龙空技术网

ARP 攻击防范技术

一生不羁爱free 508

前言:

现在大家对“arp防范攻击的方法有”大体比较讲究,大家都需要知道一些“arp防范攻击的方法有”的相关文章。那么小编也在网上收集了一些有关“arp防范攻击的方法有””的相关文章,希望你们能喜欢,你们快快来了解一下吧!

ARP 攻击防范技术介绍

防 ARP 地址欺骗

特性简介

设备作为三层使用时,当用户发送ARP报文修改设备的ARP表项时,防地址欺骗可以通过

ARP报文和ARP表中的相关表项对比,对ARP表项的某些字段不允许修改的方式防止ARP欺骗。

实现方式

防地址欺骗有两种方式: 1)主动确认方式进行ARP学习; 2)锁定方式防表项更新,在第

一次学习到ARP表后不允许再更新表项。

主动确认方式进行ARP学习

在第一次学习ARP时,当收到用户的更新ARP请求,暂时不更新本地的ARP表,先向用户发

送一个ARP请求,如果用户回应该请求,则学习此用户的ARP,否则不学习该用户的ARP。

注:主动确认方式的ARP学习目前有一个缺陷,参见主动确认方式的ARP学习缺陷。

锁定方式防止ARP更新

当用户第一次学习到ARP后,锁定ARP表项的某些字段或全部字段,不允许更新ARP表项。

包括两种锁定方式: 1) fixed-mac方式,不允许更新MAC和IP,可以更新端口、 VLAN等其他信息; 2) fixed-all方式,全部不允许更新,包括ARP的老化时间都不允许更新。

防 ARP 网关冲突

特性简介

当设备作为网关时, ARP网关冲突检查可以防止用户仿冒网关的IP,非法修改网关和网络

内其他用户的ARP表项。

实现方式

当交换机使能防ARP网关冲突时,下发一条ACL规则将ARP报文全部上送,通过软件转发。

当CPU收到ARP报文时,比较此ARP报文的源IP是否和其所在的VLANIF的某个IP地址相同,

如果相同,则为用户仿冒网关IP,丢弃此ARP报文,记录日志并发送告警。同时下发一个ACL,

丢弃该用户的ARP报文,此ACL的有效时间为3分钟, 3分钟后删除此ACL规则。

ARP 严格学习

特性简介

ARP表项严格学习用来防止恶意更改ARP表项。使能ARP严格学习功能后,使交换机只学习

自己发送的ARP请求报文的应答报文。

实现方式

ARP严格学习是在设备发送ARP请求时,记录下当前发送的请求表项,称之为发送列表,

当收到ARP回应报文时,比较此报文的源地址是否在发送列表中,如果在发送列表中,则更新

ARP表项,否则不更新ARP表。另外,收到的ARP请求也免费ARP报文都不更新ARP表项。

注:该特性为VRP平台实现。

1.3.4 动态 ARP 检测(DAI)

特性简介

Dynamic ARP Inspection(DAI)是通过DHCP SNOOPING表项,检查收到的ARP报文的合法性,

如果ARP报文和DHCP SNOOPING绑定表的内容一致,则允许此用户的ARP报文通过,否则丢弃该

ARP报文。

防止ARP中间人攻击,可以配置ARP报文检查功能,对接口或VLAN下收到的ARP报文和绑定

表进行匹配检查,当报文的检查项和绑定表中的特征项一致时,转发该报文,否则丢弃报文。

同时可以配置告警功能,当丢弃的报文数超过限制的阈值时,发出告警信息。

实现方式

DAI是通过DHCP SNOOPING检查ARP报文的合法性,目前有两种实现方式: 1)通过软件实

现,框式交换机采取这种方式; 2)通过芯片实现,盒式交换机采用这种方式。下面分别描述

两种实现方式。

 软件方式DAI

软件方式DAI是将ARP报文通过软件转发,在转发过程中判断报文的合法性。

当VLAN使能DAI时,下发规则将该VLAN下的所有ARP报文上送到软件层面。在软件层,查

找DHCP SNOOPING绑定表来检查ARP报文是否和绑定表匹配,主要检查ARP报文的源MAC、源IP、

报文入端口、 VLAN(可以包括内层VLAN和外层VLAN)是否和DHCP SNOOPING绑定表匹配,如果完全匹配,允许报文转发,否则丢弃该报文。匹配的选项可以配置。

 硬件方式DAI

硬件方式是通过芯片的ACL规则检查用户ARP报文的合法性,检查的内容和通过软件检查

一致,也可配置。

当DHCP SNOOPING用户上线后,通知DAI模块。 DAI模块将用户表项中的源MAC、源IP、 VLAN

信息,加上匹配ARP协议,组装成一条ACL规则,下发到芯片中。

当ARP报文从某个端口进入芯片时,通过下发的ACL规则去匹配,如果匹配到,说明发送

这个ARP报文的用户是合法的,允许该ARP报文转发,当下发的用户ARP ACL不能匹配时,该用

户是非法的,通过匹配该端口下的默认ACL规则丢弃报文(该规则在端口使能DAI时下发,如

果是基于VLAN的DAI,则在VLAN使能DAI是下发到VLAN上)。

ARP 报文速率限制

在城域以太网中,存在着很多针对ARP 表项的攻击,因此需要在网络的接入层或者汇聚

层配置防止对ARP 表项的攻击,以保护网络的安全性。

为防止大量的ARP 报文增加CPU 的负荷,以及占用大量的ARP 表项,可以配置ARP 报

文速率抑制,将上送主控板处理的ARP 报文速率限制在一个合理的范围内。

为防止主机发送大量目标IP 地址不能解析的IP 报文来攻击设备,可以配置ARPMiss

源抑制功能,对攻击者的报文进行丢弃处理。

接口下使能ARP 报文检查功能后,经过接口的ARP 报文上送安全模块进行检查,为

防止大量ARP 报文对安全模块的冲击,可以配置ARP 报文速率抑制,对超过速率限

制的报文做丢弃处理。

ARP 防攻击解决方案

二层交换机防攻击方案

如上图所示, 在二层交换机上,部署DAI,以保证整个网络的ARP安全,部署ARP限速,以

保证设备自身的安全;

三层网关防攻击方案

如上图所示, 在三层交换机上,部署防ARP地址欺骗、放ARP网关冲突和ARP严格学习,保

证网络中的ARP安全,部署ARP报文限速,保证设备本身的安全。

标签: #arp防范攻击的方法有