各位老铁们好,相信很多人对《网络工程师》ARP攻击与防范都不是特别的了解,因此呢,今天就来为大家分享下关于《网络工程师》ARP攻击与防范以及的问题知识,还望可以帮助大家,解决大家的一些困惑,下面一起来看看吧!
1.ARP报文限速
如果设备收到的大量ARP报文全部处理,可能会导致CPU过载,无法处理其他业务。因此,设备在处理之前,需要对ARP报文进行限速,以保护CPU资源。
@允许基于源MAC地址或源IP地址的ARP报文限速:当设备检测到用户在短时间内发送大量ARP报文时,可以配置基于源MAC地址或源IP地址的ARP报文用户的IP 地址。文字速度限制。 1秒内,如果该用户的ARP报文数量超过设定的阈值(ARP报文限速),超过阈值的ARP报文将被丢弃。
@全局和接口ARP报文限速:设备支持配置全局和接口的ARP报文限速值和限速时间。当全局和接口同时配置ARP报文限速值和限速时,设备会先基于接口进行限速,然后再进行全局限速。
2. ARP Miss消息速率限制
如果网络中的用户向设备发送大量目的IP地址无法解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由项,但设备没有没有下一跳对应的路由表项(ARP表项),会导致设备触发大量的ARP Miss消息。触发ARP Miss消息的IP报文(即ARP Miss报文)将被发送到主控板进行处理。设备会根据ARP Miss消息生成并下发大量临时ARP表项,并向目的网络发送大量ARP请求。增加了设备CPU的负担,严重消耗了目的网络的带宽资源。
3、严格学习ARP表项
严格学习ARP表项是指只有设备主动发送的ARP请求报文的响应报文才能触发设备学习ARP。其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这样就可以拒绝了。大多数ARP 消息攻击。
正常情况下,当UserA向Gateway发送ARP请求报文时,Gateway会向UserA回复ARP应答报文,并添加或更新UserA对应的ARP表项。网关配置ARP表项严格学习功能后:
当Gateway收到UserA发送的ARP请求报文时,Gateway不会添加或更新UserA对应的ARP表项。如果请求消息请求网关的MAC地址,则网关将向UserA响应ARP应答消息。
如果Gateway 向UserB 发送ARP 请求报文,则Gateway 收到该请求对应的ARP 回复报文后,会添加或更新UserB 对应的ARP 表项。
4、动态ARP监控(DAI)
绑定表用于防御中间人攻击。设备收到ARP报文后,会将ARP报文对应的源IP、源MAC、VLAN、接口信息与绑定表中的信息进行比较。如果信息匹配,则发送ARP报文的用户是合法用户。允许该用户的ARP包通过,否则视为攻击,丢弃该ARP包。
5.ARP表项固化功能
网关设备第一次学习到ARP后,不再允许用户更新ARP表项或只允许部分更新ARP表项,或者发送单播ARP请求报文更新ARP表项。确认文件的合法性。
6、ARP防止网关冲突
攻击者B将伪造网关的ARP报文发送给用户A,导致用户A误认为攻击者就是网关。用户A的ARP表会记录错误的网关地址映射关系,导致用户A与网关之间的正常数据通信中断。如图所示:
7.发送免费ARP报文
攻击者欺骗网关,向用户发送伪造的ARP报文,导致用户的ARP表中记录了错误的网关地址映射关系,导致网关无法接收正常数据。为了避免上述危害,可以在网关设备上部署发送免费ARP报文的功能,定期更新用户的ARP表项,使用户的ARP表项中记录正确的网关MAC地址。
我从7个方面讲解了ARP安全原理,接下来我会讲一下ARP攻击以及如何防范。
ARP攻击主要包括ARP泛洪攻击和ARP欺骗攻击;
ARP泛洪攻击主要是攻击者发送大量ARP报文,导致ARP表项溢出和ARP Miss。
如何防止ARP表项溢出?
a) 网关设备配置ARP表项严格学习功能
配置1:arp限速源ip/mac最大[全局]
b) 配置接口限制学习到的ARP数量
配置2:arp防攻击限速使能[接口]
arp 抗攻击速率限制[数据包数量] [间隔值]
如果出现ARP Miss,我们该如何预防呢?
攻击者向设备发送大量无法解析的目的IP地址,并配置未命中报文速率限制(全局和源地址)
配置一:[huawei]arp-miss speed-limit source-ip
配置2:[huawei]arp-miss防攻击限速使能
[huawei] arp-miss防攻击限速包数[ 间隔值]
ARP欺骗攻击主要包括中间人攻击、假冒网关攻击、欺骗网关攻击等。
中间人攻击:冒充用户,向用户发送ARP报文
配置动态arp检测:arp anti-attack check user-bind enable [接口或vlan视图下]
假网关攻击:假网关向用户发送ARP数据包
配置防网关冲突:arp anti-attack gateway-duplicate enable [global]
配置发送免费arp:arp gratuitous-arp send enable [vlanif接口下]
欺骗网关攻击:冒充用户向网关发送ARP包
原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/187400.html
用户评论
雨后彩虹
我也是个网络工程师,感觉这篇博客写的真是太到位了!ARP攻击确实让人头疼,幸好作者详细地介绍了它的原理和防护措施,让我能更好地理解和应对这种威胁。
有8位网友表示赞同!
|赤;焰﹏゛
ARP攻击真的防不胜防啊!之前公司就遇到过这种情况,导致整个网段瘫痪,当时处理起来真是心累 morire。还好有这篇文章回顾一下原理,以后遇到类似问题可以更有针对性地解决。
有19位网友表示赞同!
麝香味
作为一名网络安全爱好者,我对ARP攻击一直很关注。作者的文章讲解得非常清晰,而且提供了很多实用的防范技巧,真的受益匪浅!
有18位网友表示赞同!
怀念·最初
对于新手来说,这篇博客的解释还是比较详细的,但我觉得可以再多讲一些常见的ARP攻击工具和针对不同类型的攻击所采取的防御方案,这样会更有帮助。
有5位网友表示赞同!
入骨相思
arp攻击太 insidious 了,很多时候很难察觉到它。这篇文章让我更加重视网络安全的建设,应该定期对网络设备进行检查和更新,才能更好地预防这类攻击。
有12位网友表示赞同!
开心的笨小孩
我觉得文章里提到的防火墙跟入侵检测系统这些安全措施,对于预防ARP攻击效果有限啊。还需要结合其他防护手段,比如端口号策略和MAC地址过滤等等,才能有效地阻挡ARP攻击。
有5位网友表示赞同!
龙吟凤
我之前没听说过ARP poisoning这种攻击手法,听了这篇文章才知道原来网络世界还有这么个套路!虽然文章讲解得很详细,但我还是觉得需要多练习才能真正理解和防范这些攻击。
有14位网友表示赞同!
残花为谁悲丶
作者总结得非常好,确实要注重每一项网络安全措施的实施,才能形成完整的防御体系,抵御ARP攻击和其他各种恶意行为。真希望所有公司都能重视网络安全啊!
有13位网友表示赞同!
温柔腔
这篇文章把ARP攻击原理和防范策略都介绍得比较全面了,很值得一读。不过对于一些具体的操作步骤,可以再详细一点,有助于读者更好地理解和实践。
有7位网友表示赞同!
一笑傾城゛
我认为防火墙配置很重要,应该将MAC地址过滤设置为开启状态,以减少ARP欺骗的发生概率,同时定期扫描网络设备存在的漏洞,及时更新防护措施。
有13位网友表示赞同!
凝残月
对于一些中小企业来说,可能负担不起专业的网络安全系统,那么在日常维护中更加关注端口号控制、使用安全的密码策略等,也能起到一定的保障作用。 建议可以分享更多针对小型企业的防范方法!
有16位网友表示赞同!
鹿先森,教魔方
这篇文章的重点在于让读者明确ARP攻击的存在和危险性,并学习一些基础的应对技巧,我认为非常有用。如果能结合一些案例分析,会更加生动形象。
有7位网友表示赞同!
你身上有刺,别扎我
我公司之前就遭遇过arp攻击,导致业务中断相当长时间,最后才发现是网络工程师疏忽责任造成的。提醒所有企业,加强网络安全意识,定期进行风险评估和漏洞扫描很关键!
有6位网友表示赞同!
有恃无恐
我觉得作者提到的ARP攻击工具部分还需要更详细的介绍,哪些工具更容易造成危害,哪些工具防护起来比较困难,这些细节信息对读者理解ARP攻击更为全面。
有15位网友表示赞同!
龙卷风卷走爱情
对于网络工程师来说,需要不断学习新技术和掌握安全知识。这篇文章可以作为学习ARP攻击的一点启示,后续可以再深入研究相关的防御策略和应急方案,做好万全准备!
有14位网友表示赞同!
風景綫つ
网络安全是一个不断发展变化的领域,需要我们时刻保持警惕和进步意识。感谢作者分享这篇文章,让我们对ARP攻击有了更深入的了解。
有12位网友表示赞同!
哭着哭着就萌了°
作为一名学生对网络安全的关注越来越高,这篇博客让我对AR攻击有了更清晰的理解,也更加意识到自己未来学习的方向。
有11位网友表示赞同!