3. 配置基于源MAC 地址的ARP 限速,防止User1 发送大量固定源IP 地址和固定MAC 地址的ARP 报文而造成ARP 泛洪攻击,并减少交换机CPU 进程的繁忙。
4、配置基于源IP地址的ARP限速,防止User3发送大量固定源IP地址的ARP报文造成ARP泛洪攻击,导致交换机CPU进程繁忙
步
1. 创建VLAN,将接口加入VLAN,并配置VLANIF接口。
创建VLAN10、VLAN20、VLAN30,并将接口GE1/0/1加入VLAN10,接口GE1/0/2加入VLAN20,接口GE1/0/3加入VLAN30。
系统视图
[HUAWEI]sysname开关
[交换机] VLAN批次10 20 30
[交换机] 接口千兆以太网1/0/1
[Switch-GigabitEthernet1/0/1]端口链路类型trunk
[Switch-GigabitEthernet1/0/1]端口Trunk允许路径VLAN 10
[交换机-GigabitEthernet1/0/1]结束
[交换机] 接口千兆以太网1/0/2
[Switch-GigabitEthernet1/0/2]端口链路类型trunk
[Switch-GigabitEthernet1/0/2]端口Trunk允许路径VLAN 20
[交换机-GigabitEthernet1/0/2]结束
[交换机] 接口千兆以太网1/0/3
[Switch-GigabitEthernet1/0/3]端口链路类型trunk
[Switch-GigabitEthernet1/0/3]端口Trunk允许路径VLAN 30
[交换机-GigabitEthernet1/0/3]结束
创建接口VLANIF10、VLANIF20、VLANIF30,配置各VLANIF接口的IP地址。
[交换机] 接口vlanif 10
[交换机-Vlanif10] IP 地址10.8.8.4 24
[Switch-Vlanif10] 结束
[交换机] 接口vlanif 20
[交换机-Vlanif20] IP 地址10.9.9.4 24
[Switch-Vlanif20] 结束
[交换机] 接口vlanif 30
[交换机-Vlanif30] IP 地址10.10.10.3 24
[Switch-Vlanif30] 结束
2、配置ARP,防止网关冲突
[Switch] arp anti-attack gateway-duplicate enable //设置ARP防网关冲突
3、配置基于源IP地址的ARP丢失报文限速
配置对Server(IP地址为10.10.10.2)的ARP Miss消息进行限速
允许交换机每秒处理最多40 个由IP 地址触发的ARP 丢失消息。
;对于其他用户,交换机每秒最多可以处理20 个由同一源IP 地址触发的ARP miss 消息。
[Switch] arp-missspeed-limitsource-ipmaximum20 //根据源IP地址设置ARP Miss消息限速
[Switch] arp-missspeed-limitsource-ip10.10.10.2maximum40 //根据源IP地址设置ARP
违反消息速率限制
4. 配置基于源MAC地址的ARP限速。
配置对用户User1(MAC地址为0001-0001-0001)进行ARP报文限速,每秒最多只允许10个该MAC地址的ARP报文通过 。
[转] ARP限速源- mac 0001-0001-0001 max 10
//根据源MAC地址设置ARP限速
5、配置基于源IP地址的ARP限速
配置对用户User3(IP地址为10.9.9.2)进行ARP报文限速,每秒最多只允许10个该IP地址的ARP报文通过 。
[Switch] arpspeed-limitsource-ip10.9.9.2maximum10 //根据源IP地址设置ARP限速
6.查看配置结果
执行命令display arp anti-attack configuration all ,查看当前ARP防攻击配置情况 。
[开关] 显示所有ARP防攻击设置
……
ARP防攻击表项检查方式:
弗拉尼夫模式
————————————————– ————————
全部禁用
————————————————– ————————
ARP速率限制设置:
————————————————– ————————
全局配置:
接口配置:
VLAN配置:
————————————————– ————————
ARP 未命中率限制设置:
————————————————– ————————
全局配置:
接口配置:
VLAN配置:
————————————————– ————————
源MAC配置的ARP速率限制:
MAC地址抑制率(pps)(rate=0表示关闭该功能)
————————————————– ————————
0001-0001-0001 10
其他0
————————————————– ————————
配置的指定MAC地址数量为1个,规格为1024个。
源IP配置的ARP限速:
IP地址抑制率(pps)(rate=0表示该功能关闭)
————————————————– ————————
10.9.9.2 10
其他30
————————————————– ————————
配置的指定IP地址数量为1个,规格为1024个。
源IP 配置的ARP 未命中率限制:
IP地址抑制率(pps)(rate=0表示该功能关闭)
————————————————– ————————
10.10.10.2/32 40
其他20
————————————————– ————————
配置的指定IP地址数量为1个,规格为1024个。
执行命令display arp packet statistics ,查看ARP处理的报文统计数据 。
[开关] 显示ARP报文统计信息
接收ARP报文数: 总计8678904
收到的ARP 未命中消息数: 总计183
ARP学习数: 共37
ARP报文丢弃(Limit:共146个)
SpeedLimit: ARP 数据包丢弃总数40529
代理ARP报文丢弃抑制: 总计0
其他丢弃的ARP 数据包: 总计8367601
SpeedLimit: ARP miss 报文丢弃总数20
Other: 的ARP-Miss 消息丢弃总数104
从显示信息中可以看到设备正在丢弃ARP报文和ARP Miss消息,说明ARP安全功能已开启。
设置文件
#切换配置文件
系统名称切换
VLAN批次10 20 30
arp-miss 速率限制源IP 10.10.10.2 最大40
arp 速率限制源ip 10.9.9.2 最大10
arp 速率限制源- mac 0001-0001-0001 最大10
arp防攻击网关复制使能
arp-miss 速率限制源IP 最大20
接口Vlanif10
IP地址10.8.8.4 255.255.255.0
接口Vlanif20
IP地址10.9.9.4 255.255.255.0
接口Vlanif30
IP地址10.10.10.3 255.255.255.0
接口千兆以太网1/0/1
端口链路类型中继
端口trunk 允许路径VLAN 10
接口千兆以太网1/0/2
端口链路类型中继
端口中继允许路径VLAN 20
接口千兆以太网1/0/3
端口链路类型中继
端口中继允许路径VLAN 30
返回
动态ARP检测概述
ARP(地址解析)
协议)安全是针对ARP 攻击的安全功能,通过对ARP 表学习和ARP 数据包处理的一组限制和检查来确保网络设备的安全。 ARP安全特性可以防止针对ARP协议的攻击,也可以防止基于ARP协议的攻击,如网段扫描攻击等。
网络中ARP攻击不断发生,中间人攻击是一种常见的ARP欺骗攻击技术。通过中间人攻击窃取合法用户的数据。
为了防止中间人攻击,您可以在设备上部署动态ARP 检查(DAI) 功能。
动态ARP 检测使用绑定表来防止中间人攻击。设备收到ARP报文后,会将ARP报文对应的源IP、源MAC、VLAN、接口信息与绑定表中的信息进行比较。如果信息匹配,则发送ARP报文的用户是合法的。如果不允许该用户的ARP 报文通过,则视为攻击,该ARP 报文将被丢弃。
注意:设备开启DHCP Snooping功能后,当DHCP用户上线时,设备会自动生成DHCP。
窥探绑定表。对于静态配置IP地址的用户,设备不会生成DHCP Snooping绑定表,需要手动添加静态绑定表。
防止ARP中间人攻击配置举例
网络要求
SwitchA通过接口GE2/0/1连接DHCP,如图3-247所示。
服务器通过GE1/0/1和GE1/0/2接口连接DHCP客户端UserA和UserB,通过GE1/0/3接口连接静态配置IP地址的用户UserC。 SwitchA上的接口GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1均属于VLAN10。管理员希望防止ARP中间人攻击,防止合法用户的数据被中间人窃取。我们还想了解当前ARP 中间人攻击的频率和范围。
作文思路
使用以下方法配置SwitchA:
1. 配置DHCP Snooping功能并配置静态绑定表。
2. 使能动态ARP 检测功能后,SwitchA 对接收到的ARP 报文进行源IP、源MAC、VLAN 和接口信息绑定表的匹配,防止ARP 中间人攻击。
步
1. 创建VLAN,并将接口加入VLAN。
创建VLAN10,并将接口GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1加入VLAN10中。
系统视图
[华为] 系统名SwitchA
[SwitchA] VLAN批次10
[SwitchA]千兆以太网接口1/0/1
[SwitchA-GigabitEthernet1/0/1]端口链路类型接入
[SwitchA-GigabitEthernet1/0/1]端口默认VLAN 10
[SwitchA-GigabitEthernet1/0/1]结束
[SwitchA] 接口千兆以太网1/0/2
[SwitchA-GigabitEthernet1/0/2]端口链路类型接入
[SwitchA-GigabitEthernet1/0/2]端口默认VLAN 10
[SwitchA-GigabitEthernet1/0/2]结束
[SwitchA] 接口千兆以太网1/0/3
[SwitchA-GigabitEthernet1/0/3]端口链路类型接入
[SwitchA-GigabitEthernet1/0/3]端口默认VLAN 10
[SwitchA-GigabitEthernet1/0/3]结束
[SwitchA]千兆以太网接口2/0/1
[SwitchA-GigabitEthernet2/0/1]端口链路类型trunk
[SwitchA-GigabitEthernet2/0/1]端口Trunk允许路径VLAN 10
【SwitchA-GigabitEthernet2/0/1】完成
2. 设置DHCP Snooping功能
全局使能 DHCP Snooping功能。
[SwitchA] 启用dhcp
[SwitchA] 使能dhcp snooping
在VLAN10内使能 DHCP Snooping功能。
[交换机A] VLAN 10
[SwitchA-vlan10]启用dhcp监听
[SwitchA-vlan10]结束
配置接口GE2/0/1为DHCP Snooping信任接口。
[SwitchA]千兆以太网接口2/0/1
[SwitchA-GigabitEthernet2/0/1] dhcp侦听信任
【SwitchA-GigabitEthernet2/0/1】完成
配置静态绑定表。
[SwitchA]用户绑定静态IP地址10.0.0.2 MAC地址00e0-fc12-3456
接口千兆以太网1/0/3 VLAN 10
3.启用动态ARP检测功能
在接口GE1/0/1、GE1/0/2 和GE1/0/3 上启用动态ARP 发现。以GE1/0/1为例,GE1/0/2和GE1/0/3的配置与GE1/0/1接口的配置类似,不再赘述。
[SwitchA]千兆以太网接口1/0/1
[SwitchA-GigabitEthernet1/0/1]arp防攻击检查使能用户绑定
//启用动态ARP检测功能(即检查ARP报文绑定表匹配的能力)
[SwitchA-GigabitEthernet1/0/1]结束
4.查看配置结果
执行命令display arp anti-attack configuration check user-bind
在接口上以GE1/0/1为例,验证各接口的动态ARP发现配置信息。
[SwitchA] 查看用户绑定接口查看arp防攻击配置
千兆位以太网1/0/1
arp防攻击检查启用用户绑定
执行命令display arp anti-attack statistics check user-bind
在接口上以GE1/0/1为例,查看各接口动态ARP发现丢弃的ARP报文数。
[SwitchA]显示arp攻击防护统计信息,查看用户绑定接口
千兆位以太网1/0/1
丢弃的ARP 数据包数量为966
自最新警告为605 以来,已丢弃的ARP 数据包数量
从显示信息可以看出,接口GE1/0/1出现大量ARP丢包,且ARP中间人防护功能已开启。
当每个接口上多次执行display arp anti-attack stats check user-bind命令时,
管理员可以根据显示信息中“Dropped ARP Packet Number”字段值的变化来判断ARP中间人攻击的频率和范围。
设置文件
# SwitchA配置文件
系统名称SwitchA
VLAN批次10
启用DHCP
启用dhcp 监听
用户绑定静态IP地址10.0.0.2 MAC地址00e0-fc12-3456接口
千兆以太网1/0/3 VLAN 10
VLAN 10
启用dhcp 监听
接口千兆以太网1/0/1
端口链路类型接入
端口默认VLAN 10
arp防攻击检查启用用户绑定
接口千兆以太网1/0/2
端口链路类型接入
端口默认VLAN 10
arp防攻击检查启用用户绑定
接口千兆以太网1/0/3
端口链路类型接入
端口默认VLAN 10
arp防攻击检查启用用户绑定
接口千兆以太网2/0/1
端口链路类型中继
端口trunk 允许路径VLAN 10
dhcp 监听是可靠的
返回
网络安全工程师(白帽子)企业级学习路线
第一阶段:安全基础(入门)
第二阶段:Web渗透(初级网安工程师)
第三阶段:进阶部分(中级网络安全工程师)
如果您有兴趣开始网络安全,请点击此处。网络安全的主要优势:我们免费提供完整的入门级和高级共享的282G学习资源包。
学习资源分享
以上#ARP安全相关内容来源仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91720.html
