組網圖形
ARP安全簡介
- ARP(Address Resolution Protocol)安全是針對ARP攻擊的一種安全特性,它通過一系列對ARP表項學習和ARP報文處理的限制、檢查等措施來保證網絡設備的安全性。ARP安全特性不僅能夠防范針對ARP協議的攻擊,還可以防范網段掃描攻擊等基於ARP協議的攻擊。
-
用戶主機直接接入網關,攻擊者將偽造網關的ARP報文發送給用戶主機,使用戶主機誤以為攻擊者即為網關。用戶主機的ARP表中會記錄錯誤的網關地址映射關系,這樣就會把發往網關的流量均發送給了攻擊者,攻擊者可輕易竊聽到用戶主機發送的數據內容。
-
網絡中有用戶向設備發送大量目的IP地址不能解析的IP報文(即路由表中存在該IP報文的目的IP對應的路由表項,但設備上沒有該路由表項中下一跳對應的ARP表項),將導致設備觸發大量的ARP Miss消息。這種觸發ARP Miss消息的IP報文(即ARP Miss報文)會被上送到CPU進行處理,設備會根據ARP Miss消息生成和下發大量臨時ARP表項並向目的網絡發送大量ARP請求報文,這樣就增加了設備CPU的負擔,同時嚴重消耗目的網絡的帶寬資源。
-
設備收到大量ARP攻擊報文,並需要對所有ARP攻擊報文全部進行處理,可能導致CPU負荷過重而無法處理其他業務。
針對以上攻擊,ARP安全提供如下措施保證網絡設備的安全性:
-
針對第一種攻擊,可配置ARP防網關沖突,防止攻擊者冒充網關竊聽用戶主機信息。
-
針對第二種攻擊,可配置ARP Miss消息限速,減小CPU的負擔,保護目的網絡的帶寬資源。
-
針對第三種攻擊,可配置ARP報文限速,以保護CPU資源。
組網需求
如圖1所示,Switch作為網關通過接口GE1/0/3連接一台服務器,通過接口GE1/0/1、GE1/0/2連接VLAN10和VLAN20下的四個用戶。網絡中可能存在以下ARP威脅:
- 攻擊者向Switch發送偽造的網關的ARP報文,使用戶誤以為攻擊者即為網關。這樣用戶就會把發往網關的流量均發送給了攻擊者,攻擊者可輕易竊聽到用戶發送的數據內容。
- 攻擊者發出大量目的IP地址不可達的IP報文進行ARP泛洪攻擊,造成Switch的CPU負荷過重。
- 用戶User1構造大量源IP地址變化MAC地址固定的ARP報文進行ARP泛洪攻擊,造成Switch的CPU進程繁忙,影響到正常業務的處理。
- 用戶User3構造大量源IP地址固定的ARP報文進行ARP泛洪攻擊,造成Switch的CPU進程繁忙,影響到正常業務的處理。
管理員希望能夠防止上述ARP攻擊行為,為用戶提供更安全的網絡環境和更穩定的網絡服務。
配置思路
- 1.配置ARP防網關沖突,防止攻擊者冒充網管竊聽用戶主機信息。
- 2.配置根據源IP地址進行ARP Miss消息限速,實現防止用戶側存在攻擊者發出大量目的IP地址不可達的IP報文觸發大量ARP Miss消息,形成ARP泛洪攻擊。同時需要保證Switch可以正常處理服務器發出的大量此類報文,避免因丟棄服務器發出的大量此類報文而造成網絡無法正常通信。
- 3.配置根據源MAC地址進行ARP限速,實現防止User1發送的大量源IP地址變化MAC地址固定的ARP報文形成的ARP泛洪攻擊,避免Switch的CPU進程繁忙。
- 4.配置根據源IP地址進行ARP限速,實現防止User3發送的大量源IP地址固定的ARP報文形成的ARP泛洪攻擊,避免Switch的CPU進程繁忙。
操作步驟
- 1.創建VLAN,將接口加入到VLAN中,並配置VLANIF接口
# 創建VLAN10、VLAN20和VLAN30,並將接口GE1/0/1加入VLAN10中,接口GE1/0/2加入VLAN20中,接口GE1/0/3加入VLAN30中。
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20 30 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type trunk [Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 [Switch-GigabitEthernet1/0/2] quit [Switch] interface gigabitethernet 1/0/3 [Switch-GigabitEthernet1/0/3] port link-type trunk [Switch-GigabitEthernet1/0/3] port trunk allow-pass vlan 30 [Switch-GigabitEthernet1/0/3] quit
# 創建接口VLANIF10、VLANIF20、VLANIF30,配置各VLANIF接口的IP地址。
[Switch] interface vlanif 10 [Switch-Vlanif10] ip address 10.8.8.4 24 [Switch-Vlanif10] quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address 10.9.9.4 24 [Switch-Vlanif20] quit [Switch] interface vlanif 30 [Switch-Vlanif30] ip address 10.10.10.3 24 [Switch-Vlanif30] quit
- 2.配置ARP防網關沖突
[Switch] arp anti-attack gateway-duplicate enable //配置ARP防網關沖突
- 3.配置根據源IP地址進行ARP Miss消息限速
# 配置對Server(IP地址為10.10.10.2)的ARP Miss消息進行限速,允許Switch每秒最多處理該IP地址觸發的40個ARP Miss消息;對於其他用戶,允許Switch每秒最多處理同一個源IP地址觸發的20個ARP Miss消息。
[Switch] arp-miss speed-limit source-ip maximum 20 //配置根據源IP地址進行ARP Miss消息限速 [Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40 //配置根據源IP地址進行ARP Miss消息限速
- 4.配置根據源MAC地址進行ARP限速
# 配置對用戶User1(MAC地址為0001-0001-0001)進行ARP報文限速,每秒最多只允許10個該MAC地址的ARP報文通過。
[Switch] arp speed-limit source-mac 0001-0001-0001 maximum 10 //配置根據源MAC地址進行ARP限速
- 5.配置根據源IP地址進行ARP限速
# 配置對用戶User3(IP地址為10.9.9.2)進行ARP報文限速,每秒最多只允許10個該IP地址的ARP報文通過。
[Switch] arp speed-limit source-ip 10.9.9.2 maximum 10 //配置根據源IP地址進行ARP限速
- 6.驗證配置結果
# 執行命令display arp anti-attack configuration all,查看當前ARP防攻擊配置情況。
[Switch] display arp anti-attack configuration all ...... ARP anti-attack entry-check mode: Vlanif Mode ------------------------------------------------------------------------------- All disabled ------------------------------------------------------------------------------- ARP rate-limit configuration: ------------------------------------------------------------------------------- Global configuration: Interface configuration: Vlan configuration: ------------------------------------------------------------------------------- ARP miss rate-limit configuration: ------------------------------------------------------------------------------- Global configuration: Interface configuration: Vlan configuration: ------------------------------------------------------------------------------- ARP speed-limit for source-MAC configuration: MAC-address suppress-rate(pps)(rate=0 means function disabled) ------------------------------------------------------------------------------- 0001-0001-0001 10 Others 0 ------------------------------------------------------------------------------- The number of configured specified MAC address(es) is 1, spec is 1024. ARP speed-limit for source-IP configuration: IP-address suppress-rate(pps)(rate=0 means function disabled) ------------------------------------------------------------------------------- 10.9.9.2 10 Others 30 ------------------------------------------------------------------------------- The number of configured specified IP address(es) is 1, spec is 1024. ARP miss speed-limit for source-IP configuration: IP-address suppress-rate(pps)(rate=0 means function disabled) ------------------------------------------------------------------------------- 10.10.10.2/32 40 Others 20 ------------------------------------------------------------------------------- The number of configured specified IP address(es) is 1, spec is 1024.
# 執行命令display arp packet statistics,查看ARP處理的報文統計數據。
[Switch] display arp packet statistics ARP Pkt Received: sum 8678904 ARP-Miss Msg Received: sum 183 ARP Learnt Count: sum 37 ARP Pkt Discard For Limit: sum 146 ARP Pkt Discard For SpeedLimit: sum 40529 ARP Pkt Discard For Proxy Suppress: sum 0 ARP Pkt Discard For Other: sum 8367601 ARP-Miss Msg Discard For SpeedLimit: sum 20 ARP-Miss Msg Discard For Other: sum 104
由顯示信息可知,Switch上產生了ARP報文和ARP Miss消息丟棄計數,表明ARP安全功能已經生效。