ARP安全 arp安全问题怎么解决

ARP安全ARP安全简介 ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络

3. 配置基于源MAC 地址的ARP 限速,防止User1 发送大量固定源IP 地址和固定MAC 地址的ARP 报文而造成ARP 泛洪攻击,并减少交换机CPU 进程的繁忙。

4、配置基于源IP地址的ARP限速,防止User3发送大量固定源IP地址的ARP报文造成ARP泛洪攻击,导致交换机CPU进程繁忙

1. 创建VLAN,将接口加入VLAN,并配置VLANIF接口。

创建VLAN10、VLAN20、VLAN30,并将接口GE1/0/1加入VLAN10,接口GE1/0/2加入VLAN20,接口GE1/0/3加入VLAN30。

系统视图

[HUAWEI]sysname开关

[交换机] VLAN批次10 20 30

[交换机] 接口千兆以太网1/0/1

[Switch-GigabitEthernet1/0/1]端口链路类型trunk

[Switch-GigabitEthernet1/0/1]端口Trunk允许路径VLAN 10

[交换机-GigabitEthernet1/0/1]结束

[交换机] 接口千兆以太网1/0/2

[Switch-GigabitEthernet1/0/2]端口链路类型trunk

[Switch-GigabitEthernet1/0/2]端口Trunk允许路径VLAN 20

[交换机-GigabitEthernet1/0/2]结束

[交换机] 接口千兆以太网1/0/3

[Switch-GigabitEthernet1/0/3]端口链路类型trunk

[Switch-GigabitEthernet1/0/3]端口Trunk允许路径VLAN 30

[交换机-GigabitEthernet1/0/3]结束

创建接口VLANIF10、VLANIF20、VLANIF30,配置各VLANIF接口的IP地址。

[交换机] 接口vlanif 10

[交换机-Vlanif10] IP 地址10.8.8.4 24

[Switch-Vlanif10] 结束

[交换机] 接口vlanif 20

[交换机-Vlanif20] IP 地址10.9.9.4 24

[Switch-Vlanif20] 结束

[交换机] 接口vlanif 30

[交换机-Vlanif30] IP 地址10.10.10.3 24

[Switch-Vlanif30] 结束

2、配置ARP,防止网关冲突

[Switch] arp anti-attack gateway-duplicate enable //设置ARP防网关冲突

3、配置基于源IP地址的ARP丢失报文限速

配置对Server(IP地址为10.10.10.2)的ARP Miss消息进行限速

允许交换机每秒处理最多40 个由IP 地址触发的ARP 丢失消息。

;对于其他用户,交换机每秒最多可以处理20 个由同一源IP 地址触发的ARP miss 消息。

[Switch] arp-missspeed-limitsource-ipmaximum20 //根据源IP地址设置ARP Miss消息限速

[Switch] arp-missspeed-limitsource-ip10.10.10.2maximum40 //根据源IP地址设置ARP

违反消息速率限制

4. 配置基于源MAC地址的ARP限速。

配置对用户User1(MAC地址为0001-0001-0001)进行ARP报文限速,每秒最多只允许10个该MAC地址的ARP报文通过 。

[转] ARP限速源- mac 0001-0001-0001 max 10

//根据源MAC地址设置ARP限速

5、配置基于源IP地址的ARP限速

配置对用户User3(IP地址为10.9.9.2)进行ARP报文限速,每秒最多只允许10个该IP地址的ARP报文通过 。

[Switch] arpspeed-limitsource-ip10.9.9.2maximum10 //根据源IP地址设置ARP限速

6.查看配置结果

执行命令display arp anti-attack configuration all ,查看当前ARP防攻击配置情况 。

[开关] 显示所有ARP防攻击设置

……

ARP防攻击表项检查方式:

弗拉尼夫模式

————————————————– ————————

全部禁用

————————————————– ————————

ARP速率限制设置:

————————————————– ————————

全局配置:

接口配置:

VLAN配置:

————————————————– ————————

ARP 未命中率限制设置:

————————————————– ————————

全局配置:

接口配置:

VLAN配置:

————————————————– ————————

源MAC配置的ARP速率限制:

MAC地址抑制率(pps)(rate=0表示关闭该功能)

————————————————– ————————

0001-0001-0001 10

其他0

————————————————– ————————

配置的指定MAC地址数量为1个,规格为1024个。

源IP配置的ARP限速:

IP地址抑制率(pps)(rate=0表示该功能关闭)

————————————————– ————————

10.9.9.2 10

其他30

————————————————– ————————

配置的指定IP地址数量为1个,规格为1024个。

源IP 配置的ARP 未命中率限制:

IP地址抑制率(pps)(rate=0表示该功能关闭)

————————————————– ————————

10.10.10.2/32 40

其他20

————————————————– ————————

配置的指定IP地址数量为1个,规格为1024个。

执行命令display arp packet statistics ,查看ARP处理的报文统计数据 。

[开关] 显示ARP报文统计信息

接收ARP报文数: 总计8678904

收到的ARP 未命中消息数: 总计183

ARP学习数: 共37

ARP报文丢弃(Limit:共146个)

SpeedLimit: ARP 数据包丢弃总数40529

代理ARP报文丢弃抑制: 总计0

其他丢弃的ARP 数据包: 总计8367601

SpeedLimit: ARP miss 报文丢弃总数20

Other: 的ARP-Miss 消息丢弃总数104

从显示信息中可以看到设备正在丢弃ARP报文和ARP Miss消息,说明ARP安全功能已开启。

设置文件

#切换配置文件

系统名称切换

VLAN批次10 20 30

arp-miss 速率限制源IP 10.10.10.2 最大40

arp 速率限制源ip 10.9.9.2 最大10

arp 速率限制源- mac 0001-0001-0001 最大10

arp防攻击网关复制使能

arp-miss 速率限制源IP 最大20

接口Vlanif10

IP地址10.8.8.4 255.255.255.0

接口Vlanif20

IP地址10.9.9.4 255.255.255.0

接口Vlanif30

IP地址10.10.10.3 255.255.255.0

接口千兆以太网1/0/1

端口链路类型中继

端口trunk 允许路径VLAN 10

接口千兆以太网1/0/2

端口链路类型中继

端口中继允许路径VLAN 20

接口千兆以太网1/0/3

端口链路类型中继

端口中继允许路径VLAN 30

返回

动态ARP检测概述

ARP(地址解析)

协议)安全是针对ARP 攻击的安全功能,通过对ARP 表学习和ARP 数据包处理的一组限制和检查来确保网络设备的安全。 ARP安全特性可以防止针对ARP协议的攻击,也可以防止基于ARP协议的攻击,如网段扫描攻击等。

网络中ARP攻击不断发生,中间人攻击是一种常见的ARP欺骗攻击技术。通过中间人攻击窃取合法用户的数据。

为了防止中间人攻击,您可以在设备上部署动态ARP 检查(DAI) 功能。

动态ARP 检测使用绑定表来防止中间人攻击。设备收到ARP报文后,会将ARP报文对应的源IP、源MAC、VLAN、接口信息与绑定表中的信息进行比较。如果信息匹配,则发送ARP报文的用户是合法的。如果不允许该用户的ARP 报文通过,则视为攻击,该ARP 报文将被丢弃。

注意:设备开启DHCP Snooping功能后,当DHCP用户上线时,设备会自动生成DHCP。

窥探绑定表。对于静态配置IP地址的用户,设备不会生成DHCP Snooping绑定表,需要手动添加静态绑定表。

防止ARP中间人攻击配置举例

网络要求

SwitchA通过接口GE2/0/1连接DHCP,如图3-247所示。

服务器通过GE1/0/1和GE1/0/2接口连接DHCP客户端UserA和UserB,通过GE1/0/3接口连接静态配置IP地址的用户UserC。 SwitchA上的接口GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1均属于VLAN10。管理员希望防止ARP中间人攻击,防止合法用户的数据被中间人窃取。我们还想了解当前ARP 中间人攻击的频率和范围。

作文思路

使用以下方法配置SwitchA:

1. 配置DHCP Snooping功能并配置静态绑定表。

2. 使能动态ARP 检测功能后,SwitchA 对接收到的ARP 报文进行源IP、源MAC、VLAN 和接口信息绑定表的匹配,防止ARP 中间人攻击。

1. 创建VLAN,并将接口加入VLAN。

创建VLAN10,并将接口GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1加入VLAN10中。

系统视图

[华为] 系统名SwitchA

[SwitchA] VLAN批次10

[SwitchA]千兆以太网接口1/0/1

[SwitchA-GigabitEthernet1/0/1]端口链路类型接入

[SwitchA-GigabitEthernet1/0/1]端口默认VLAN 10

[SwitchA-GigabitEthernet1/0/1]结束

[SwitchA] 接口千兆以太网1/0/2

[SwitchA-GigabitEthernet1/0/2]端口链路类型接入

[SwitchA-GigabitEthernet1/0/2]端口默认VLAN 10

[SwitchA-GigabitEthernet1/0/2]结束

[SwitchA] 接口千兆以太网1/0/3

[SwitchA-GigabitEthernet1/0/3]端口链路类型接入

[SwitchA-GigabitEthernet1/0/3]端口默认VLAN 10

[SwitchA-GigabitEthernet1/0/3]结束

[SwitchA]千兆以太网接口2/0/1

[SwitchA-GigabitEthernet2/0/1]端口链路类型trunk

[SwitchA-GigabitEthernet2/0/1]端口Trunk允许路径VLAN 10

【SwitchA-GigabitEthernet2/0/1】完成

2. 设置DHCP Snooping功能

全局使能 DHCP Snooping功能。

[SwitchA] 启用dhcp

[SwitchA] 使能dhcp snooping

在VLAN10内使能 DHCP Snooping功能。

[交换机A] VLAN 10

[SwitchA-vlan10]启用dhcp监听

[SwitchA-vlan10]结束

配置接口GE2/0/1为DHCP Snooping信任接口。

[SwitchA]千兆以太网接口2/0/1

[SwitchA-GigabitEthernet2/0/1] dhcp侦听信任

【SwitchA-GigabitEthernet2/0/1】完成

配置静态绑定表。

[SwitchA]用户绑定静态IP地址10.0.0.2 MAC地址00e0-fc12-3456

接口千兆以太网1/0/3 VLAN 10

3.启用动态ARP检测功能

在接口GE1/0/1、GE1/0/2 和GE1/0/3 上启用动态ARP 发现。以GE1/0/1为例,GE1/0/2和GE1/0/3的配置与GE1/0/1接口的配置类似,不再赘述。

[SwitchA]千兆以太网接口1/0/1

[SwitchA-GigabitEthernet1/0/1]arp防攻击检查使能用户绑定

//启用动态ARP检测功能(即检查ARP报文绑定表匹配的能力)

[SwitchA-GigabitEthernet1/0/1]结束

4.查看配置结果

执行命令display arp anti-attack configuration check user-bind

在接口上以GE1/0/1为例,验证各接口的动态ARP发现配置信息。

[SwitchA] 查看用户绑定接口查看arp防攻击配置

千兆位以太网1/0/1

arp防攻击检查启用用户绑定

执行命令display arp anti-attack statistics check user-bind

在接口上以GE1/0/1为例,查看各接口动态ARP发现丢弃的ARP报文数。

[SwitchA]显示arp攻击防护统计信息,查看用户绑定接口

千兆位以太网1/0/1

丢弃的ARP 数据包数量为966

自最新警告为605 以来,已丢弃的ARP 数据包数量

从显示信息可以看出,接口GE1/0/1出现大量ARP丢包,且ARP中间人防护功能已开启。

当每个接口上多次执行display arp anti-attack stats check user-bind命令时,

管理员可以根据显示信息中“Dropped ARP Packet Number”字段值的变化来判断ARP中间人攻击的频率和范围。

设置文件

# SwitchA配置文件

系统名称SwitchA

VLAN批次10

启用DHCP

启用dhcp 监听

用户绑定静态IP地址10.0.0.2 MAC地址00e0-fc12-3456接口

千兆以太网1/0/3 VLAN 10

VLAN 10

启用dhcp 监听

接口千兆以太网1/0/1

端口链路类型接入

端口默认VLAN 10

arp防攻击检查启用用户绑定

接口千兆以太网1/0/2

端口链路类型接入

端口默认VLAN 10

arp防攻击检查启用用户绑定

接口千兆以太网1/0/3

端口链路类型接入

端口默认VLAN 10

arp防攻击检查启用用户绑定

接口千兆以太网2/0/1

端口链路类型中继

端口trunk 允许路径VLAN 10

dhcp 监听是可靠的

返回

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

第二阶段:Web渗透(初级网安工程师)

第三阶段:进阶部分(中级网络安全工程师)

如果您有兴趣开始网络安全,请点击此处。网络安全的主要优势:我们免费提供完整的入门级和高级共享的282G学习资源包。

学习资源分享

以上#ARP安全相关内容来源仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91720.html

(0)
CSDN's avatarCSDN
上一篇 2024年6月23日 上午10:01
下一篇 2024年6月23日 上午10:19

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注