12-ARP攻击防御命令
本章节下载: 12-ARP攻击防御命令 (194.97 KB)
1.1.1 arp resolving-route enable
1.1.2 arp source-suppression enable
1.1.3 arp source-suppression limit
1.1.4 display arp source-suppression
1.2.1 arp anti-attack source-mac
1.2.2 arp anti-attack source-mac aging-time
1.2.3 arp anti-attack source-mac exclude-mac
1.2.4 arp anti-attack source-mac threshold
1.2.5 display arp anti-attack source-mac
1.3.1 arp anti-attack valid-check enable
1.4.1 arp anti-attack active-ack enable
1.5.1 arp anti-attack active-ack strict enable
1.7.5 arp restricted-forwarding enable
1.7.7 display arp detection statistics
1.7.8 reset arp detection statistics
设备支持两种运行模式:独立运行模式和IRF模式,缺省情况下为独立运行模式。有关IRF模式的介绍,请参见“IRF配置指导”中的“IRF”。
【命令】
arp resolving-route enable
undo arp resolving-route enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
arp resolving-route enable命令用来使能ARP黑洞路由功能。undo arp resolving-route enable命令用来关闭ARP黑洞路由功能。
缺省情况下,ARP黑洞路由功能处于开启状态。
【举例】
# 使能ARP黑洞路由功能。
<Sysname> system-view
[Sysname] arp resolving-route enable
【命令】
arp source-suppression enable
undo arp source-suppression enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
arp source-suppression enable命令用来使能ARP源地址抑制功能。undo arp source-suppression enable命令用来恢复缺省情况。
缺省情况下,ARP源地址抑制功能处于关闭状态。
相关配置可参考命令display arp source-suppression。
【举例】
# 使能ARP源抑制功能。
<Sysname> system-view
[Sysname] arp source-suppression enable
【命令】
arp source-suppression limit limit-value
undo arp source-suppression limit
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
limit-value:ARP源抑制的阈值,取值范围为2~1024。
【描述】
arp source-suppression limit命令用来配置ARP源抑制的阈值。undo arp source-suppression limit命令用来恢复缺省情况。
缺省情况下,ARP源抑制的阈值为10。
开启该功能后,当每5秒内由某特定主机发出IP报文触发的ARP请求报文的流量超过设置的阈值,那么对这台主机随后发出的所有IP报文,设备不允许其再触发ARP请求。直至这5秒结束后,设备允许这台主机重新触发ARP请求,并重复以上的操作,从而避免了恶意攻击所造成的危害。
相关配置可参考命令display arp source-suppression。
【举例】
# 配置ARP源抑制的阈值为100。
<Sysname> system-view
[Sysname] arp source-suppression limit 100
【命令】
display arp source-suppression [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display arp source-suppression命令用来显示当前ARP源抑制的配置信息。
【举例】
# 显示当前ARP源抑制的配置信息。
<Sysname> display arp source-suppression
ARP source suppression is enabled
Current suppression limit: 100
Current cache length: 16
表1-1 display arp source-suppression显示信息描述表
字段 |
描述 |
ARP source suppression is enabled |
ARP源地址抑制功能处于使能状态 |
Current suppression limit |
设备在5秒时间间隔内可以接收到的同源IP,且目的IP地址不能解析的IP报文的最大数目 |
Current cache length |
目前记录源抑制信息的缓存的长度 |
【命令】
arp anti-attack source-mac { filter | monitor }
undo arp anti-attack source-mac [ filter | monitor ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
filter:检测到攻击后,打印Log信息,同时对该源MAC地址对应的ARP报文进行过滤。
monitor:检测到攻击后,只打印Log信息,不对该源MAC地址对应的ARP报文进行过滤。
【描述】
arp anti-attack source-mac命令用来使能源MAC地址固定的ARP攻击检测功能,并选择检查模式。undo arp anti-attack source-mac命令用来恢复缺省情况。
缺省情况下,源MAC地址固定的ARP攻击检测功能处于关闭状态。
使能源MAC地址固定ARP攻击检测之后,该特性会对上送本机CPU的ARP报文按照源MAC地址和VLAN进行统计。当在一定时间(5秒)内收到某固定源MAC地址的ARP报文超过设定的阈值,不同模式的处理方式存在差异:在filter模式下会打印告警信息并对该源MAC地址对应的ARP报文进行过滤;在monitor模式下只进行告警,不过滤ARP报文。
需要注意的是:
· 如果undo命令中没有指定检查模式,则关闭任意检查模式的源MAC地址固定ARP攻击检测功能。
· 当检查模式为过滤模式时,VLAN接口上检测到攻击MAC地址后,来自该MAC地址的ARP报文以及来自或发往该MAC地址的IP报文都会被过滤。
【举例】
# 使能源MAC地址固定的ARP攻击检测功能,并选择filter检查模式。
<Sysname> system-view
[Sysname] arp anti-attack source-mac filter
【命令】
arp anti-attack source-mac aging-time time
undo arp anti-attack source-mac aging-time
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time:源MAC地址固定的ARP攻击检测表项的老化时间,取值范围为60~6000,单位为秒。
【描述】
arp anti-attack source-mac aging-time命令用来配置源MAC地址固定的ARP攻击检测表项的老化时间。undo arp anti-attack source-mac aging-time命令用来恢复缺省情况ARP攻击表项老化的缺省时间。
缺省情况下,源MAC地址固定的ARP攻击检测表项的老化时间为300秒,即5分钟。
【举例】
# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。
<Sysname> system-view
[Sysname] arp anti-attack source-mac aging-time 60
【命令】
arp anti-attack source-mac exclude-mac mac-address&<1-n>
undo arp anti-attack source-mac exclude-mac [ mac-address&<1-n> ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
mac-address&<1-n>:MAC地址列表。其中,mac-address表示配置的保护MAC地址,格式为H-H-H。本设备支持n的最大值为10。如,&<1-10>表示每次最多可以配置10个保护的MAC地址。
【描述】
arp anti-attack source-mac exclude-mac命令用来配置保护MAC地址。当配置了保护MAC地址之后,即使该ARP报文中的MAC地址存在攻击也不会被检测过滤。undo arp anti-attack source-mac exclude-mac命令用来取消配置的保护MAC地址。
缺省情况下,没有配置任何保护MAC地址。
需要注意的是:
· 如果undo命令中没有指定MAC地址,则取消所有配置的保护MAC地址。
· 设备最多可配置64个保护MAC地址。
【举例】
# 配置源MAC地址固定的ARP攻击检查的保护MAC地址为2-2-2。
<Sysname> system-view
[Sysname] arp anti-attack source-mac exclude-mac 2-2-2
【命令】
arp anti-attack source-mac threshold threshold-value
undo arp anti-attack source-mac threshold
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
threshold-value:固定时间内源MAC地址固定ARP报文攻击检测的阈值,单位为报文个数。支持的取值范围为25~1500,缺省值为150。
【描述】
arp anti-attack source-mac threshold命令用来配置源MAC地址固定的ARP报文攻击检测阈值,当在固定的时间(5秒)内收到源MAC地址固定的ARP报文超过该阈值则认为存在攻击。undo arp anti-attack source-mac threshold命令用来恢复缺省阈值。
【举例】
# 配置源MAC地址固定的ARP报文攻击检测阈值为30个。
<Sysname> system-view
[Sysname] arp anti-attack source-mac threshold 30
【命令】
独立运行模式:
display arp anti-attack source-mac { slot slot-number | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
IRF模式:
display arp anti-attack source-mac { chassis chassis-number slot slot-number | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
interface interface-type interface-number:显示指定接口检测到的源MAC地址固定的ARP攻击检测表项。
slot slot-number:显示指定单板检测到的源MAC地址固定的ARP攻击检测表项。slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板检测到的源MAC地址固定的ARP攻击检测表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号,可使用display device命令查看。(IRF模式)
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display arp anti-attack source-mac命令用来显示检测到的源MAC地址固定的ARP攻击检测表项。
【举例】
# 显示检测到的源MAC地址固定的ARP攻击检测表项。(独立运行模式)
<Sysname> display arp anti-attack source-mac slot 2
Source-MAC VLAN ID Interface Aging-time
23f3-1122-3344 4094 GE3/1/1 10
23f3-1122-3355 4094 GE3/1/2 30
23f3-1122-33ff 4094 GE3/1/3 25
23f3-1122-33ad 4094 GE3/1/4 30
23f3-1122-33ce 4094 GE3/1/5 2
# 显示检测到的源MAC地址固定的ARP攻击检测表项。(IRF模式)
<Sysname> display arp anti-attack source-mac chassis 1 slot 3
Source-MAC VLAN ID Interface Aging-time
23f3-1122-3344 4094 GE1/3/0/1 10
23f3-1122-3355 4094 GE1/3/0/2 30
23f3-1122-33ff 4094 GE1/3/0/3 25
23f3-1122-33ad 4094 GE1/3/0/4 30
23f3-1122-33ce 4094 GE1/3/0/5 2
表1-2 display arp anti-attack source-mac命令显示信息描述表
字段 |
描述 |
Source-MAC |
检测到攻击的源MAC地址 |
VLAN ID |
检测到攻击的VLAN ID |
Interface |
攻击来源的接口索引 |
Aging-time |
ARP攻击表项老化剩余时间 |
【命令】
arp anti-attack valid-check enable
undo arp anti-attack valid-check enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
arp anti-attack valid-check enable命令用来在网关设备上使能ARP报文源MAC地址一致性检查功能。网关使能此功能时,会对接收的ARP报文进行检查,如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则丢弃该报文。undo arp anti-attack valid-check enable命令用来恢复缺省情况。
缺省情况下,ARP报文源MAC地址一致性检查功能处于关闭状态。
【举例】
# 使能ARP报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] arp anti-attack valid-check enable
【命令】
arp anti-attack active-ack enable
undo arp anti-attack active-ack enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
arp anti-attack active-ack enable命令用来使能ARP主动确认功能。undo arp anti-attack active-ack enable命令用来恢复缺省情况。
缺省情况下,ARP主动确认功能处于关闭状态。
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。
【举例】
# 使能ARP主动确认功能。
<Sysname> system-view
[Sysname] arp anti-attack active-ack enable
【命令】
arp anti-attack active-ack strict enable
undo arp anti-attack active-ack strict enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
arp anti-attack active-ack strict enable命令用来使能ARP严格主动确认功能。undo arp anti-attack active-ack strict enable命令用来恢复缺省情况。
缺省情况下,ARP严格主动确认功能处于关闭状态。
需要注意的是:
· 使能ARP严格主动确认功能后,设备只有收到本机发起请求的回应,需要新建或更新本地ARP表项前进行严格ARP确认,收到非本机请求的回应不进行表项学习,并输入日志。
· ARP严格主动确认功能必须与ARP黑洞路由功能组合使用,否则严格模式不生效,设备仍会以ARP主动确认模式工作。
相关配置可参考命令arp resolving-route enable。
【举例】
# 使能ARP严格主动确认功能。
<Sysname> system-view
[Sysname] arp resolving-route enable
[Sysname] arp anti-attack active-ack strict enable
【命令】
arp authorized enable
undo arp authorized enable
【视图】
三层以太网接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
arp authorized enable命令用来使能接口下的授权ARP功能。undo arp authorized enable命令用来恢复缺省情况。
缺省情况下,接口下未使能授权ARP功能。
使能接口下的授权ARP功能后,会启动接口下授权ARP表项的老化探测功能,并禁止该接口学习动态ARP表项;关闭接口下的授权ARP功能后,会关闭该接口下授权ARP表项的老化探测功能,并允许该接口学习动态ARP表项。
如果配置了授权ARP功能,除非同时配置了静态ARP表项,否则DHCP服务器的IP地址重复分配检查功能失效,即DHCP服务器无法再进行地址探测。有关静态ARP表项和IP地址重复分配检查功能的介绍,请分别参见“三层技术-IP业务配置指导”中的“ARP”“和“DHCP”。
【举例】
# 使能接口下授权ARP功能。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/1
[Sysname-GigabitEthernet3/1/1] arp authorized enable
【命令】
arp detection id-number { deny | permit } ip { any | ip-address [ ip-address-mask ] } mac { any | mac-address [ mac-address-mask ] } [ vlan vlan-id ]
undo arp detection id-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
id-number:指定用户合法性规则的编号,取值范围为0~511,数值越小表示优先级越高。
deny:表示拒绝转发指定范围内的ARP报文。
permit:表示允许转发指定范围内的ARP报文。
ip { any | ip-address [ ip-address-mask ] }:指定规则的源IP地址范围。
· any:表示任意源IP地址。
· ip-address:表示报文的源IP地址。
· ip-address-mask:表示源IP地址的掩码,采用点分十进制格式表示长度,不配置掩码时ip-address表示主机地址。
mac { any | mac-address [ mac-address-mask ] }:指定规则的源MAC地址范围。
· any:表示任意源MAC地址。
· mac-address:表示源MAC地址,格式为H-H-H。
· mac-address-mask:表示源MAC地址的掩码,格式为H-H-H。
vlan vlan-id:指定规则应用的VLAN,其中vlan-id表示规则应用的VLAN ID,取值范围为1~4094。
【描述】
arp detection命令用来配置用户合法性检查规则。undo arp detection命令用来恢复缺省情况。
缺省情况下,没有配置用户合法性检查规则。
配置了用户合法性检查规则,并启用了用户合法性检查功能后,设备对于收到的ARP报文首先进行基于配置规则的检查,如果在配置的规则中找到与报文匹配的规则,则按照规则对ARP报文进行处理。如果在配置的规则中没有找到与报文匹配的规则,继续进行基于IP Source Guard静态绑定表项的检查、基于802.1X安全表项的检查。
相关配置可参考命令arp detection enable。
【举例】
# 配置用户合法性检查规则,并启用用户合法性检查功能。
<Sysname> system-view
[Sysname] arp detection 0 permit ip 10.1.1.1 255.255.0.0 mac 0001-0203-0607 ffff-ffff-0000
[Sysname] vlan 2
[Sysname-vlan2] arp detection enable
【命令】
arp detection enable
undo arp detection enable
【视图】
VLAN视图
【缺省级别】
2:系统级
【参数】
无
【描述】
arp detection enable命令用来使能ARP Detection功能,即对ARP报文进行用户合法性检查。undo arp detection enable命令用来恢复缺省情况。
缺省情况下,ARP Detection功能处于关闭状态。
【举例】
# 使能ARP Detection功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-Vlan2] arp detection enable
【命令】
arp detection trust
undo arp detection trust
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
arp detection trust命令用来配置端口为ARP信任端口。undo arp detection trust命令用来恢复缺省情况。
缺省情况下,端口为ARP非信任端口。
【举例】
# 配置二层以太网接口GigabitEthernet3/1/1为ARP信任端口。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/1
[Sysname-GigabitEthernet3/1/1] arp detection trust
【命令】
arp detection validate { dst-mac | ip | src-mac } *
undo arp detection validate [ dst-mac | ip | src-mac ] *
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dst-mac:检查ARP应答报文中的目的MAC地址,是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,无效的报文需要被丢弃。
ip:检查ARP报文源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
src-mac:检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致认为有效,否则丢弃。
【描述】
arp detection validate命令用来使能对ARP报文的目的或源MAC地址、IP地址的有效性检查。使能有效性检查时可以指定某一种检查方式也可以配置成多种检查方式的组合。undo arp detection validate命令用来关闭对ARP报文的有效性检查。关闭时可以指定关闭某一种或多种检查,在不指定检查方式时,表示关闭所有有效性检查。
缺省情况下,ARP报文有效性检查功能处于关闭状态。
【举例】
# 使能对ARP报文的MAC地址和IP地址的有效性检查。
<Sysname> system-view
[Sysname] arp detection validate dst-mac src-mac ip
【命令】
arp restricted-forwarding enable
undo arp restricted-forwarding enable
【视图】
VLAN视图
【缺省级别】
2:系统级
【参数】
无
【描述】
arp restricted-forwarding enable命令用来使能ARP报文强制转发功能。undo arp restricted-forwarding enable命令用来关闭ARP报文强制转发功能。
缺省情况下,ARP报文强制转发功能处于关闭状态。
【举例】
# 使能VLAN 1的ARP报文强制转发功能。
<Sysname> system-view
[Sysname] vlan 1
[Sysname-vlan1] arp restricted-forwarding enable
【命令】
display arp detection [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display arp detection命令用来显示使能了ARP Detection功能的VLAN。
相关配置可参考命令arp detection enable。
【举例】
# 显示所有使能了ARP Detection功能的VLAN。
<Sysname> display arp detection
ARP detection is enabled in the following VLANs:
1, 2, 4-5
表1-3 display arp detection命令显示信息描述表
字段 |
描述 |
ARP detection is enabled in the following VLANs |
使能了ARP Detection功能的VLAN |
【命令】
display arp detection statistics [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
interface interface-type interface-number:显示指定接口的统计信息。interface-type interface-number用来指定接口类型和编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display arp detection statistics命令用来显示ARP Detection功能报文检查的丢弃计数的统计信息。按端口显示用户合法性检查,报文有效性检查和ARP报文上送限速的统计情况,只显示丢弃的情况。不指定端口时,显示所有端口的统计信息。
【举例】
# 显示ARP Detection功能报文检查的丢弃计数的统计信息。
<Sysname> display arp detection statistics
State: U-Untrusted T-Trusted
ARP packets dropped by ARP inspect checking:
Interface(State) IP Src-MAC Dst-MAC Inspect
GE3/1/1(U) 40 0 0 78
GE3/1/2(U) 0 0 0 0
GE3/1/3(T) 0 0 0 0
GE3/1/4(U) 0 0 30 0
表1-4 display arp detection statistics命令显示信息描述表
字段 |
描述 |
State |
接口状态 · U-Untrusted:ARP非信任接口 · T-Trusted:ARP信任接口 |
Interface(State) |
ARP报文入接口,State表示该接口的信任状态 |
IP |
ARP报文源和目的IP地址检查不通过丢弃的报文计数 |
Src-MAC |
ARP报文源MAC地址检查不通过丢弃的报文计数 |
Dst-MAC |
ARP报文目的MAC地址检查不通过丢弃的报文计数 |
Inspect |
ARP报文结合用户合法性检查不通过丢弃的报文计数 |
【命令】
reset arp detection statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
interface interface-type interface-number:表示清除指定接口下的统计信息。interface-type interface-number用来指定接口类型和编号。
【描述】
reset arp detection statistics命令用来清除ARP Detection的统计信息。不指定接口时,清除所有的ARP Detection统计信息。
【举例】
# 清除所有的ARP Detection统计信息。
<Sysname> reset arp detection statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!