必威体育Betway必威体育官网
当前位置:首页 > IT技术

ARP安全配置与管理——2

时间:2019-08-22 04:11:03来源:IT技术作者:seo实验室小编阅读:75次「手机版」
 

arp

配置防ARP欺骗攻击

ARP表项攻击、网关攻击、中间人攻击是ARP欺骗攻击的主要应用场景。下表列出了针对不同ARP欺骗攻击类型所提供的不同解决方案,以增强网络抗击ARP欺骗攻击的能力。在这些配置防ARP欺骗攻击安全特性中,各项配置均是并列关系,无严格配置顺序,也并不是要求配置所有的ARP安全特性方案,用户可根据需要选择配置一种或多种方案。

一、配置ARP表项固化

为了防止ARP地址欺骗攻击,可以配置ARP表项固化功能,使欺骗类ARP报文不能修改原来ARP表项。以下3种ARP表项固化模式适用于不同的应用场景,且是互斥关系:

(1)fixed-mac方式:这种固化模式是以报文中源MAC地址与ARP表中现有对应IP地址的表项中的MAC地址是否匹配为审查的关键依据。当这两个MAC地址不匹配时,则直接丢弃该ARP报文;如果这两个MAC地址是匹配的,但是报文中的接口或VLAN信息与ARP表中对应表项不匹配时,则可以更新对应ARP表项中的接口和VLAN信息。这种模式适用于静态配置IP地址,但网络存在冗余链路(这样可以改变出接口和VLAN)的情况。当链路切换时,ARP表项中的接口信息可以快速改变。

(2)fixed-all方式:这种固化模式时仅当ARP报文对应的MAC地址、接口、VLAN信息和ARP表中对应表项的信息完全匹配时,设备才可以更新ARP表项的其他内容。这种模式匹配最严格,适用于静态配置IP地址,网络没有冗余(这样不可以改变出接口和VLAN),且同一IP地址用户不会从不同接口接入的情况。

(3)send-ack方式:这种模式是当设备收到一个涉及MAC地址、VLAN、接口修改的ARP报文时,不会立即更新ARP表项,而是先向待更新的ARP表项现有MAC地址对应的用户发送一个单播的ARP请求报文,再根据用户的确认结果决定是否更新ARP表项中的MAC地址、VLAN和接口信息。此方式适用于动态分配IP地址,有冗余链路的网络。

可在全局和VLANIF接口下配置ARP表项固化功能,全局配置该功能后,缺省设备上所有接口的ARP表项固化功能均已使能。当全局和VLANIF接口下同时配置了该功能,VLANIF接口下的配置优先生效。

二、配置动态ARP检测

为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以使能动态ARP检测功能,仅适用于启用了DHCP Snooping的场景。这样,设备会将ARP报文中的源IP、源MAC、接口、VLAN信息和DHCPSnooping中的绑定表(或者手动添加静态绑定表)信息进行比较,如果匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。

设备使能DHCP Snooping功能后,当DHCP用户上线时设备会自动生成DHCPSnooping绑定表;对于静态配置IP地址的用户,设备不会生成DHCP Snooping绑定表,所以需要手动添加静态绑定表。可用user-bind static { ip-address start-ip [ to end-ip]&<1-10> | mac-address mac-address}*[ interface interface-typeinterface-number] [vlan vlan-id [ce-vlan ve-vlan-id]]命令配置IP地址、MAC地址、接口和内/外层VLAN的静态用户绑定表项。

如果希望仅匹配绑定表中某一项或某两项内容的特殊ARP报文也能够通过,则可以配置对ARP报文进行绑定表匹配检测时只检查某一项或某两项内容。如果希望设备在丢弃的不匹配绑定表的ARP报文数量较多时能够以告警的方式提醒网络管理员,则还可以使能动态ARP检测丢弃报文告警功能。这样,当丢弃的ARP报文数超过告警阈值时,设备将产生告警。

可在接口(包括物理接口、Eth-Trunk接口、VLANIF接口和端口组)视图或VLAN视图下配置动态ARP检测功能。在接口视图下使能时,则对该接口收到的所有ARP报文进行绑定表匹配检查;在VLAN视图下使能时,则对加入该VLAN的接口收到的属于该VLAN的ARP报文进行绑定表匹配检查。

当同时在VLAN和加入该VLAN的接口下配置了动态ARP检测功能时,设备会先按接口下配置的检查选项对ARP报文进行绑定表匹配检查,如果ARP报文检查通过,设备再根据VLAN下配置的检查选项进行检查。

由于动态ARP检测丢弃报文告警功能针对的是接口下Dai功能丢弃的ARP报文数告警统计,因此建议不要同时在VLAN视图下配置命令arp anti-attack check user-bind enable以及在加入该VLAN的接口视图下配置命令arpanti-attack check user-bind alarm enable,避免VLAN下的DAI功能可能造成实际丢包数目和接口DAI告警统计值之间的偏差。

三、配置ARP防网关冲突

如果攻击者仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,就会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。这样其他用户主机就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到它们发送的数据内容,并且最终会造成这些用户主机无法访问网络。这就是最常见的一种ARP攻击类型——网关欺骗ARP攻击。

为了防范攻击者仿冒网关,当用户主机直接接入网关时(这是先决条件,其他情形不适用),可在网关设备上使能ARP防网关冲突攻击功能。这样,当网关设备收到的ARP报文存在下列情况之一时,设备就会认为该ARP报文是与网关地址冲突的ARP报文,生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的相同VLAN和相同源MAC地址的ARP报文,以防止与网关地址冲突的ARP报文在VLAN内广播。

(1)ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址(就是网关IP地址)相同。

(2)ARP报文的源IP地址是入接口的VRRP虚拟IP地址,但ARP报文源MAC地址不是VRRP虚拟MAC地址。

配置ARP防网关冲突的方法很简答,仅需在系统视图下执行arp anti-attack gateway-duplicate enable即可。缺省情况下,没有使能ARP防网关冲突功能。

这种方法不是很适用,因为它只适用于用户主机直接与网关连接的情形,仅在网关上进行了ARP报文检查。在其他情形下,其他非网关设备照样不会对这类报文进行检查。

四、配置发送ARP免费报文

如果有攻击者向其他用户发送仿冒网关的ARP报文,会导致其他用户的ARP表中记录错误的网关地址映射关系,从而造成其他用户的正常数据不能被网关接收。此时可以在网关设备上配置发送免费ARP报文的功能,用来定期更新合法用户的ARP表项,使得合法用户ARP表项中记录的是正确的网关地址映射关系。

可在网关设备上全局或VLANIF接口下配置发送免费ARP报文功能。全局配置该功能后,则缺省设备上所有接口的发送ARP免费报文功能均已使能。当全局和VLANIF接口下同时配置了该功能时,VLANIF接口下的配置优先生效。

五、配置ARP报文内MAC地址一致性检查

ARP报文内MAC地址一致性检查功能主要应用于网关设备上,可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同的ARP攻击。配置该功能后,网关设备在进行ARP表项学习前将对ARP报文进行检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

本项ARP安全特性,只能在物理接口或者Eth-Trunk接口下配置,不支持在VLANIF接口和物理子接口上配置。当VLANIF接口收到ARP报文时,ARP报文内MAC地址一致性检查遵循成员接口下的检查规则;当物理子接口收到ARP报文时,ARP报文内MAC地址一致性检查遵循主接口下的检查规则。

六、配置ARP报文合法性检查

为了防止非法ARP报文攻击,可以在接入设备或网关设备上配置ARP报文合法性检查功能,用来对MAC地址和IP地址不合法的ARP报文进行过滤。设备提供以下三种可以任意组合的检查项配置:

(1)IP地址检查:设备会检查ARP报文中的源IP和目的IP地址,全0、全1或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。

(2)源MAC地址检查:设备会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致,一致则认为合法,否则丢弃报文。

(3)目的MAC地址检查:设备会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致,一致则认为合法,否则丢弃报文。

其实后面两项MAC地址的检查与上面的ARP报文内MAC地址一致性检查方法是一样的。但是,通常ARP报文中源MAC地址和以太网数据帧首部中的源MAC地址不一致的ARP报文,以及目的MAC地址和以太网数据帧首部中的目的MAC地址不一致的ARP应答报文均是ARP协议允许的ARP报文。因此,只有在网络管理员发现攻击产生后,通过报文头获取方式定位、确定了是由于对应项不一致的ARP报文导致的攻击,才能指定ARP报文合法性,检查时需要检查源MAC地址和目的MAC地址。

ARP报文合法性检查的配置方法,仅需在系统视图下配置arp anti-attack packet-check { ip | dst-mac | sender-mac}*命令,使能ARP报文合法性检查功能,并指定ARP报文合法性检查项。

(1)IP:可多选项,对应“IP地址检查”方式,指定在进行ARP报文合法性检查时检查IP地址。

(2)dst-mac:可多选项,对应“目的MAC地址检查”方式,指定在进行ARP报文合法性检查时检查目的MAC地址。

(3)sender-mac:可多选项,对应“源MAC地址检查”方式,指定在进行ARP保温合法性检查时检查源MAC地址。

七、配置DHCP触发ARP学习

在DHCP用户场景下,当DHCP用户数目很多时,设备进行大规模ARP表项的学习和老化会对设备性能和网络环境形成冲击。为了避免此问题,可以在网关设备上使能DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址,网关设备会根据VLANIF接口上收到的DHCP ACK(确认)报文直接生成该用户的ARP表项。但DHCP触发ARP学习功能生效的前提是已在网关设备上通过dhcp Snooping enable命令使能了DHCP Snooping功能。

在VRRP和DHCP Relay组合场景下,VRRP主备设备上都不能在配置命令dhcpSnooping enable和arp Learning dhcp-trigger。网关设备上还可同时部署动态ARP检测功能,防止DHCP用户的ARP表项被伪造的ARP报文恶意修改。

DHCP触发ARP学习的配置方法,就是在对应的VLANIF接口视图下执行arp learning dhcp-trigger命令使能DHCP触发ARP学习功能。

ARP安全配置管理

(1)display arpanti-attack configuration { arp-rate-limit | arpmiss-rate-limit|arp-speed-limit | arpmiss-speed-limit |entry-check | gateway-duplicate |log-trap-timer | packet-check | all }:查看ARP防攻击配置。

(2)displayarp-limit [interface interface-type interface-number] [vlan vlan-id]:查看接口可以学习到的动态ARP表项数目的最大值。

(3)display arplearning strict:查看全局和所有VLANIF接口上的ARP表项严格学习情况。

(4)display arpanti-attack configuration check user-bind interface interface-typeinterface-number:查看接口下ARP报文检查相关的配置。

(5)disp arpanti-attack gateway-duplicate item:查看ARP防网关冲突攻击表项。

使用以下display任意视图命令维护ARP安全包括监控ARP运行情况。

(1)display arppacket statistics:查看ARP处理的报文统计数据。

(2)display arpanti-attack statistics check user-bind interface interface-typeinterface-number:查看接口下进行ARP报文绑定表匹配检查的ARP报文丢弃计数。

(3)display arpanti-attack packet-check statistics:查看ARP报文合法性检查过程中被过滤的非法ARP报文统计数据。

(4)display arpanti-attack arpmiss-record-info [ip-address]:查看ARP Miss消息限速触发时的相关信息。

使用reset用户视图命令清除ARP报文统计信息、清除ARP报文丢弃计数以及配置对潜在的ARP攻击行为发送日志和告警。

(1)reset arppacket statistics:清除ARP报文的统计信息。

(2)reset arpanti-attack statistics check user-bind interface interface-typeinterface-number:清除由于不匹配绑定表而丢弃的ARP报文计数。

(3)reset arpanti-attack statistics rate-limit:清除由于ARP报文超过速率限制阈值而被丢弃的计数。

配置示例

一、ARP安全综合功能配置示例

如上拓扑,Switch作为网关通过GE1/0/3接口连接一台服务器,通过GE1/0/1和GE1/0/2接口分别连接VLAN10和VLAN20下的用户。网络中存在以下ARP威胁,现希望能够防止这些ARP攻击行为,为用户提供更安全的网络环境和更稳定的网络服务。

(1)攻击者向Switch发送伪造的ARP报文和伪造的免费ARP报文进行ARP欺骗攻击,恶意修改Switch上的ARP表项,造成其他用户无法正常接收数据报文。

(2)攻击者发出大量目的IP地址不可达的IP报文进行ARP泛洪攻击,造成Switch的cpu负荷过重。

(3)用户User1构造大量源IP地址变化、MAC地址固定的ARP报文进行ARP泛洪攻击,造成Switch的ARP表资源被耗尽以及CPU进行繁忙,影响正常业务的处理。

(4)用户User3构造大量源IP地址固定的ARP报文进行ARP泛洪攻击,造成Switch的CPU进程繁忙,影响到正常业务的处理。

1、基本配置思路分析

针对这样的环境,首先要分析网络中存在哪些ARP方面的安全隐患,然后有针对性的给出可用解决方案选择对应的解决方案。

(1)配置ARP表项严格学习功能和ARP表项固化功能,实现防止伪造的ARP报文错误的更新Switch的ARP表项;配置免费ARP报文主动丢弃功能,实现防止伪造的免费ARP报文错误地更新设备ARP表项。

(2)配置根据源IP地址进行ARP Miss消息限速,实现防止用户侧存在攻击者发出大量目的IP地址不可达的IP报文触发大量ARP Miss消息,形成ARP泛洪攻击。同时需要保证Switch可以正常处理服务器发出的大量此类报文,避免因丢弃服务器发出的大量此类报文而造成网络无法正常通信。

(3)配置基于接口的ARP表项限制以及根据源MAC地址进行ARP限速,实现防止User1发送的大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的ARP表资源被耗尽,避免CPU进程繁忙。

(4)配置根据源IP地址进行ARP限速,实现防止User3发送的大量源IP地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的CPU进程繁忙。

2、具体配置步骤

<Huawei>system-view

[Huawei]vlan BATch 10 20 30

[Huawei]interface gigabitethernet 1/0/1

[Huawei-GigabitEthernet1/0/1]port link-typetrunk

[Huawei-GigabitEthernet1/0/1]port trunkallow-pass vlan 10

[Huawei-GigabitEthernet1/0/1]quit

[Huawei]interface gigabitethernet 1/0/2

[Huawei-GigabitEthernet1/0/2]port link-typetrunk

[Huawei-GigabitEthernet1/0/2]port trunkallow-pass vlan 20

[Huawei-GigabitEthernet1/0/2]quit

[Huawei]interface gigabitethernet 1/0/3

[Huawei-GigabitEthernet1/0/3]port link-typetrunk

[Huawei-GigabitEthernet1/0/3]port trunkallow-pass vlan 30

[Huawei-GigabitEthernet1/0/3]quit

(2)创建接口VLANIF10、VLANIF20、VLANIF30,并按图中标注配置各VLANIF接口的IP地址。

[Huawei]interface vlanif 10

[Huawei-Vlanif10]ip address 8.8.8.4 24

[Huawei-Vlanif10]quit

[Huawei]interface vlanif 20

[Huawei-Vlanif20]ip address 9.9.9.4 24

[Huawei-Vlanif20]quit

[Huawei]interface vlanif 30

[Huawei-Vlanif30]ip address10.10.10.3 24

[Huawei-Vlanif30]quit

(3)配置ARP表项严格学习功能,使网关设备只对自己主动发送的ARP请求报文的应答报文触发本学习ARP表项,其他设备主动向网关设备发送的ARP报文不能触发本学习ARP表项。防止从伪造的ARP报文中学习ARP表项。

[Huawei]arp learning strict

(4)配置ARP表项固化模式为fixed-mac方式。使网关设备对收到的ARP报文中的MAC地址与ARP表中对应表项的MAC地址进行匹配检查,直接丢弃MAC地址不匹配的ARP报文。

[Huawei]arp anti-attack entry-checkfixed-mac enable

(5)配置免费ARP报文主动丢弃功能。使网关设备直接丢弃免费ARP报文。

[Huawei]arp anti-attack gratuitous-arp drop

(6)配置根据源IP地址进行ARP Miss消息限速,对Server(IP地址为10.10.10.2)的ARP Miss消息进行限速,允许Switch每秒最多处理该IP地址触发的40个ARP Miss消息;对于其他用户,允许Switch每秒最多处理同一个源IP地址触发的20个ARP Miss消息。

[Huawei]arp-miss speed-limit source-ipmaximum 20

[Huawei]arp-miss speed-limit source-ip10.10.10.2 maximum 40

(7)配置基于接口的ARP表项限制,使GE1/0/1接口最多可以学习到20个动态ARP表项。

[Huawei]interface gigabitethernet1/0/1

[Huawei-GigabitEthernet1/0/1]arp-limit vlan10 maximum 20

[Huawei-GigabitEthernet1/0/1]quit

(8)配置根据源MAC地址进行ARP限速,对用户User1(MAC地址为1-1-1)进行ARP报文限速,每秒最多只允许10个该MAC地址的ARP报文通过。

[Huawei]arp speed-limit source-mac 1-1-1maximum 10

(9)配置根据源IP地址进行ARP限速,对用户User3(IP地址为9.9.9.2)进行ARP报文限速,每秒最多只允许10个该IP地址的ARP报文通过。

[Huawei]arp speed-limit source-ip 9.9.9.2maximum 10

配置后,通过display arplearning strict查看全局已经配置ARP表项严格学习功能;通过display arp packet statistics查看ARP处理的报文统计数据。

二、防止ARP中间人攻击配置示例

如上拓扑,SwitchA通过GE2/0/1接口连接DHCPServer,通过GE1/0/1和GE1/0/2接口分别连接DHCP客户端UserA和UserB,通过GE1/0/3接口连接静态配置IP地址的用户UserC。SwitchA的GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1接口都属于VLAN10。现希望能够防止ARP中间人攻击,避免合法用户的数据被中间人窃取,同时希望能够了解当前ARP中间人攻击的频率和范围。

1、基本配置思路分析

可以采取以下方法来预防ARP中间人攻击。

(1)使能动态ARP检测功能,使SwitchA对收到的ARP报文对应的源IP地址、源MAC地址、VLAN以及接口信息进行DHCPSnooping绑定表匹配检查,防止ARP中间人攻击。

(2)使能动态ARP检测丢弃报文告警功能,使SwitchA开始统计丢弃的不匹配DHCPSnooping绑定表的ARP报文数量,并在丢弃数量超过告警阈值时能以告警的方式提醒管理员,这样可以使管理员根据告警信息以及报文丢弃计数来了解当前ARP中间人攻击的频率和范围。

(3)配置DHCPSnooping功能,并为UserC配置静态绑定表(对于采用DHCP自动分配IP地址的UserA和UserB,在设备使能DHCPSnooping功能后,当他们上线时设备会自动生成DHCP Snooping绑定表),使动态ARP检测功能生效。

2、具体配置步骤

(1)创建VLAN10,并将GE1、GE1/0/2、GE1/0/3、GE2/0/1接口加入VLAN10中。

<Huawei>system-view

[Huawei]sysname SwitchA

[SwitchA]vlan batch 10

[SwitchA]interface gigabitethernet1/0/1

[SwitchA-GigabitEthernet1/0/1]portlink-type access

[SwitchA-GigabitEthernet1/0/1]port defaultvlan 10

[SwitchA-GigabitEthernet1/0/1]quit

[SwitchA]interface gigabitethernet1/0/2

[SwitchA-GigabitEthernet1/0/2]portlink-type access

[SwitchA-GigabitEthernet1/0/2]port defaultvlan 10

[SwitchA-GigabitEthernet1/0/2]quit

[SwitchA]interface gigabitethernet1/0/3

[SwitchA-GigabitEthernet1/0/3]portlink-type access

[SwitchA-GigabitEthernet1/0/3]port defaultvlan 10

[SwitchA-GigabitEthernet1/0/3]quit

[SwitchA]interface gigabitethernet2/0/1

[SwitchA-GigabitEthernet2/0/1]portlink-type trunk

[SwitchA-GigabitEthernet2/0/1]port trunkallow-pass vlan 10

[SwitchA-GigabitEthernet2/0/1]quit

(2)使能动态ARP检测功能和动态ARP检测丢弃报文告警功能。在用户侧的GE1/0/1、GE1/0/2、GE1/0/3接口想使能动态ARP检测功能和动态ARP检测丢弃报文告警功能。以GE1/0/1为例。

[SwitchA]interface gigabitethernet1/0/1

[SwitchA-GigabitEthernet1/0/1]arpanti-attack check user-bind enable

[SwitchA-GigabitEthernet1/0/1]arpanti-attack check user-bind alarm enable

[SwitchA-GigabitEthernet1/0/1]quit

(3)配置DHCPSnooping功能

[SwitchA]dhcp enable

[SwitchA]dhcp Snooping enable #--全局使能DHCPSnooping功能

[SwitchA]vlan 10

[SwitchA-vlan10]dhcp Snooping enable #--在VLAN10内使能DHCPSnooping功能,这就会为VLAN10中的动态IP地址用户UserA和UserB自动生成绑定表

[SwitchA-vlan10]quit

[SwitchA]interface gigabitethernet2/0/1

[SwitchA-GigabitEthernet2/0/1]dhcp Snoopingtrusted #--配置接口GE2/0/1为DHCP Snooping信任接口,所有接口缺省均为非信任端口

[SwitchA-GigabitEthernet2/0/1]quit

[SwitchA]user-bind static ip-address10.0.0.2 mac-address 0001-0001-0001 interface Gigabitethernet 1/0/3 vlan 10 #--在信任接口GE2/0/1上为采用静态IP地址分配的UserC用户配置静态绑定表

配置好后,查看验证:

GE1/0/1接口下产生了ARP报文丢弃计数和丢弃的ARP报文告警数,表明防ARP中间人攻击功能已经生效。当在各接口下多次执行命令display arp anti-attack statistics check user-bind interface时,可根据显示信息中“DroppedARP packet number is”字段值的变化来了解ARP中间人攻击频率和范围。

相关阅读

在淘宝店铺购买手机安全吗?如何选择正品店?

在现在这个网购发达的时代,很多的人也都会选择在网上进行购物,淘宝作为国内最大的电商平台,如果我们在这个平台上面买手机的话靠谱吗

闲鱼实名认证会泄漏吗?安不安全?

关于实名认证的话题,网上已经有了很多讨论,我们也有看过很多新闻说是实名认证被泄露信息的,可是像我们都在使用的手机淘宝,支付宝、闲

web服务器安全笔记

一.设置项目目录权限(centos ,apache为例)1.chown -R root /var/www/html/project   (设置项目所属的用户)2.chgrp  -R root /

5个步骤,教你瞬间明白线程和线程安全

作者 | 一个程

调查网赚是真的吗?小心谨慎最安全

很多人都做过市场调查,但是有一些人对于网上的调查能赚钱这件事报有怀疑态度,确实,现在虚假信息有很多,那么调查网赚到底是真是假,作为

分享到:

栏目导航

推荐阅读

热门阅读