寫在前面:本人是一名計算機系大二的學生,正在備考HCIE R&S,會不定時的將我的學習筆記分享給大家!如果需要更多的學習資源可以通過我的GitHub自行下載!
ARP安全
address resolution protocol,地址解析協議
在pc端執行
arp -a //查看
arp -d //清除緩存
-
免費arp:用於檢測ip地址是否沖突
-
arp報文不能穿越到路由器,不能被轉發到其他廣播域,vlan隔離了廣播域,只能在一個廣播域
技術背景:arp病毒、arp欺騙、arp攻擊
主要的攻擊和危害
| 攻擊 | 危害 |
|---|---|
| 仿冒攻擊 | 仿冒網關或其他主機 |
| 欺騙攻擊 | 欺騙網關或其他主機 |
| 泛洪攻擊 | 使設備arp表溢出,cpu負荷過載 |
ARP Miss
-
丟失,有ip沒有mac,地址不在線
-
網絡中有大量用戶發送
大量目的ip地址不能解析的ip報文(即路由表中存在該報文 的目的ip對應的路由表項,但設備上沒有改路由表項中的下一跳對用的arp表項),將導致設備觸發大量的arp miss消息。這種觸發arp miss 消息的報文(即arp miss報文)會被送上到CPU進行處理,設備會很久arp miss消息生成和下發大量臨時arp表項並向目的網絡發送大量aarp請求報文,這樣就增加了設備CPU的負擔。
ARP安全配置
| 命令 | 備注 |
|---|---|
| arp anti-attack getway-duplicate enable | 開啟arp防網關沖突(在接入層交換機開啟) |
| arp gratuitous-arp send enable \ arp gratuitous-arp send interval 30 | 開啟主動免費arp報文及間隔,配置arp防網關沖突 |
| arp speed-limit source-mac maximum 10 \ arp speed-limit source-mac 0000-1111-2222 maximum 10 | 配置基於任何源或指定源mac的arp報文限速 |
| arp speed-limit source-ip Maximun 20 \ arp speed-limit source-ip x.x.x.x maximum 20 | 配置基於任何源或指定源ip的arp報文限速 |
| arp-miss speed-limit source-ip maximun 20 \ arp-miss speed-limit source-ip x.x.x.x | j基於源ip的arp miss 消息限速 |
| display arpanti-attack config all | 查看當前arp防攻擊配置情況 |
| dis arp packet statistics | 查看arp miss |
PS:我不是標題狗哦!是真的被這配置復雜到了!靚女心塞!
DAI
dynamic arp inspection ,動態arp檢測- 可以防止arp中間人攻擊
- 需要開啟
dhcp snooping(綁定表) - 當設備收到arp報文是,將此arp報文對用的源ip、源mac、vlan以及接口信息和綁定的信息進行比較,如果信息匹配,說明發送該arp報文的用戶是合法用戶,允許此用戶的arp報文通過,否則就認為是攻擊,丟棄該arp報文。
DAI配置
| 命令 | 備注 |
|---|---|
| dhcp enable | 開啟dhcp |
| dhcp snooping enable | 開啟dhcp snooping全局、接口、vlan模式 |
| dhcp snooping trusted | 配置信任接口 |
| arp anti-attack check user-bind enable | 開啟DAI |
| user-bindstatic ip-address x.x.x.x \ mac-address 0001-0001-0001 \ interface xxx vlan xx | 配置靜態綁定表,適合靜態ip的設備 |
| display shcp snooping user-bind all | 查看綁定表 |
| display arp anti-attack statistics check user-bind interface xxx | 查看接口下DAI的arp報文丟棄記數 |
階段總結
是一種遞歸關系
- ip source guard
- dynamic arp inspection
- DHCP snooping
- port security
- DHCP snooping
- dynamic arp inspection
實驗演示
實驗要求
Router 通過接口 Eth2/0/3 連接一台服務器,通過接口 Eth2/0/1、Eth2/0/2 連接 VLAN10和 VLAN20 下的四個用戶。網絡中存在以下 ARP 威脅:
-
攻擊者向 Router 發送偽造的 ARP 報文、偽造的免費 ARP 報文進行 ARP 欺騙攻擊,惡意修改Router 的 ARP 表項,造成其他用戶無法正常接收數據報文。
-
攻擊者發出大量目的 IP 地址不可達的 IP 報文進行 ARP 泛洪攻擊,造成 Router 的 CPU 負荷過重。
-
用戶User1構造大量源IP地址變化MAC地址固定的ARP報文進行ARP泛洪攻擊,造成Router的 ARP 表資源被耗盡以及 CPU 進程繁忙,影響到正常業務的處理。
-
用戶 User3 構造大量源 IP 地址固定的 ARP 報文進行 ARP 泛洪攻擊,造成 Router 的 CPU 進程繁忙,影響到正常業務的處理。
管理員希望能夠防止上述 ARP 攻擊行為,為用戶提供更安全的網絡環境和更穩定的網絡服務。
需求分析
- 配置 ARP 表項嚴格學習功能以及 ARP 表項固化功能,實現防止偽造的 ARP 報文錯誤地更
新 Router 的 ARP 表項。 - 配置根據源 IP 地址進行 ARP Miss 消息限速,實現防止用戶側存在攻擊者發出大量目的 IP地址不可達的 IP 報文觸發大量 ARP Miss 消息,形成 ARP 泛洪攻擊。同時需要保證 Router可以正常處理服務器發出的大量此類報文,避免因丟棄服務器發出的大量此類報文而造成網絡無法正常通信。
- 配置基於接口的 ARP 表項限制以及根據源 MAC 地址進行 ARP 限速,實現防止 User1 發送的大量源 IP 地址變化 MAC 地址固定的 ARP 報文形成的 ARP 泛洪攻擊,避免 Router 的 ARP表資源被耗盡,並避免 CPU 進程繁忙。
- 配置根據源 IP 地址進行 ARP 限速,實現防止 User3 發送的大量源 IP 地址固定的 ARP 報文形成的 ARP 泛洪攻擊,避免 Router 的 CPU 進程繁忙。
配置
#
vlan batch 10 20 30
#
arp-miss speed-limit source-ip maximum 20
#
arp learning strict
#
arp-miss speed-limit source-ip 10.10.10.2 maximum 40
arp speed-limit source-ip 9.9.9.2 maximum 10
arp speed-limit source-mac 0001-0001-0001 maximum 10
arp anti-attack entry-check fixed-mac enable
#
interface Vlanif10
ip address 8.8.8.4 255.255.255.0
#
interface Vlanif20
ip address 9.9.9.4 255.255.255.0
#
interface Vlanif30
ip address 10.10.10.3 255.255.255.0
#
interface Ethernet2/0/1
port link-type trunk
port trunk allow-pass vlan 10
arp-limit vlan 10 maximum 20
#
interface Ethernet2/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
interface Ethernet2/0/3
port link-type trunk
port trunk allow-pass vlan 30
#
return
檢驗
display arp learning strict //查看表項嚴格學習功能
display arp-limt xxx //查看學習到的動態arp表項數目的最大值
display arp anti-attack configuration all //查看當前 ARP 防攻擊配置情況
display arp packet statistics //查看 ARP 處理的報文統計數據
ps:模擬arp攻擊的過程太過於復雜了,整理也不易我就不整理出來給大家看了!推薦可以去安裝一個軟件—科來。官方也可以自行下載,這里給一下百度網盤鏈接可以自行保存。嘻嘻,科來還有很多可以玩的,會玩的大佬可以去自行摸索一下!
復制這段內容后打開百度網盤手機App,操作更方便哦 鏈接:https://pan.baidu.com/s/1PSDVLajlthuifP4SkrrS2A 提取碼:io09
本文均屬肉肉原創,本文章屬於本人花費大量時間整理出來,如有不詳或錯誤,歡迎指出!讀到這里了,不妨給肉肉
點個贊!
往期精彩:
本文作者:肉肉
版權聲明:博客所有文章除特別聲明外,均采用 CC BY-NC-SA 4.0 許可協議。轉載請注明出處!