华为S9300核心交换机ARP安全配置(-)
华为S9300核心交换机ARP安全配置(一)
ARP安全简介
ARP 安全通过过滤不信任的ARP 报文以及对某些ARP 报文进行时间戳抑制来保证网络
设备的安全性和健壮性。
网络中有很多针对ARP 表项的攻击,攻击者通过发送大量伪造的ARP 请求、应答报文
攻击网络设备,主要有ARP 缓冲区溢出攻击和ARP 拒绝服务攻击两种。
1.ARP 缓冲区溢出攻击:攻击者向设备发送大量虚假的ARP 请求报文和免费ARP 报
文,造成设备上的ARP 缓存溢出,无法缓存正常的ARP 表项,从而阻碍正常的报
文转发。
2.ARP 拒绝服务攻击:攻击者发送大量伪造的ARP 请求、应答报文或其它能够触发
ARP 处理的报文,造成设备的计算资源长期忙于ARP 处理,影响其它业务的处
理,从而阻碍正常的报文转发。
此外,还有基于ARP 协议的扫描攻击:攻击者利用工具扫描本网段主机或者跨网段进
行扫描时,S9300 在发送回应报文前,会查找ARP 表项,如果目的IP 地址对应的MAC
地址不存在,会导致S9300 的ARP 模块向上层软件发送ARP Miss 消息,要求上层软件
发送ARP 请求报文以获得目的端的MAC 地址。大量的扫描报文会导致大量的ARP Miss
消息,导致系统的资源浪费在处理ARP Miss 消息上,影响设备对其它业务的处理,形
成扫描攻击。
S9300 支持的
ARP 安全特性
(一)
ARP 地址欺骗
攻击者通过伪造其他用户发出的ARP 报文,篡改设备上的用户ARP 表项,造成其它合
法用户的网络中断。
S9300 可以通过以下两种方法防御此类攻击。
1. 固定MAC 地址:S9300 第一次学习到ARP 表项之后不再允许通过ARP 学习来修
改MAC 地址,直到此ARP 表项老化之后才允许更新,以保护合法用户的ARP 表
项不被修改。
2.固定MAC 地址有两种方式:Fixed-mac 和Fixed-all。Fixed-mac 方式下,不允许修
改MAC 地址,但是允许修改VLAN 和接口信息;Fixed-all 方式下,MAC、VLAN
和接口信息都不允许修改。
3.主动确认:S9300 收到一个涉及MAC 地址修改的ARP 报文时,不会立即修改ARP
表项,而是先对原ARP 表中与此MAC 地址对应的用户发一个单播确认,根据确认
结果再决定是否修改。
(二)ARP 网关冲突
指攻击者仿冒网关地址,在局域网内部发送源IP 地址是网关地址的免费ARP 报文。主
机接收到该报文后,会修改自己原来的网关地址为攻击者的地址,最终导致局域网内部
所有主机无法访问网络。
S9300 收到到与网关地址冲突的ARP 报文时,如果存在下列情况之一:
1.ARP 报文的源IP 与报文入接口的IP 地址相同;
2. ARP 报文的源IP 是内部服务器的地址;
3. VRRP(Virtual Router Redundancy Protocol)虚MAC 方式时,ARP 报文的源IP 是
入接口的虚拟IP 地址,但ARP 报文源MAC 不是VRRP 虚MAC。则系统生成ARP 防攻击
表项,在后续一段时间(默认3 分钟)内对收到具有相同源MAC地址的报文直接丢弃,
这样可以防止与网关地址冲突的ARP 报文在VLAN 内广播。
(三)短期内大量
ARP 报文
某个源IP 地址发送大量ARP 报文,浪费设备的CPU 资源和给ARP 报文上送预留的有
限带宽。
S9300 具有针对源IP 地址的ARP 报文速率抑制的功能。在一段时间内,如果S9300 收
到某一源IP 地址的ARP 报文数目超过设定阈值,则不处理超出阈值部分的ARP 请求报
文。
(四)大量地址无法解析的
IP 报文
主机通过向设备发送大量目标IP 地址不能解析的IP 报文来攻击设备。
对此类攻击,S9300 提供对ARP Miss 消息基于源IP 地址的抑制。如果一个源IP 地址向
S9300 发送了目标IP 地址不能解析的IP 报文,就会触发ARP Miss 消息,S9300 对上报
的ARP Miss 消息进行统计。如果一个源IP 地址在一定时间内不断触发ARP Miss,而
且其触发速率超过了设定的阈值,则认为此IP 地址在进行攻击。S9300 将下发ACL 规
则,在后续的一段时间内(默认为50 秒)把这个地址发出的IP 报文丢弃。
本文出自 “光网互联域名注册虚拟主机” 博客,谢绝转载!