資源描述:
《ARP攻擊防御配置.docx》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�。
1����、ARP攻擊防御配置ARP協(xié)議有簡(jiǎn)單、易用的優(yōu)點(diǎn)��,但是也因?yàn)槠錄](méi)有任何安全機(jī)制而容易被攻擊發(fā)起者利用����。目前ARP攻擊和ARP病毒已經(jīng)成為局域網(wǎng)安全的一大威脅,為了避免各種攻擊帶來(lái)的危害�,設(shè)備提供了多種技術(shù)對(duì)攻擊進(jìn)行檢測(cè)和解決。下面將詳細(xì)介紹一下這些技術(shù)的原理以及配置�。3.1配置ARP源抑制功能3.1.1ARP源抑制功能簡(jiǎn)介如果網(wǎng)絡(luò)中有主機(jī)通過(guò)向設(shè)備發(fā)送大量目標(biāo)IP地址不能解析的IP報(bào)文來(lái)攻擊設(shè)備,則會(huì)造成下面的危害:?設(shè)備向目的網(wǎng)段發(fā)送大量ARP請(qǐng)求報(bào)文�,加重目的網(wǎng)段的負(fù)載���。?設(shè)備會(huì)不斷解析目標(biāo)IP地址��,增加了CPU的負(fù)擔(dān)����。為避免這種攻擊
2、所帶來(lái)的危害���,設(shè)備提供了ARP源抑制功能�����。開(kāi)啟該功能后��,如果網(wǎng)絡(luò)中某主機(jī)向設(shè)備某端口連續(xù)發(fā)送目標(biāo)IP地址不能解析的IP報(bào)文(當(dāng)每5秒內(nèi)的ARP請(qǐng)求報(bào)文的流量超過(guò)設(shè)置的閾值)���,對(duì)于由此IP地址發(fā)出的IP報(bào)文,設(shè)備不允許其觸發(fā)ARP請(qǐng)求�����,直至5秒后再處理����,從而避免了惡意攻擊所造成的危害。3.1.2配置ARP源抑制表3-1配置ARP源抑制操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-使能ARP源抑制功能arpsource-suppressionenable必選缺省情況下���,關(guān)閉ARP源抑制功能配置ARP源抑制的閾值arpsource-supp
3�、ressionlimitlimit-value可選缺省情況下����,ARP源抑制的閾值為103.1.3ARP源抑制顯示和維護(hù)在完成上述配置后�����,在任意視圖下執(zhí)行display命令可以顯示配置后ARP源抑制的運(yùn)行情況��,通過(guò)查看顯示信息驗(yàn)證配置的效果��。表3-2ARP源抑制顯示和維護(hù)操作命令顯示ARP源抑制的配置信息displayarpsource-suppression3-23.2配置ARP防IP報(bào)文攻擊功能3.2.1ARP防IP報(bào)文攻擊功能介紹在進(jìn)行IP報(bào)文轉(zhuǎn)發(fā)過(guò)程中���,設(shè)備需要依靠ARP解析下一跳IP地址的MAC地址。如果地址解析成功�����,報(bào)文可以直
4��、接通過(guò)硬件轉(zhuǎn)發(fā)芯片直接轉(zhuǎn)發(fā)出去�����,而不需要再由軟件處理���;如果地址解析不成功�,需要由軟件進(jìn)行解析處理����。這樣,如果接收到大量下一跳IP地址循環(huán)變化并且該IP地址不可達(dá)的IP報(bào)文�����,由于下一跳IP地址解析不成功���,軟件會(huì)試圖反復(fù)地對(duì)下一跳IP地址進(jìn)行探測(cè)��,導(dǎo)致CPU負(fù)荷過(guò)重���,就造成了IP報(bào)文對(duì)設(shè)備的攻擊。用戶可以通過(guò)配置ARP防IP報(bào)文攻擊功能來(lái)預(yù)防這種可能存在的攻擊情況���。在防IP報(bào)文攻擊功能啟用后�,一旦接收到下一跳地址不可達(dá)的IP報(bào)文(即ARP解析失敗的IP報(bào)文)�����,設(shè)備立即產(chǎn)生一個(gè)黑洞路由,使硬件轉(zhuǎn)發(fā)芯片在一段時(shí)間內(nèi)將去往該地址的報(bào)文直接丟棄��。等
5��、待黑洞路由老化時(shí)間過(guò)后�����,如有報(bào)文觸發(fā)則再次發(fā)起解析�����,如果解析成功則由硬件進(jìn)行轉(zhuǎn)發(fā)���,否則仍然下發(fā)黑洞路由�。這種方式能夠有效的防止IP報(bào)文的攻擊�����,減輕CPU的負(fù)擔(dān)���。3.2.2啟用ARP防IP報(bào)文攻擊功能啟用ARP防IP報(bào)文攻擊功能對(duì)轉(zhuǎn)發(fā)報(bào)文和本地產(chǎn)生的報(bào)文均有效��。表3-3啟用ARP防IP報(bào)文攻擊功能操作命令說(shuō)明進(jìn)入系統(tǒng)視圖system-view-啟用ARP防IP報(bào)文攻擊功能arpresolving-routeenable可選缺省情況下��,交換機(jī)的ARP防IP報(bào)文攻擊功能處于開(kāi)啟狀態(tài)3.3配置ARPDetection功能3.3.1ARPDete
6���、ction功能介紹當(dāng)交換機(jī)作為二層接入設(shè)備時(shí),正常情況下�����,用戶發(fā)送的廣播ARP請(qǐng)求將在VLAN內(nèi)廣播��,ARP應(yīng)答將進(jìn)行二層轉(zhuǎn)發(fā)�。如果用戶仿冒其他用戶的IP地址,將會(huì)改寫(xiě)網(wǎng)關(guān)或者其他用戶的ARP表項(xiàng)����,導(dǎo)致被仿冒用戶的報(bào)文錯(cuò)誤的發(fā)送到發(fā)起攻擊用戶的主機(jī)上。用戶可以通過(guò)配置ARPDetection功能����,對(duì)于合法用戶的ARP報(bào)文進(jìn)行正常轉(zhuǎn)發(fā),否則丟棄�。ARPDetection包含三個(gè)功能:基于DHCPSnooping安全表項(xiàng)的用戶合法性檢查功能(關(guān)于“DHCPSnooping”的詳細(xì)介紹請(qǐng)參見(jiàn)“IP業(yè)務(wù)分冊(cè)”中的“DHCP配置”);ARP報(bào)文有
7�����、效性檢查功能;ARP報(bào)文上送限速功能�����。1.用戶合法性檢查結(jié)合DHCPSnooping安全表項(xiàng)實(shí)現(xiàn)ARP用戶合法性檢查���,根據(jù)ARP報(bào)文中源IP地址和源MAC地址檢查用戶是否是所屬VLAN所在端口上的合法用戶�。對(duì)于ARP信任端口��,不進(jìn)行用戶合法性檢查���。對(duì)于ARP非信任端口�����,且所屬VLAN使能了ARPDetection功能�����,這樣的ARP報(bào)文才進(jìn)行用戶合法性檢查�����。對(duì)于沒(méi)有使能ARPDetection的VLAN����,即使在ARP非信任端口上,也不進(jìn)行用戶合法性檢查���。3-32.ARP報(bào)文有效性檢查對(duì)于ARP信任端口,不進(jìn)行報(bào)文有效性檢查��;對(duì)于ARP非信
8���、任端口��,需要根據(jù)配置對(duì)MAC地址和IP地址不合法的報(bào)文進(jìn)行過(guò)濾��?�?梢赃x擇配置源MAC地址�����、目的MAC地址或IP地址檢查模式��。(1)對(duì)于源MAC地址的檢查模式�����,會(huì)檢查ARP報(bào)文中的源MAC地址和以太網(wǎng)報(bào)文頭中
