

# 使能DHCP服务。

[RouterA] dhcp enable

[RouterA] dhcp server ip-pool 1

[RouterA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0

[RouterA-dhcp-pool-1] quit

# 进入三层以太网接口视图。

[RouterA] interface ethernet 1/1

# 使能DHCP同步ARP表项功能。

[RouterA-Ethernet1/1] dhcp update arp

# 使能接口授权ARP功能。

[RouterA-Ethernet1/1] arp authorized enable

# 配置接口下授权ARP的老化时间。

[RouterA-Ethernet1/1] arp authorized time-out 120

[RouterA-Ethernet1/1] quit

(2)        配置Router B

<RouterB> system-view

[RouterB] interface ethernet 1/1

[RouterB-Ethernet1/1] ip address dhcp-alloc

[RouterB-Ethernet1/1] quit

(3)        Router B获得Router A分配的IP后,在Router A查看授权ARP信息。

[RouterA] display arp all

                Type: S-Static    D-Dynamic    A-Authorized

IP Address       MAC Address     VLAN ID  Interface          Aging  Type

10.1.1.2         0012-3f86-e94c  N/A      Eth1/1             2      A  

从以上信息可以获知Router A为Router B动态分配的IP地址为10.1.1.2。

此后,Router B与Router A通信时采用的IP地址、MAC地址等信息必须和授权ARP表项中的一致,否则将无法通信,保证了客户端的合法性。

如果Router B非正常下线(比如,异常断电),待老化时间过后,Router A将删除相应的授权ARP表项。

1.7.4  授权ARP功能在DHCP中继上的典型配置举例

1. 组网需求

l              Router A是DHCP服务器,为不同网段中的客户端动态分配IP地址,地址池网段为10.10.1.0/24。

l              Router B是DHCP中继,通过在接口Ethernet1/2上启用授权ARP功能对客户端进行老化探测,并保证客户端的合法性。

l              Router C是DHCP客户端,通过DHCP中继从DHCP服务器获取IP地址

2. 组网图

图1-2 授权ARP功能典型配置组网图

 

3. 配置步骤

(1)        配置Router A

# 配置接口的IP地址。

<RouterA> system-view

[RouterA] interface ethernet 1/1

[RouterA-Ethernet1/1] ip address 10.1.1.1 24

[RouterA-Ethernet1/1] quit

# 使能DHCP服务。

[RouterA] dhcp enable

[RouterA] dhcp server ip-pool 1

[RouterA-dhcp-pool-1] network 10.10.1.0 mask 255.255.255.0

[RouterA-dhcp-pool-1] gateway-list 10.10.1.1

[RouterA-dhcp-pool-1] quit

[RouterA] ip route-static 10.10.1.0 24 10.1.1.2

(2)        配置Router B

# 使能DHCP服务。

<RouterB> system-view

[RouterB] dhcp enable

# 配置接口的IP地址。

[RouterB] interface ethernet 1/1

[RouterB-Ethernet1/1] ip address 10.1.1.2 24

[RouterB-Ethernet1/1] quit

[RouterB] interface ethernet 1/2

[RouterB-Ethernet1/2] ip address 10.10.1.1 24

# 配置Ethernet1/2接口工作在DHCP中继模式。

[RouterB-Ethernet1/2] dhcp select relay

[RouterB-Ethernet1/2] quit

# 配置DHCP服务器的地址。

[RouterB] dhcp relay server-group 1 ip 10.1.1.1

# 配置Ethernet1/2接口对应DHCP服务器组1。

[RouterB] interface ethernet 1/2

[RouterB-Ethernet1/2] dhcp relay server-select 1

# 使能DHCP同步ARP表项功能。

[RouterB-Ethernet1/2] dhcp update arp

# 使能接口授权ARP功能。

[RouterB-Ethernet1/2] arp authorized enable

# 配置接口下授权ARP的老化时间。

[RouterB-Ethernet1/2] arp authorized time-out 120

[RouterB-Ethernet1/2] quit

(3)        配置Router C

<RouterC> system-view

[RouterC] ip route-static 10.1.1.0 24 10.10.1.1

[RouterC] interface ethernet 1/2

[RouterC-Ethernet1/2] ip address dhcp-alloc

[RouterC-Ethernet1/2] quit

(4)        Router C获得Router A分配的IP后,在Router B查看授权ARP信息。

[RouterB] display arp all

                Type: S-Static    D-Dynamic    A-Authorized

IP Address       MAC Address     VLAN ID  Interface          Aging Type

10.10.1.2        0012-3f86-e94c  N/A      Eth1/2             2     A

从以上信息可以获知Router A为Router C动态分配的IP地址为10.10.1.2。

此后,Router C与Router B通信时采用的IP地址、MAC地址等信息必须和授权ARP表项中的一致,否则将无法通信,保证了客户端的合法性。

如果Router C非正常下线(比如,异常断电),待老化时间过后,Router B将删除相应的授权ARP表项。

1.8  配置ARP自动扫描、固化功能

1.8.1  ARP自动扫描、固化功能简介

ARP自动扫描功能一般与ARP固化功能配合使用:

l              启用ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。

l              ARP固化功能用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效的防止攻击者修改ARP表项。

推荐在网吧这种环境稳定的小型网络中使用这两个功能。

 

1.8.2  配置ARP自动扫描、固化功能

表1-9 配置ARP自动扫描、固化功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

启动ARP自动扫描功能

arp scan [ start-ip-address to end-ip-address ]

必选

退回系统视图

quit

-

配置ARP固化功能

arp fixup

可选

 

l    对于已存在ARP表项的IP地址不进行扫描。

l    扫描操作可能比较耗时,用户可以通过Ctrl_C来终止扫描(在终止扫描时,对于已经收到的邻居应答,会建立该邻居的动态ARP表项)。

l    固化后的静态ARP表项与配置产生的静态ARP表项相同。

l    通过arp fixup命令将当前的动态ARP表项转换为静态ARP表项后,后续学习到的动态ARP表项可以通过再次执行arp fixup命令进行固化。

l    固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。

l    通过固化生成的静态ARP表项,可以通过命令行undo arp ip-address [ vpn-instance-name ]逐条删除,也可以通过命令行reset arp allreset arp static全部删除。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部