华为交换机防止同网段ARP欺骗攻击配置案例

1 阻止仿冒网关 IP arp 攻击
1.1  二层交换机实现防攻击
1.1.1  配置组网
 
1 二层交换机防 ARP 攻击组网
S3552P 是三层设备,其中 IP 100.1.1.1 是所有 PC 的网关, S 3552P 上的网关 MAC 地址为 000f-e200-3999 PC-B 上装有 ARP 攻击软件。现在需要对 S 3026_A 进行一些特殊配置,目的是过滤掉仿冒网关 IP ARP 报文。
1.1.2   配置步骤
对于二层交换机如 S 3026C 等支持用户自定义 ACL number 5000 5999 的交换机,可以配置 ACL 来进行 ARP 报文过滤。
全局配置 ACL 禁止所有源 IP 是网关的 ARP 报文
acl num  5000
 rule 0 deny 0806 ffff 24 64010101 ffffffff 40
 rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP 报文禁掉,其中斜体部分 64010101 是网关 IP 地址 100.1.1.1 16 进制表示形式。 Rule1 允许通过网关发送的 ARP 报文,斜体部分为网关的 mac 地址 000f-e200-3999
注意:配置 Rule 时的配置顺序,上述配置为先下发后生效的情况。
S3026C-A 系统视图下发 acl 规则:
[S3026C-A] packet-filter user-group 5000
这样只有 S3026C_A 上连网关设备才能够发送网关的 ARP 报文,其它主机都不能发送假冒网关的 arp 响应报文。
1.2   三层 交换机实现防攻击
1.2.1 配置组网
 
2 三层交换机防 ARP 攻击组网
1.2.2  防攻击配置举例
对于三层设备,需要配置过滤源 IP 是网关的 ARP 报文的 ACL 规则,配置如下 ACL 规则:
acl number 5000
 rule 0 deny 0806 ffff 24 64010105 ffffffff 40
rule0 禁止 S3526E 的所有端口接收冒充网关的 ARP 报文,其中斜体部分 64010105 是网关 IP 地址 100.1.1.5 16 进制表示形式。
仿冒他人 IP arp 攻击
作为网关的设备有可能会出现 ARP 错误表项,因此在网关设备上还需对仿冒他人 IP ARP 攻击报文进行过滤。
如图 1 所示,当 PC-B 发送源 IP 地址为 PC-D arp reply 攻击报文,源 mac PC-B mac (000d-88f8-09fa) ,源 ip PC-D ip(100.1.1.3) ,目的 ip mac 是网关( 3552P )的,这样 3552 上就会学习错误的 arp ,如下所示:
---------------------   错误 arp 表项 --------------------------------
IP Address    MAC Address     VLAN ID  Port Name       Aging Type
100.1.1.4     000d-88f8-09fa   1        Ethernet0/2     20    Dynamic
100.1.1.3     000f-3d81-45b4   1       Ethernet0/2     20    Dynamic
从网络连接可以知道 PC-D arp 表项应该学习到端口 E0/8 上,而不应该学习到 E0/2 端口上。但实际上交换机上学习到该 ARP 表项在 E0/2 。通过如下配置方法可以防止这类 ARP 的攻击。
一、在 S 3552 上配置静态 ARP ,可以防止该现象:
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
二、 同理在图 2 S3526C 上也可以配置静态 ARP 来防止设备学习到错误的 ARP 表项。  
三、对于二层 设备 S 3050C S 3026E 系列) 除了可以配置静态 ARP 外,还可以配置 IP MAC port 绑定,比如在 S 3026C 端口 E0/ 4 上做如下操作:  
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
IP 100.1.1.4 并且 MAC 000d-88f8-09fa ARP 报文可以通过 E0/4 端口,仿冒其它设备的 ARP 报文则无法通过,从而不会出现错误 ARP 表项。  
上述配置案例中仅仅列举了部分 Quidway S 系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义 ACL 和地址绑定。仅仅具有上述功能的交换机才能防止 ARP 欺骗。

你可能感兴趣的:(职场,休闲,网段ARP欺骗攻击)