碼上快樂

相關內容    簡體    繁體

華為最新ARP防護

本文轉載自   查看原文   2018-12-19 14:27   1429    H3C交換機

ARP 報文限速功能簡介:
為了防止“中間人攻擊”,設備通過開啟ARP 入侵檢測功能,將ARP 報文上送到
CPU 處理,判斷ARP 報文的合法性后進行轉發或丟棄。但是,這樣引入了新的問
題:如果攻擊者惡意構造大量ARP 報文發往交換機的某一端口,會導致CPU 負擔過重,從而造成其他功能無法正常運行甚至設備癱瘓。S3900 系列以太網交換機支
持端口ARP 報文限速功能,使受到攻擊的端口暫時關閉,來避免此類攻擊對CPU
的沖擊。
開啟某個端口的ARP 報文限速功能后,交換機對每秒內該端口接收的ARP 報文數
量進行統計,如果每秒收到的ARP 報文數量超過設定值,則認為該端口處於超速狀
態(即受到ARP 報文攻擊)。此時,交換機將關閉該端口,使其不再接收任何報文,
從而避免大量ARP 報文攻擊設備。
同時,設備支持配置端口狀態自動恢復功能,對於配置了ARP 限速功能的端口,在
其因超速而被交換機關閉后,經過一段時間可以自動恢復為開啟狀態。
配置實例:
配置ARP監測速率
interface Ethernet1/0/8
port access vlan 148
arp rate-limit enable(打開ARP監測功能)
arp rate-limit 50 (設置ARP監測速率為每秒鍾50個ARP包)

配置自動關閉端口功能:
在全局模式下:
arp protective-down recover enable(開啟交換機端口自動恢復功能)
arp protective-down recover interval 15(設置自動恢復時間為15秒)測試結果:
%Apr   2 00:27:30:089 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP
%Apr   2 00:27:52:170 2000 LINPINGJIEDAO_3952_ DHCP-SNP/5/arp_overspeed:- 1 -
PacketLimit: ARP packet rate(52pps) exceeded on interface Ethernet1/0/8. The port will be down!
(ARP包超過設定速率,此端口將關閉)
%Apr   2 00:27:52:348 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is DOWN
%Apr   2 00:42:51:858 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP(15秒后,端口自動打開)
查看交換機端口狀態:
<3952>dis brief interface (注意第8口的狀態為PTC)
Interface:        
Eth   - Ethernet   GE   - GigabitEthernet TENGE - tenGigabitEthernet        
Loop - LoopBack   Vlan - Vlan-interface   Cas   - Cascade        
Speed/Duplex:        
A - auto-negotiation
Interface   Link     Speed   Duplex Type   PVID Description                 
--------------------------------------------------------------------------------
Aux1/0/0     UP       --     --     --     --   
Eth1/0/1     UP       A100M   Afull   trunk   1     uplink-TANGXIZHEN_3952
Eth1/0/2     ADM DOWN A       A       trunk   1    
Eth1/0/3     ADM DOWN A       A       trunk   1    
Eth1/0/4     ADM DOWN A       A       trunk   1    
Eth1/0/5     DOWN     A       A       access 902  
Eth1/0/6     UP       A100M   Afull   access 902   GuangJiSheQu
Eth1/0/7     DOWN     A       A       access 902  
Eth1/0/8 PTC DOWN A       A       access 902  (注意第8口的狀態為PTC)
注意事項:
1、這個功能需要3900系列1602以上版本才能支持,其他型號的交換機暫時沒有研究;
2、arp包的速率限制要根據具體環境而設置,需要測試后才能鋪開實施;
3、如果要手動打開被關閉的端口,可以使用undo shutdown打開;


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 dhcp snooping、ARP防護、 ARP攻擊的發現、攻擊原理、攻擊方式、防護,竟然這么簡單?! ARP防火牆——原來ARP攻擊是專門有防火牆來防護的 超簡單集成華為系統完整性檢測,搞定設備安全防護 ​超簡單集成華為系統完整性檢測,搞定設備安全防護 DDoS防護之TCP防護 路由交換-華為交換機查詢MAC/ARP配置電腦地址實戰 華為防火牆命令arp管道查看IP與MAC地址綁定的對應表 華為的最新的兩道算法設計題 最新阿里、騰訊、華為、字節跳動等大廠的薪資和職級對比
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM