ARP安全簡介

ARP 安全通過過濾不信任的ARP 報文以及對某些ARP 報文進行時間戳抑制來保證網(wǎng)絡

設備的安全性和健壯性。

網(wǎng)絡中有很多針對ARP 表項的攻擊，攻擊者通過發(fā)送大量偽造的ARP 請求、應答報文

攻擊網(wǎng)絡設備，主要有ARP 緩沖區(qū)溢出攻擊和ARP 拒絕服務攻擊兩種。

1.ARP 緩沖區(qū)溢出攻擊：攻擊者向設備發(fā)送大量虛假的ARP 請求報文和免費ARP 報

文，造成設備上的ARP 緩存溢出，無法緩存正常的ARP 表項，從而阻礙正常的報

文轉(zhuǎn)發(fā)。

2.ARP 拒絕服務攻擊：攻擊者發(fā)送大量偽造的ARP 請求、應答報文或其它能夠觸發(fā)

ARP 處理的報文，造成設備的計算資源長期忙于ARP 處理，影響其它業(yè)務的處

理，從而阻礙正常的報文轉(zhuǎn)發(fā)。

此外，還有基于ARP 協(xié)議的掃描攻擊：攻擊者利用工具掃描本網(wǎng)段主機或者跨網(wǎng)段進

行掃描時，S9300 在發(fā)送回應報文前，會查找ARP 表項，如果目的IP 地址對應的MAC

地址不存在，會導致S9300 的ARP 模塊向上層軟件發(fā)送ARP Miss 消息，要求上層軟件

發(fā)送ARP 請求報文以獲得目的端的MAC 地址。大量的掃描報文會導致大量的ARP Miss

消息，導致系統(tǒng)的資源浪費在處理ARP Miss 消息上，影響設備對其它業(yè)務的處理，形

成掃描攻擊。

S9300 支持的ARP 安全特性

(一)ARP 地址欺騙

攻擊者通過偽造其他用戶發(fā)出的ARP 報文，篡改設備上的用戶ARP 表項，造成其它合

法用戶的網(wǎng)絡中斷。

S9300 可以通過以下兩種方法防御此類攻擊。

1. 固定MAC 地址：S9300 第一次學習到ARP 表項之后不再允許通過ARP 學習來修

改MAC 地址，直到此ARP 表項老化之后才允許更新，以保護合法用戶的ARP 表

項不被修改。

2.固定MAC 地址有兩種方式：Fixed-mac 和Fixed-all。Fixed-mac 方式下，不允許修

改MAC 地址，但是允許修改VLAN 和接口信息；Fixed-all 方式下，MAC、VLAN

和接口信息都不允許修改。

3.主動確認：S9300 收到一個涉及MAC 地址修改的ARP 報文時，不會立即修改ARP

表項，而是先對原ARP 表中與此MAC 地址對應的用戶發(fā)一個單播確認，根據(jù)確認

結(jié)果再決定是否修改。

(二)ARP 網(wǎng)關沖突

指攻擊者仿冒網(wǎng)關地址，在局域網(wǎng)內(nèi)部發(fā)送源IP 地址是網(wǎng)關地址的免費ARP 報文。主

機接收到該報文后，會修改自己原來的網(wǎng)關地址為攻擊者的地址，最終導致局域網(wǎng)內(nèi)部

所有主機無法訪問網(wǎng)絡。

S9300 收到到與網(wǎng)關地址沖突的ARP 報文時，如果存在下列情況之一：

1.ARP 報文的源IP 與報文入接口的IP 地址相同；

2. ARP 報文的源IP 是內(nèi)部服務器的地址；

3. VRRP(Virtual Router Redundancy Protocol)虛MAC 方式時，ARP 報文的源IP

是

入接口的虛擬IP 地址，但ARP 報文源MAC 不是VRRP 虛MAC。則系統(tǒng)生成ARP 防攻擊

表項，在后續(xù)一段時間(默認3 分鐘)內(nèi)對收到具有相同源MAC地址的報文直接丟棄，

這樣可以防止與網(wǎng)關地址沖突的ARP 報文在VLAN 內(nèi)廣播。

(三)短期內(nèi)大量ARP 報文

某個源IP 地址發(fā)送大量ARP 報文，浪費設備的CPU 資源和給ARP 報文上送預留的有

限帶寬。

S9300 具有針對源IP 地址的ARP 報文速率抑制的功能。在一段時間內(nèi)，如果S9300 收

到某一源IP 地址的ARP 報文數(shù)目超過設定閾值，則不處理超出閾值部分的ARP 請求報

文。

(四)大量地址無法解析的IP 報文

主機通過向設備發(fā)送大量目標IP 地址不能解析的IP 報文來攻擊設備。

對此類攻擊，S9300 提供對ARP Miss 消息基于源IP 地址的抑制。如果一個源IP 地址向

S9300 發(fā)送了目標IP 地址不能解析的IP 報文，就會觸發(fā)ARP Miss 消息，S9300 對上報

的ARP Miss 消息進行統(tǒng)計。如果一個源IP 地址在一定時間內(nèi)不斷觸發(fā)ARP Miss，而

且其觸發(fā)速率超過了設定的閾值，則認為此IP 地址在進行攻擊。S9300 將下發(fā)ACL 規(guī)

則，在后續(xù)的一段時間內(nèi)(默認為50 秒)把這個地址發(fā)出的IP 報文丟棄。

具體的配置

一、應用環(huán)境：

在以太城域網(wǎng)中，存在著很多針對ARP 表項的攻擊，因此需要在網(wǎng)絡的接入層或者匯

聚層配置防止對ARP 表項的攻擊，以保護網(wǎng)絡的安全性。

二、配置嚴格學習ARP 表項

操作步驟

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令arp learning strict，配置嚴格學習ARP 表項。

缺省情況下，S9300 未使能嚴格學習ARP 表項功能。

三、配置基于接口的ARP 表項限制

操作步驟

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令interface interface-type interface-number，進入接口視圖。

這里的接口可以是GE 接口、Eth-Trunk 接口或VLANIF 接口。

步驟3 執(zhí)行命令arp-limit [ vlan vlan-id [ to vlan-id2 ]] maximum

maximum，配置基于接口的

ARP 表項限制。

vlan 選項只能在GE 接口或Eth-Trunk 接口視圖下配置。

四、配置防止ARP 地址欺騙

操作步驟

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令arp anti-attack entry-check { fixed-mac

fixed-all

send-ack } enable，使能ARP

地址防欺騙功能。

只能同時使能一種ARP 地址防欺騙方式。如果原來使能了另外一種方式，則新配置的

方式覆蓋原來配置的方式。缺省情況下，S9300 未使能ARP 地址防欺騙功能。

五、配置防止ARP 網(wǎng)關沖突

操作步驟

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令arp anti-attack gateway-duplicate enable，使能ARP

網(wǎng)關沖突防攻擊功能。

六、配置ARP 報文源抑制功能

背景信息

為防止大量的ARP 報文增加CPU 的負荷，以及占用大量的ARP 表項，可以配置ARP

報文速率抑制，將上送主控板處理的ARP 報文速率限制在一個合理的范圍內(nèi)。

考慮到某些特定的用戶有特別的需求，對于該用戶的IP 地址可以配置不同于其他IP 地

址的ARP 報文抑制速率。

操作步驟

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令arp speed-limit source-ip maximum maximum，配置ARP

報文源抑制速率。

步驟3 (可選)執(zhí)行命令arp speed-limit source-ip ip-address maximum

maximum，配置指定

source-ip 用戶的ARP 報文源抑制速率。

完成上述配置后，對指定了source-ip 的用戶，ARP 報文源抑制速率為步驟3 中配置的

maximum 值；其它IP 地址的ARP 報文源抑制速率為步驟2 中配置的maximum 值。

如果將速率配置為0，則表示不作ARP 報文源抑制。缺省情況下，所有IP 地址的ARP

報文源抑制速率為500pps。

七、配置ARP Miss 消息源抑制功能

背景信息

為防止主機發(fā)送大量目標IP 地址不能解析的IP 報文來攻擊設備，可以配置ARP Miss

源抑制功能，對攻擊者的報文進行丟棄處理。

考慮到某些特定的用戶有特別的需求，對于該用戶的IP 地址可以配置不同于其他IP 地

址的ARP Miss 抑制速率。

操作步驟

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令arp-miss speed-limit source-ip maximum maximum，配置ARP

Miss 消息源抑

制速率。

步驟3 (可選)執(zhí)行命令arp-miss speed-limit source-ip ip-address maximum

maximum，配置指

定source-ip 用戶的ARP Miss 源抑制速率。

完成上述配置后，對指定了source-ip 的用戶，ARP Miss 源抑制速率為步驟3 中配置的

maximum 值；其它IP 地址的ARP Miss 源抑制速率為步驟2 中配置的maximum 值。

如果將速率配置為0，則表示不作ARP Miss 源抑制。缺省情況下，所有IP 地址的ARP

Miss 源抑制速率為500pps。

八、配置對潛在的ARP 攻擊行為寫日志和發(fā)送告警

操作步驟

步驟1 執(zhí)行命令system-view，進入系統(tǒng)視圖。

步驟2 執(zhí)行命令arp anti-attack log-trap-timer

time，配置對潛在的攻擊行為寫日志和發(fā)送告

警。

time 為寫ARP 日志和發(fā)送告警時間間隔。缺省情況下該值為0，表示未使能寫ARP 日

志和發(fā)送告警功能。

九、配置檢查配置結(jié)果

前提條件

已完成ARP 防攻擊配置。

操作步驟

使用命令display arp learning strict 查看ARP 表項嚴格學習限制。

使用命令display arp anti-attack configuration { entry-check

gateway-duplicate

log-trap-timer

arp-speed-limit

arpmiss-speed-limit

all }查看當前ARP 防攻擊配

置。

使用命令display arp-limit [ interface interface-type

interface-number ] [ vlan vlan-id ]

查看接口或VLAN 下配置的ARP 表項限制數(shù)目。

使用命令display arp anti-attack gateway-duplicate item

查看當前網(wǎng)絡中存在的網(wǎng)

關地址沖突攻擊信息。

總結(jié)

以上是生活随笔為你收集整理的arp miss攻击_网络应用华为S9300核心交换机ARP安全配置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。