組網圖形
ARP安全簡介
- ARP(Address Resolution Protocol)安全是針對ARP攻擊的一種安全特性,它通過一系列對ARP表項學習和ARP報文處理的限制、檢查等措施來保證網路裝置的安全性。ARP安全特性不僅能夠防範針對ARP協議的攻擊,還可以防範網段掃描攻擊等基於ARP協議的攻擊。
-
使用者主機直接接入閘道器,攻擊者將偽造閘道器的ARP報文傳送給使用者主機,使使用者主機誤以為攻擊者即為閘道器。使用者主機的ARP表中會記錄錯誤的閘道器地址對映關係,這樣就會把發往閘道器的流量均傳送給了攻擊者,攻擊者可輕易竊聽到使用者主機傳送的資料內容。
-
網路中有使用者向裝置傳送大量目的IP地址不能解析的IP報文(即路由表中存在該IP報文的目的IP對應的路由表項,但裝置上沒有該路由表項中下一跳對應的ARP表項),將導致裝置觸發大量的ARP Miss訊息。這種觸發ARP Miss訊息的IP報文(即ARP Miss報文)會被上送到CPU進行處理,裝置會根據ARP Miss訊息生成和下發大量臨時ARP表項並向目的網路傳送大量ARP請求報文,這樣就增加了裝置CPU的負擔,同時嚴重消耗目的網路的頻寬資源。
-
裝置收到大量ARP攻擊報文,並需要對所有ARP攻擊報文全部進行處理,可能導致CPU負荷過重而無法處理其他業務。
針對以上攻擊,ARP安全提供如下措施保證網路裝置的安全性:
-
針對第一種攻擊,可配置ARP防閘道器衝突,防止攻擊者冒充閘道器竊聽使用者主機資訊。
-
針對第二種攻擊,可配置ARP Miss訊息限速,減小CPU的負擔,保護目的網路的頻寬資源。
-
針對第三種攻擊,可配置ARP報文限速,以保護CPU資源。
組網需求
如圖1所示,Switch作為閘道器通過介面GE1/0/3連線一臺伺服器,通過介面GE1/0/1、GE1/0/2連線VLAN10和VLAN20下的四個使用者。網路中可能存在以下ARP威脅:
- 攻擊者向Switch傳送偽造的閘道器的ARP報文,使使用者誤以為攻擊者即為閘道器。這樣使用者就會把發往閘道器的流量均傳送給了攻擊者,攻擊者可輕易竊聽到使用者傳送的資料內容。
- 攻擊者發出大量目的IP地址不可達的IP報文進行ARP泛洪攻擊,造成Switch的CPU負荷過重。
- 使用者User1構造大量源IP地址變化MAC地址固定的ARP報文進行ARP泛洪攻擊,造成Switch的CPU程式繁忙,影響到正常業務的處理。
- 使用者User3構造大量源IP地址固定的ARP報文進行ARP泛洪攻擊,造成Switch的CPU程式繁忙,影響到正常業務的處理。
管理員希望能夠防止上述ARP攻擊行為,為使用者提供更安全的網路環境和更穩定的網路服務。
配置思路
- 1.配置ARP防閘道器衝突,防止攻擊者冒充網管竊聽使用者主機資訊。
- 2.配置根據源IP地址進行ARP Miss訊息限速,實現防止使用者側存在攻擊者發出大量目的IP地址不可達的IP報文觸發大量ARP Miss訊息,形成ARP泛洪攻擊。同時需要保證Switch可以正常處理伺服器發出的大量此類報文,避免因丟棄伺服器發出的大量此類報文而造成網路無法正常通訊。
- 3.配置根據源MAC地址進行ARP限速,實現防止User1傳送的大量源IP地址變化MAC地址固定的ARP報文形成的ARP泛洪攻擊,避免Switch的CPU程式繁忙。
- 4.配置根據源IP地址進行ARP限速,實現防止User3傳送的大量源IP地址固定的ARP報文形成的ARP泛洪攻擊,避免Switch的CPU程式繁忙。
操作步驟
- 1.建立VLAN,將介面加入到VLAN中,並配置VLANIF介面
# 建立VLAN10、VLAN20和VLAN30,並將介面GE1/0/1加入VLAN10中,介面GE1/0/2加入VLAN20中,介面GE1/0/3加入VLAN30中。
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20 30 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type trunk [Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 [Switch-GigabitEthernet1/0/2] quit [Switch] interface gigabitethernet 1/0/3 [Switch-GigabitEthernet1/0/3] port link-type trunk [Switch-GigabitEthernet1/0/3] port trunk allow-pass vlan 30 [Switch-GigabitEthernet1/0/3] quit
# 建立介面VLANIF10、VLANIF20、VLANIF30,配置各VLANIF介面的IP地址。
[Switch] interface vlanif 10 [Switch-Vlanif10] ip address 10.8.8.4 24 [Switch-Vlanif10] quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address 10.9.9.4 24 [Switch-Vlanif20] quit [Switch] interface vlanif 30 [Switch-Vlanif30] ip address 10.10.10.3 24 [Switch-Vlanif30] quit
- 2.配置ARP防閘道器衝突
[Switch] arp anti-attack gateway-duplicate enable //配置ARP防閘道器衝突
- 3.配置根據源IP地址進行ARP Miss訊息限速
# 配置對Server(IP地址為10.10.10.2)的ARP Miss訊息進行限速,允許Switch每秒最多處理該IP地址觸發的40個ARP Miss訊息;對於其他使用者,允許Switch每秒最多處理同一個源IP地址觸發的20個ARP Miss訊息。
[Switch] arp-miss speed-limit source-ip maximum 20 //配置根據源IP地址進行ARP Miss訊息限速 [Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40 //配置根據源IP地址進行ARP Miss訊息限速
- 4.配置根據源MAC地址進行ARP限速
# 配置對使用者User1(MAC地址為0001-0001-0001)進行ARP報文限速,每秒最多隻允許10個該MAC地址的ARP報文通過。
[Switch] arp speed-limit source-mac 0001-0001-0001 maximum 10 //配置根據源MAC地址進行ARP限速
- 5.配置根據源IP地址進行ARP限速
# 配置對使用者User3(IP地址為10.9.9.2)進行ARP報文限速,每秒最多隻允許10個該IP地址的ARP報文通過。
[Switch] arp speed-limit source-ip 10.9.9.2 maximum 10 //配置根據源IP地址進行ARP限速
- 6.驗證配置結果
# 執行命令display arp anti-attack configuration all,檢視當前ARP防攻擊配置情況。
[Switch] display arp anti-attack configuration all ...... ARP anti-attack entry-check mode: Vlanif Mode ------------------------------------------------------------------------------- All disabled ------------------------------------------------------------------------------- ARP rate-limit configuration: ------------------------------------------------------------------------------- Global configuration: Interface configuration: Vlan configuration: ------------------------------------------------------------------------------- ARP miss rate-limit configuration: ------------------------------------------------------------------------------- Global configuration: Interface configuration: Vlan configuration: ------------------------------------------------------------------------------- ARP speed-limit for source-MAC configuration: MAC-address suppress-rate(pps)(rate=0 means function disabled) ------------------------------------------------------------------------------- 0001-0001-0001 10 Others 0 ------------------------------------------------------------------------------- The number of configured specified MAC address(es) is 1, spec is 1024. ARP speed-limit for source-IP configuration: IP-address suppress-rate(pps)(rate=0 means function disabled) ------------------------------------------------------------------------------- 10.9.9.2 10 Others 30 ------------------------------------------------------------------------------- The number of configured specified IP address(es) is 1, spec is 1024. ARP miss speed-limit for source-IP configuration: IP-address suppress-rate(pps)(rate=0 means function disabled) ------------------------------------------------------------------------------- 10.10.10.2/32 40 Others 20 ------------------------------------------------------------------------------- The number of configured specified IP address(es) is 1, spec is 1024.
# 執行命令display arp packet statistics,檢視ARP處理的報文統計資料。
[Switch] display arp packet statistics ARP Pkt Received: sum 8678904 ARP-Miss Msg Received: sum 183 ARP Learnt Count: sum 37 ARP Pkt Discard For Limit: sum 146 ARP Pkt Discard For SpeedLimit: sum 40529 ARP Pkt Discard For Proxy Suppress: sum 0 ARP Pkt Discard For Other: sum 8367601 ARP-Miss Msg Discard For SpeedLimit: sum 20 ARP-Miss Msg Discard For Other: sum 104
由顯示資訊可知,Switch上產生了ARP報文和ARP Miss訊息丟棄計數,表明ARP安全功能已經生效。