華為交換機防ARP攻擊配置手冊

1、  ARP防攻擊配置下表列出了本章所包含的內(nèi)容。如果您需要請閱讀了解ARP地址欺騙防攻擊的原理和配置ARP地址欺騙防攻擊了解ARP網(wǎng)關沖突防攻擊的原理和配置ARP網(wǎng)關沖突防攻擊配置了解ARP報文防攻擊的原理和配置ARP報文防攻擊配置了解ARP協(xié)議防攻擊綜合配置舉例ARP防攻擊配置舉例 3.1  ARP地址欺騙防攻擊  ARP地址欺騙防攻擊簡介ARP協(xié)議缺少安全保障機制，維護起來耗費人力，且極易受到攻擊。l            

2、0; 對于靜態(tài)配置IP地址的網(wǎng)絡，目前只能通過配置靜態(tài)ARP方式防止ARP表項被非法修改，但是配置繁瑣，需要花費大量人力去維護，極不方便；l              對于動態(tài)配置IP地址的網(wǎng)絡，攻擊者通過偽造其他用戶發(fā)出的ARP報文，篡改網(wǎng)關設備上的用戶ARP表項，可以造成其他合法用戶的網(wǎng)絡中斷。圖3-1 ARP地址欺騙攻擊示意圖如圖3-1所示，A為合法用戶，通過交換機G與外界通訊：攻擊者B通過偽造A的ARP報文，使得G設備上A的ARP表項中的相應信息被修改，導致

3、A與G的通訊失敗。對于動態(tài)ARP地址欺騙攻擊方式，S9500系列交換機可通過以下方法進行防御。1. 固定MAC地址對于動態(tài)ARP的配置方式，交換機第一次學習到ARP表項之后就不再允許通過ARP學習對MAC地址進行修改，直到此ARP表項老化之后才允許此ARP表項更新MAC地址，以此來確保合法用戶的ARP表項不被修改。固定MAC有兩種方式：Fixed-mac和Fixed-all。l              Fixed-mac方式；不允許通過ARP學習對MAC地址進行修

4、改，但允許對VLAN和端口信息進行修改。這種方式適用于靜態(tài)配置IP地址，但網(wǎng)絡存在冗余鏈路的情況。當鏈路切換時，ARP表項中的端口信息可以快速改變。l              Fixed-all方式；對動態(tài)ARP和已解析的短靜態(tài)ARP、MAC、VLAN和端口信息均不允許修改。 這種方式適用于靜態(tài)配置IP地址、網(wǎng)絡沒有冗余鏈路、同一IP地址用戶不會從不同端口接入交換機的情況。2. 主動確認（Send-ack）交換機收到一個涉及MAC地址修改的ARP報文時，不會立即修

5、改原ARP表項，而是先對原ARP表中與此MAC地址對應的對應用戶發(fā)一個單播確認：l              如果在一定時間內(nèi)收到原用戶的應答報文，說明原用戶仍存在，則在后續(xù)一分鐘時間內(nèi)不允許對此ARP表項進行MAC地址修改；同樣，ARP表項在新生成一分鐘時間內(nèi)，也不允許修改此ARP表項中的MAC地址；l              如果一

6、定時間內(nèi)沒有收到原用戶的應答報文，則對新用戶發(fā)起一個單播請求報文，收到新用戶的應答報文之后才修改ARP表項，使新用戶成為合法用戶。主動確認方式可以適應動態(tài)分配IP地址、有冗余鏈路的網(wǎng)絡。  ARP地址欺騙防攻擊配置表3-1 ARP地址欺騙防攻擊配置操作命令說明進入系統(tǒng)視圖system-view-配置ARP地址欺騙防攻擊arp entry-check fixed-mac | fixed-all | send-ack 必選缺省情況下，ARP地址欺騙防攻擊功能關閉顯示ARP地址欺騙防攻擊配置信息display arp entry-checkdisplay命令可以在任意視圖下執(zhí)行 

7、3.2  ARP網(wǎng)關沖突防攻擊配置  ARP網(wǎng)關沖突防攻擊簡介圖3-2 ARP網(wǎng)關沖突攻擊示意圖ARP網(wǎng)關沖突攻擊，指攻擊者仿冒網(wǎng)關地址，在局域網(wǎng)內(nèi)部發(fā)送源IP地址是網(wǎng)關地址的免費ARP報文。局域網(wǎng)內(nèi)部的主機接收到該報文后，會修改自己原來的網(wǎng)關地址為攻擊者的地址，最終導致局域網(wǎng)內(nèi)部所有主機無法訪問網(wǎng)絡。為解決此問題，S9500交換機引入了ARP網(wǎng)關沖突防攻擊的功能。S9500交換機收到到與網(wǎng)關地址沖突的ARP報文時，如果存在下列情況之一：l           &#

8、160;  ARP報文的源IP與報文入接口的IP地址相同；l              ARP報文的源IP是NAT地址池的地址或內(nèi)部服務器的地址；l              VRRP虛MAC方式時，ARP報文的源IP是入接口的虛擬IP地址，但ARP報文源MAC不是VRRP虛MAC。 則系統(tǒng)生成ARP防攻擊表項，在后續(xù)一段時間內(nèi)

9、對收到具有相同以太網(wǎng)頭部源MAC地址的報文直接丟棄，這樣可以防止與網(wǎng)關地址沖突的ARP報文在VLAN內(nèi)的廣播轉發(fā)。  ARP網(wǎng)關沖突防攻擊配置  注意：l      ARP網(wǎng)關沖突防攻擊能夠檢測并防止與VLAN接口地址、VRRP虛地址和NAT地址池的沖突；l      交換機檢測到網(wǎng)管口上存在地址沖突時，只記錄日志信息，不能阻止攻擊發(fā)生；l      交換機工作在VRRP實MAC地址的情況下，檢測到?jīng)_突后記錄日志信息，不能阻止

10、攻擊發(fā)生。 表3-2 ARP網(wǎng)關沖突防攻擊配置操作命令說明進入系統(tǒng)視圖system-view-配置ARP網(wǎng)關沖突防攻擊anti-attack gateway-duplicate enable | disable 必選缺省情況下，ARP網(wǎng)關沖突防攻擊功能處于關閉狀態(tài)顯示網(wǎng)關地址沖突防攻擊表項信息display anti-attack gateway-duplicate slot slotiddisplay命令可以在任意視圖下執(zhí)行 3.3  ARP報文防攻擊配置  ARP報文防攻擊簡介ARP協(xié)議沒有任何認證機制，極易遭受到各種方式的攻擊。ARP報文攻擊就是其

11、中常見的一種，通過采用固定源MAC地址發(fā)送大量ARP報文，影響交換機對正常ARP報文的學習。S9500交換機具有防源MAC地址的ARP報文攻擊的功能。在一段時間內(nèi)，如果交換機收到固定源MAC地址的ARP報文數(shù)目達到設定閾值，則認為使用該MAC地址的用戶在進行ARP攻擊，系統(tǒng)會下發(fā)防攻擊表項對該MAC地址進行過濾。系統(tǒng)下發(fā)防攻擊表項后，該用戶將無法正常訪問網(wǎng)絡。  ARP報文防攻擊配置表3-3 ARP報文防攻擊配置操作命令說明進入系統(tǒng)視圖system-view-配置ARP報文防攻擊anti-attack arp enable | monitor | disable 必選缺省情況下，AR

12、P報文防攻擊功能處于監(jiān)控狀態(tài)配置ARP報文防攻擊報文檢測閾值anti-attack arp threshold threshold-value可選threshold-value取值范圍5pps300pps，缺省值為30pps配置ARP報文防攻擊表項的老化時間anti-attack arp aging-time time可選time缺省值為600秒ARP報文防攻擊表項的老化時間和網(wǎng)關地址沖突防攻擊表項的老化時間相同配置ARP報文防攻擊保護MAC地址anti-attack arp exclude-mac mac-address可選配置的保護MAC不會被防攻擊功能過濾掉，系統(tǒng)最多支持16個保護MAC

13、地址顯示ARP報文防攻擊表項信息display anti-attack arp slot slotiddisplay命令可以在任意視圖下執(zhí)行 &  說明：l      如果接口板的CPU沒有收到任何報文，則接口板的ARP防攻擊表項不會老化；l      ARP防攻擊表項沒有老化時，與ARP防攻擊表項中具有相同MAC地址的動態(tài)MAC地址表項也不能老化；l      網(wǎng)管口不支持ARP報文防攻擊功能。 3.4&#

14、160; ARP防攻擊配置舉例1. 組網(wǎng)需求l              Switch1是S9500系列交換機，通過端口Ethernet 1/1/1和端口Ethernet 1/1/2連接低端交換機Switch2和Switch3。l              Switch1下掛PC1、Switch2下掛PC2、PC3，且PC2、PC3屬于同

15、一個網(wǎng)段；Switch3下掛PC4、PC5，且PC4、PC5同屬于另外一個網(wǎng)段。l              PC1中病毒后，會發(fā)出大量ARP攻擊報文，部分ARP報文源IP地址在本網(wǎng)段內(nèi)不停變化，部分ARP報文源IP和網(wǎng)關IP地址相同；PC4用戶構造大量源MAC地址固定的ARP報文對網(wǎng)絡進行攻擊。Switch1能夠防止PC1和PC4的攻擊。2. 組網(wǎng)圖圖3-3 ARP防攻擊配置舉例組網(wǎng)圖3. 配置步驟# 進入系統(tǒng)視圖。<Switch1> system-v

16、iew# 配置ARP地址欺騙防攻擊方式為send-ack方式，防止PC1發(fā)起的ARP地址欺騙。Switch1 arp entry-check send-ack# 使能ARP網(wǎng)關沖突防攻擊功能，防止PC1發(fā)起的偽造網(wǎng)關地址攻擊。Switch1 anti-attack gateway-duplicate enable# 使能ARP報文防攻擊功能，防止PC4發(fā)起的大流量ARP報文攻擊。Switch1 anti-attack arp enable# 配置ARP報文防攻擊報文的檢測閾值為40pps。Switch1 anti-attack arp threshold 40# 配置ARP報文防攻擊的表項老化

17、時間為300秒。Switch1 anti-attack arp aging-time 300# 配置ARP報文防攻擊的保護MAC地址為0-0-1。Switch1 anti-attack arp exclude-mac 0-0-1配置完成后，可以通過display current命令查詢當前ARP防攻擊配置情況。同時，還可以通過display anti-attack命令查看當前網(wǎng)絡中存在的網(wǎng)關地址沖突攻擊和源MAC地址固定的ARP報文攻擊的信息。需要說明的是：l              配置ARP地址欺騙防攻擊功能后，在存在攻擊的情況下，交換機的CPU的占用率將升高，可能導致其處理速度變慢；l