- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-ARP防攻击特性典型配置举例
本章节下载: 06-ARP防攻击特性典型配置举例 (266.91 KB)
目 录
本文档介绍路由器ARP防攻击特性典型配置举例。
本文档适用于使用Comware V9软件版本的路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解ARP攻击防御特性。
如图1所示,局域网内的主机Host A通过网关Router连接到外网。现要求:
· Router通过ARP自动扫描功能建立局域网内主机Host A的动态ARP表项,然后通过ARP固化功能将动态ARP表项转换为静态ARP表项。
· 固化完成后,禁止网关学习动态ARP表项,新增主机Host B无法访问网关。
图1 ARP自动扫描和固化功能配置举例组网图
本举例是在MSR2630E-X1设备的R9141P16版本上进行配置和验证的。
# 配置接口的IP地址。
<Router> system-view
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.1.1.1 24
# 接口上启用ARP自动扫描功能(该命令只做执行,不生成配置文件)。
[Router-GigabitEthernet0/0/1] arp scan
This operation may take a long time to collect these ARP entries, and you can press CTRL_C to break. Please specify a right range. Continue? [Y/N]: y
Scanning ARP. Please wait...
Scanning is complete.
[Router-GigabitEthernet0/0/1]quit
# 当组网中仅有主机Host A时,启动扫描功能后,通过命令display arp查看网关路由器Router进行ARP扫描后学习到的ARP表项。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
10.1.1.2 0015-e943-7e6a -- -- -- D
# 使用ARP固化将动态ARP转换为静态ARP(该命令只做执行,不生成配置文件)。
[Router] arp fixup
This command will convert existing dynamic ARP entries to static ARP entries. Continue? [Y/N]:y
Fixup ARP. Please wait...
Fixup is complete.
# 启动固化功能后,通过命令display arp查看网关路由器Router进行ARP固化后ARP表项。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
10.1.1.2 0015-e943-7e6a -- -- -- S
# 配置禁止接口GigabitEthernet0/0/1学习动态ARP。
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] arp max-learning-num 0
[Router-GigabitEthernet0/0/1] quit
# 局域网中新增加主机Host B,查看ARP表项,没有Host B的ARP表项。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
10.1.1.2 0015-e943-7e6a -- -- -- S
# 在Host B上ping不通网关。
C:\> ping 10.1.1.1
Pinging 10.1.1.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.1.1.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
#
interface GigabitEthernet0/0/1
port link-mode route
ip address 10.1.1.1 255.255.255.0
arp max-learning-num 0
#
如图2所示,局域网中的主机Host A通过Router作为网关连接到外网。现要求:网关上启用ARP主动确认功能,防止攻击者使用仿冒ARP报文欺骗网关设备。
图2 ARP主动确认功能配置举例组网图
本举例是在MSR2630E-X1设备的R9141P16版本上进行配置和验证的。
# 配置接口的IP地址。
<Router> system-view
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.1.1.1 24
[Router-GigabitEthernet0/0/1] quit
# 配置ARP主动确认功能。
[Router] arp active-ack enable
# 查看网关的ARP表项显示有Host A对应的ARP表项。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
10.1.1.2 000f-e123-4568 -- GE0/0/1 20 D
# 打开ARP的报文调试信息开关。
<Router> terminal debugging
The current terminal is enabled to display debugging logs.
<Router> debugging arp packet
# 新增一台主机Host B仿冒Host A向网关发送伪造的ARP请求报文,其中ARP报文中的源MAC修改为0086-0005-0004。网关Router A收到该ARP报文后,发现该报文对应的ARP表项的刷新时间超过一分钟,启用ARP表项正确性检查,网关会发送一个单播ARP请求报文(报文的目的IP地址、目的MAC地址采用ARP表项中的的源IP地址、源MAC地址),如果在随后的5s内收到ARP应答报文,将对前期收到的ARP报文与此次收到的ARP应答报文进行比较(比较内容包括:源IP地址、源MAC地址)。在一定时间内收到的ARP应答报文:
*Jul 3 18:07:38:660 2013 Router ARP/7/ARP_RCV: Received an ARP message, operation: 1, sender MAC: 0086-0005-0004, sender IP: 10.1.1.2, target MAC: 0cda-41c7-057f, target IP: 10.1.1.1
*Jul 3 18:07:38:660 2013 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1, sender
MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 000f-e123-4568, target IP: 10.1.1.2
*Jul 3 18:07:38:660 2013 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 2, sender
MAC:0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0086-0005-0004, target IP: 10.1.1.2
*Jul 3 18:07:38:660 2013 Router ARP/7/ARP_RCV: Received an ARP message, operation: 2, sender MAC: 000f-e123-4568, sender IP: 10.1.1.2, target MAC: 0cda-41c7-057f, target IP: 10.1.1.1
# 后收到的ARP报文是Host A发送的,该报文与ARP表项中的IP地址、MAC地址一致,网关认为前期收到的ARP报文为攻击报文,通过命令display arp查看网关路由器的ARP表项不更新。
<Router> display arp
Type: S-Static D-Dynamic O-Openflow R-Rule I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
10.1.1.2 000f-e123-4568 -- GE0/0/1 20 D
#
interface GigabitEthernet0/0/1
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
arp active-ack enable
#
如图3所示,局域网内服务器和主机通过网关Router与外部网络通信。在网关上使能源MAC固定的ARP攻击检测功能,具体需求如下:
· 对普通PC,固定的时间(5秒)内收到源MAC地址固定的ARP报文超过30时,会打印Log信息并对来自PC的ARP报文进行过滤。
· 配置服务器Server的MAC为保护MAC,使服务器可以对网关发送大量ARP报文。
图3 源MAC固定的ARP攻击检测功能配置举例组网图
为了使路由器在检测到ARP攻击时能够打印告警信息,并将由攻击源发送的ARP报文过滤掉,需要在开启源MAC固定ARP攻击检测功能时同时选择过滤模式。
本举例是在MSR2630E-X1设备的R9141P16版本上进行配置和验证的。
# 使能源MAC固定ARP攻击检测功能,并选择过滤模式。
<Router> system-view
[Router] arp source-mac filter
# 配置源MAC固定ARP报文攻击检测阈值为30个。
[Router] arp source-mac threshold 30
# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。
[Router] arp source-mac aging-time 60
# 将0086-0005-0004配置为保护MAC。
[Router] arp source-mac exclude-mac 0086-0005-0004
# 配置接口IP地址。
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.1.1.1 24
[Router-GigabitEthernet0/0/1] quit
# 打开ARP的报文调试信息开关。
<Router> terminal debugging
The current terminal is enabled to display debugging logs.
<Router> debugging arp packet
# PC向网关设备Router发送ARP报文,发送频率为6个/秒,相当于5秒30个,设备上不打印log信息,未生成ARP防攻击检测表项。
<Router> display arp source-mac interface GigabitEthernet0/0/1
Source-MAC VLAN ID Interface Aging-time
# PC向网关设备Router发送ARP报文,发送频率为10个/秒,相当于5秒50个同时生成ARP防攻击检测表项。
<Router> display arp source-mac interface GigabitEthernet0/0/1
Source-MAC VLAN ID Interface Aging-time
0088-0008-0009 N/A GE0/0/1 48
# 此时设备上打印log信息如下。
*Jun 20 13:54:42:482 2013 Router ARP/7/ARP_RCV: Received an ARP message, opera
tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cda-41c7
-057f, target IP: 10.1.1.1
*Jun 20 13:54:42:482 2013 Router ARP/7/ARP_SEND: Sent an ARP message, operatio
n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000
9, target IP: 10.1.1.20
*Jun 20 13:54:42:582 2013 Router ARP/7/ARP_RCV: Received an ARP message, opera
tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cd
a-41c7-057f, target IP: 10.1.1.1
*Jun 20 13:54:42:582 2013 Router ARP/7/ARP_SEND: Sent an ARP message, operatio
n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000
9, target IP: 10.1.1.20
*Jun 20 13:54:42:682 2013 Router ARP/7/ARP_RCV: Received an ARP message, opera
tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cda-41c7
-057f, target IP: 10.1.1.1
*Jun 20 13:54:42:682 2013 Router ARP/7/ARP_SEND: Sent an ARP message, operatio
n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000
9, target IP: 10.1.1.20
# Server向网关设备Router发送ARP报文,发送频率为10个/秒,相当于5秒50个,设备上不打印log信息,未生成ARP防攻击检测表项。
<Router> display arp source-mac interface GigabitEthernet0/0/1
Source-MAC VLAN ID Interface Aging-time
#
interface GigabitEthernet0/0/1
port link-mode route
shutdown
ip address 10.1.1.1 255.255.255.0
#
arp source-mac filter
arp source-mac aging-time 60
arp source-mac exclude-mac 0086-0005-0004
#
如图4所示,某局域网内属于VLAN 10和VLAN 20的主机通过接入交换机连接到网关Router与外部网络通信。现要求:开启ARP源抑制功能,防止恶意用户使用同一源IP地址发送大量目标IP地址不能解析的IP报文来攻击设备。
图4 ARP源抑制功能配置举例组网图
本举例是在MSR2630E-X1设备的R9141P16版本上进行配置和验证的。
# 配置接口IP地址
<Router> system-view
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 20.1.1.1 24
[Router-GigabitEthernet0/0/1] quit
[Router] interface gigabitethernet 0/0/2
[Router-GigabitEthernet0/0/2] ip address 10.1.1.1 24
[Router-GigabitEthernet0/0/2] quit
# 使能ARP源抑制功能。
[Router] arp source-suppression enable
# 配置ARP源抑制的阈值为2。
[Router] arp source-suppression limit 2
# Host D向网关设备Router A发送目的IP为20.1.1.2的IP报文,20.1.1.2这个地址在该局域网中不存在,验证网关设备在使能ARP源抑制情况下对ARP报文的处理情况。
# 打开ARP的报文调试信息开关。
<Router> terminal debugging
The current terminal is enabled to display debugging logs.
<Router> debugging arp packet
*Jul 23 17:29:03:061 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:05:262 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:07:462 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:09:662 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:11:862 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:14:062 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
通过调试信息发现,网络中每5秒内从某IP地址向设备发送目的IP地址不能解析的IP报文超过了设置的阈值2时,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
#
interface GigabitEthernet0/0/1
port link-mode route
ip address 20.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
arp source-suppression enable
arp source-suppression limit 2
#
· 《H3C MSR1000[2600][3600]路由器 配置指导(V9)》中的“安全配置指导”
· 《H3C MSR1000[2600][3600]路由器 命令参考(V9)》中的“安全命令参考”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
