选择区域语言: EN CN HK

11-安全配置指导

16-ARP攻击防御配置

本章节下载  (241.91 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_900/Configure/Operation_Manual/H3C_MSR_CG(V5)-R2511P07-V1.14/11/201808/1106951_30005_0.htm

16-ARP攻击防御配置


1 ARP攻击防御

1.1  ARP攻击防御简介

ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。

·              攻击者可以仿冒用户、仿冒网关发送伪造的ARP报文,使网关或主机的ARP表项不正确,从而对网络进行攻击。

·              攻击者通过向设备发送大量目标IP地址不能解析的IP报文,使得设备试图反复地对目标IP地址进行解析,导致CPU负荷过重及网络流量过大。

·              攻击者向设备发送大量ARP报文,对设备的CPU形成冲击。

关于ARP攻击报文的特点以及ARP攻击类型的详细介绍,请参见“ARP攻击防范技术白皮书”。

目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决。

下面将详细介绍一下这些技术的原理以及配置。

1.2  ARP攻击防御配置任务简介

表1-1 ARP攻击防御配置任务简介

配置任务

说明

详细配置

防止泛洪攻击

配置ARP防止IP报文攻击功能

配置ARP源抑制功能

可选

建议在网关设备上配置本功能

1.3 

配置源MAC地址固定的ARP攻击检测功能

可选

建议在网关设备上配置本功能

1.4 

防止仿冒用户、仿冒网关攻击

配置ARP报文源MAC地址一致性检查功能

可选

建议在网关设备上配置本功能

1.5 

配置ARP主动确认功能

可选

建议在网关设备上配置本功能

1.6 

配置ARP自动扫描、固化功能

可选

建议在网关设备上配置本功能

1.7 

 

1.3  配置ARP防止IP报文攻击功能

1.3.1  ARP防止IP报文攻击功能简介

如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:

·              设备向目的网段发送大量ARP请求报文,加重目的网段的负载。

·              设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。

为避免这种IP报文攻击所带来的危害,设备提供了ARP源抑制功能。开启该功能后,以每5秒为单位时间,当在5秒的单位时间内由某特定主机发出IP报文触发的ARP请求报文的数量超过设置的阈值,那么对这台主机随后发出的所有IP报文,设备不允许其再触发ARP请求,并丢弃这些IP报文。直至这5秒结束后,设备允许这台主机重新触发ARP请求,并重复以上的操作,从而避免了恶意攻击所造成的危害。

1.3.2  配置ARP源抑制功能

表1-2 配置ARP源抑制功能

操作

命令

说明

进入系统视图

system-view

-

使能ARP源抑制功能

arp source-suppression enable

必选

缺省情况下,ARP源抑制功能处于关闭状态

配置ARP源抑制的阈值

arp source-suppression limit limit-value

可选

缺省情况下,ARP源抑制的阈值为10

 

1.3.3  ARP防止IP报文攻击显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP源抑制的运行情况,通过查看显示信息验证配置的效果。

表1-3 ARP源抑制显示和维护

操作

命令

显示ARP源抑制的配置信息

display arp source-suppression [ | { begin | exclude | include } regular-expression ]

 

1.3.4  ARP防止IP报文攻击配置举例

1. 组网需求

某局域网内存在两个区域:研发区和办公区,分别属于VLAN 10和VLAN 20,通过接入交换机连接到网关Device,如1-1所示。

网络管理员在监控网络时发现办公区存在大量ARP请求报文,通过分析认为存在IP泛洪攻击,为避免这种IP报文攻击所带来的危害,可采用ARP源抑制功能。

2. 组网图

图1-1 ARP防止IP报文攻击配置组网图

 

3. 配置思路

对攻击报文进行分析,如果发送攻击报文的源地址是固定的,采用ARP源抑制功能。在Device上做如下配置:

·              使能ARP源抑制功能;

·              配置ARP源抑制的阈值为100,即当每5秒内的ARP请求报文的流量超过100后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理。

4. 配置步骤

# 使能ARP源抑制功能,并配置ARP源抑制的阈值为100。

<Device> system-view

[Device] arp source-suppression enable

[Device] arp source-suppression limit 100

1.4  配置源MAC地址固定的ARP攻击检测功能

1.4.1  源MAC地址固定的ARP攻击检测功能简介

本特性根据ARP报文的源MAC地址进行统计,在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印Log信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的模式为监控模式,则只打印Log信息,不会将该源MAC地址发送的ARP报文过滤掉。

对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该MAC地址存在攻击也不会被检测、过滤。

只对上送CPU的ARP报文进行统计。

1.4.2  配置源MAC地址固定的ARP攻击检测功能

表1-4 配置源MAC地址固定的ARP攻击检测功能

配置步骤

命令

说明

进入系统视图

system-view

-

使能源MAC地址固定的ARP攻击检测功能,并选择检查模式

arp anti-attack source-mac { filter | monitor }

必选

缺省情况下,源MAC地址固定的ARP攻击检测功能处于关闭状态

配置源MAC地址固定的ARP报文攻击检测的阈值

arp anti-attack source-mac threshold threshold-value

可选

配置源MAC地址固定的ARP攻击检测表项的老化时间

arp anti-attack source-mac aging-time time

可选

缺省情况下,源MAC地址固定的ARP攻击检测表项的老化时间为300秒,即5分钟

配置保护MAC地址

arp anti-attack source-mac exclude-mac mac-address&<1-n>

可选

缺省情况下,没有配置任何保护MAC地址

n的取值为1~64

 

对于已添加到源MAC地址固定的ARP攻击检测表项中的MAC地址,在等待设置的老化时间后,会重新恢复成普通MAC地址。

 

1.4.3  源MAC地址固定的ARP攻击检测显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后源MAC地址固定的ARP攻击检测的运行情况,通过查看显示信息验证配置的效果。

表1-5 源MAC地址固定的ARP攻击检测显示和维护

操作

命令

显示检测到的源MAC地址固定的ARP攻击检测表项

display arp anti-attack source-mac [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

 

1.4.4  源MAC地址固定的ARP攻击检测功能配置举例

1. 组网需求

某局域网内客户端通过网关与外部网络通信,网络环境如1-2所示。

网络管理员希望能够防止因恶意用户对网关发送大量ARP报文,造成设备瘫痪,并导致其它用户无法正常地访问外部网络;同时,对于正常的大量ARP报文仍然会进行处理。

2. 组网图

图1-2 源MAC地址固定的ARP攻击检测功能配置组网图

 

3. 配置思路

如果恶意用户发送大量报文的源MAC地址是使用客户端合法的MAC地址,并且源MAC是固定的,可以在网关上进行如下配置:

·              使能源MAC固定ARP攻击检测功能,并选择过滤模式;

·              配置源MAC固定ARP报文攻击检测的阈值;

·              配置源MAC固定的ARP攻击检测表项的老化时间;

·              配置服务器的MAC为保护MAC,使服务器可以发送大量ARP报文。

4. 配置步骤

# 使能源MAC固定ARP攻击检测功能,并选择过滤模式。

<Device> system-view

[Device] arp anti-attack source-mac filter

# 配置源MAC固定ARP报文攻击检测阈值为30个。

[Device] arp anti-attack source-mac threshold 30

# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。

[Device] arp anti-attack source-mac aging-time 60

# 配置源MAC固定攻击检查的保护MAC地址为0012-3f86-e94c。

[Device] arp anti-attack source-mac exclude-mac 0012-3f86-e94c

1.5  配置ARP报文源MAC地址一致性检查功能

1.5.1  ARP报文源MAC地址一致性检查功能简介

ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。

配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

1.5.2  配置ARP报文源MAC地址一致性检查功能

表1-6 配置ARP报文源MAC地址一致性检查功能

配置步骤

命令

说明

进入系统视图

system-view

-

使能ARP报文源MAC地址一致性检查功能

arp anti-attack valid-check enable

必选

缺省情况下,ARP报文源MAC地址一致性检查功能处于关闭状态

 

1.6  配置ARP主动确认功能

1.6.1  ARP主动确认功能简介

ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。

启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。关于工作原理的详细介绍请参见“ARP攻击防范技术白皮书”。

1.6.2  配置ARP主动确认功能

表1-7 配置ARP主动确认功能

配置步骤

命令

说明

进入系统视图

system-view

-

使能ARP主动确认功能

arp anti-attack active-ack enable

必选

缺省情况下,ARP主动确认功能处于关闭状态

 

1.7  配置ARP自动扫描、固化功能

1.7.1  ARP自动扫描、固化功能简介

ARP自动扫描功能一般与ARP固化功能配合使用:

·              启用ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。

·              ARP固化功能用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效的防止攻击者修改ARP表项。

推荐在网吧这种环境稳定的小型网络中使用这两个功能。

 

1.7.2  配置ARP自动扫描、固化功能

表1-8 配置ARP自动扫描、固化功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

启动ARP自动扫描功能

arp scan [ start-ip-address to end-ip-address ]

必选

退回系统视图

quit

-

配置ARP固化功能

arp fixup

必选

 

·          对于已存在ARP表项的IP地址不进行扫描。

·          扫描操作可能比较耗时,用户可以通过<Ctrl_C>来终止扫描(在终止扫描时,对于已经收到的邻居应答,会建立该邻居的动态ARP表项)。

·          固化后的静态ARP表项与配置产生的静态ARP表项相同。

·          通过arp fixup命令将当前的动态ARP表项转换为静态ARP表项后,后续学习到的动态ARP表项可以通过再次执行arp fixup命令进行固化。

·          固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。

·          通过固化生成的静态ARP表项,可以通过命令行undo arp ip-address [ vpn-instance-name ]逐条删除,也可以通过命令行reset arp allreset arp static全部删除。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!