07-ARP攻击防御配置
本章节下载: 07-ARP攻击防御配置 (199.62 KB)
目 录
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。
· 攻击者可以仿冒用户、仿冒网关发送伪造的ARP报文,使网关或主机的ARP表项不正确,从而对网络进行攻击。
· 攻击者通过向设备发送大量目标IP地址不能解析的IP报文,使得设备试图反复地对目标IP地址进行解析,导致CPU负荷过重及网络流量过大。
· 攻击者向设备发送大量ARP报文,对设备的CPU形成冲击。
关于ARP攻击报文的特点以及ARP攻击类型的详细介绍,请参见“ARP攻击防范技术白皮书”。
目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行防范、检测和解决。
下面将详细介绍一下这些技术的原理以及配置。
表1-1 ARP攻击防御配置任务简介
配置任务 |
说明 |
详细配置 |
||
防止泛洪攻击 |
配置ARP防止IP报文攻击功能 |
配置ARP源抑制功能 |
可选 建议在网关设备上配置本功能 |
|
防止仿冒用户、仿冒网关攻击 |
配置ARP Detection功能 |
可选 建议在接入设备上配置本功能 |
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
· 设备向目的网段发送大量ARP请求报文,加重目的网段的负载。
· 设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。
· 为避免这种IP报文攻击所带来的危害,设备提供了ARP源抑制功能。如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
表1-2 配置ARP源抑制功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能ARP源抑制功能 |
arp source-suppression enable |
缺省情况下,ARP源抑制功能处于关闭状态 |
配置ARP源抑制的阈值 |
arp source-suppression limit limit-value |
缺省情况下,ARP源抑制的阈值为10 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP源抑制的运行情况,通过查看显示信息验证配置的效果。
表1-3 ARP防止IP报文攻击显示和维护
操作 |
命令 |
显示ARP源抑制的配置信息 |
display arp source-suppression |
某局域网内存在两个区域:研发区和办公区,分别属于VLAN 10和VLAN 20,通过接入交换机连接到网关Device,如图1-1所示。
网络管理员在监控网络时发现办公区存在大量ARP请求报文,通过分析认为存在IP泛洪攻击,为避免这种IP报文攻击所带来的危害,可采用ARP源抑制功能。
图1-1 ARP防止IP报文攻击配置组网图
· 配置ARP源抑制功能
# 使能ARP源抑制功能,并配置ARP源抑制的阈值为100。
<Device> system-view
[Device] arp source-suppression enable
[Device] arp source-suppression limit 100
ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
ARP Detection包含三个功能:用户合法性检查、ARP报文有效性检查、ARP报文强制转发。
对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查。只要符合两者中的任何一个,就认为该ARP报文合法,进行转发。如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
IP Source Guard静态绑定表项通过ip source binding命令生成,详细介绍请参见“安全配置指导”中的“IP Source Guard”。DHCP Snooping安全表项通过DHCP Snooping功能自动生成,详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP Snooping”。
对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
· 源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文;
· 目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,需要被丢弃;
· IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全0、全1、或者组播IP地址都是不合法的,需要被丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:
· 对于ARP请求报文,通过信任接口进行转发;
· 对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发。
· ARP报文强制转发功能不支持目的MAC地址为多端口MAC的情况。
· 如果既配置了报文有效性检查功能,又配置了用户合法性检查功能,那么先进行报文有效性检查,然后进行用户合法性检查。
配置用户合法性检查功能时,必须至少配置IP Source Guard静态绑定表项、DHCP Snooping功能两者之一,否则所有从ARP非信任接口收到的ARP报文都将被丢弃。
在配置IP Source Guard静态绑定表项时,必须指定VLAN参数,否则ARP报文将无法通过基于IP Source Guard静态绑定表项的检查。
表1-4 配置用户合法性检查功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN视图 |
vlan vlan-id |
- |
使能ARP Detection功能 |
arp detection enable |
缺省情况下,ARP Detection功能处于关闭状态,即不进行用户合法性检查 |
退回系统视图 |
quit |
- |
进入二层以太网接口视图 |
interface interface-type interface-number |
- |
(可选)将不需要进行用户合法性检查的接口配置为ARP信任接口 |
arp detection trust |
缺省情况下,接口为ARP非信任接口 |
表1-5 配置ARP报文有效性检查功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN视图 |
vlan vlan-id |
- |
使能ARP Detection功能 |
arp detection enable |
缺省情况下,ARP Detection功能处于关闭状态 |
退回系统视图 |
quit |
- |
使能ARP报文有效性检查功能 |
arp detection validate { dst-mac | ip | src-mac } * |
缺省情况下,ARP报文有效性检查功能处于关闭状态 |
进入二层以太网接口视图 |
interface interface-type interface-number |
- |
(可选)将不需要进行ARP报文有效性检查的接口配置为ARP信任接口 |
arp detection trust |
缺省情况下,接口为ARP非信任接口 |
进行下面的配置之前,需要保证已经配置了用户合法性检查功能。
表1-6 配置ARP报文强制转发功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN视图 |
vlan vlan-id |
- |
使能ARP报文强制转发功能 |
arp restricted-forwarding enable |
缺省情况下,ARP报文强制转发功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP Detection的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除ARP Detection的统计信息。
表1-7 ARP Detection显示和维护
操作 |
命令 |
显示使能了ARP Detection功能的VLAN |
display arp detection |
显示ARP Detection功能报文检查的丢弃计数的统计信息 |
display arp detection statistics [ interface interface-type interface-number ] |
清除ARP Detection的统计信息 |
reset arp detection statistics [ interface interface-type interface-number ] |
· Switch A是DHCP服务器;
· Host A是DHCP客户端;用户Host B的IP地址是10.1.1.6,MAC地址是0001-0203-0607。
· Switch B是DHCP Snooping设备,在VLAN 10内启用ARP Detection功能,对DHCP客户端和用户进行用户合法性检查和报文有效性检查。
(1) 配置组网图中所有接口属于VLAN及Switch A对应VLAN接口的IP地址(略)
(2) 配置DHCP服务器Switch A
# 配置DHCP地址池0。
<SwitchA> system-view
[SwitchA] dhcp enable
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
(3) 配置DHCP客户端Host A和用户Host B(略)
(4) 配置设备Switch B
# 启用DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp snooping enable
[SwitchB] interface fortygige 1/0/3
[SwitchB-FortyGigE1/0/3] dhcp snooping trust
[SwitchB-FortyGigE1/0/3] quit
[SwitchB] interface fortygige 1/0/1
[SwitchB-FortyGigE1/0/1] dhcp snooping binding record
[SwitchB-FortyGigE1/0/1] quit
# 使能ARP Detection功能,对用户合法性进行检查。
[SwitchB] vlan 10
[SwitchB-vlan10] arp detection enable
# 接口状态缺省为非信任状态,上行接口配置为信任状态,下行接口按缺省配置。
[SwitchB-vlan10] interface fortygige 1/0/3
[SwitchB-FortyGigE1/0/3] arp detection trust
[SwitchB-FortyGigE1/0/3] quit
# 在接口FortyGigE1/0/2上配置IP Source Guard静态绑定表项。
[SwitchB] interface fortygige 1/0/2
[SwitchB-FortyGigE1/0/2] ip source binding ip-address 10.1.1.6 mac-address 0001-0203-0607 vlan 10
[SwitchB-FortyGigE1/0/2] quit
# 配置进行报文有效性检查。
[SwitchB] arp detection validate dst-mac ip src-mac
完成上述配置后,对于接口FortyGigE1/0/1和FortyGigE1/0/2收到的ARP报文,先进行报文有效性检查,然后基于IP Source Guard静态绑定表项、DHCP Snooping安全表项进行用户合法性检查。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!