震惊!ARP安全竟然还可以这样配置?

   日期:2020-07-10     浏览:86    评论:0    
核心提示:本文主要是描述ARP安全的原理以及配置和实验演示!_arp speed-limit source-ip 129.1.1.123 maximum 10

写在前面:本人是一名计算机系大二的学生,正在备考HCIE R&S,会不定时的将我的学习笔记分享给大家!如果需要更多的学习资源可以通过我的GitHub自行下载!

目录

  • ARP安全
    • ARP Miss
    • ARP安全配置
    • DAI
    • 实验演示

ARP安全

  • address resolution protocol,地址解析协议

在pc端执行

arp -a //查看
arp  -d  //清除缓存
  • 免费arp:用于检测ip地址是否冲突

  • arp报文不能穿越到路由器,不能被转发到其他广播域,vlan隔离了广播域,只能在一个广播域

技术背景:arp病毒、arp欺骗、arp攻击

主要的攻击和危害

攻击 危害
仿冒攻击 仿冒网关或其他主机
欺骗攻击 欺骗网关或其他主机
泛洪攻击 使设备arp表溢出,cpu负荷过载

ARP Miss

  • 丢失,有ip没有mac,地址不在线

  • 网络中有大量用户发送大量目的ip地址不能解析的ip报文(即路由表中存在该报文 的目的ip对应的路由表项,但设备上没有改路由表项中的下一跳对用的arp表项),将导致设备触发大量的arp miss消息。这种触发arp miss 消息的报文(即arp miss报文)会被送上到CPU进行处理,设备会很久arp miss消息生成和下发大量临时arp表项并向目的网络发送大量aarp请求报文,这样就增加了设备CPU的负担

ARP安全配置

命令 备注
arp anti-attack getway-duplicate enable 开启arp防网关冲突(在接入层交换机开启)
arp gratuitous-arp send enable \ arp gratuitous-arp send interval 30 开启主动免费arp报文及间隔,配置arp防网关冲突
arp speed-limit source-mac maximum 10 \ arp speed-limit source-mac 0000-1111-2222 maximum 10 配置基于任何源或指定源mac的arp报文限速
arp speed-limit source-ip Maximun 20 \ arp speed-limit source-ip x.x.x.x maximum 20 配置基于任何源或指定源ip的arp报文限速
arp-miss speed-limit source-ip maximun 20 \ arp-miss speed-limit source-ip x.x.x.x j基于源ip的arp miss 消息限速
display arpanti-attack config all 查看当前arp防攻击配置情况
dis arp packet statistics 查看arp miss

PS:我不是标题狗哦!是真的被这配置复杂到了!靓女心塞!

DAI

  • dynamic arp inspection ,动态arp检测
  • 可以防止arp中间人攻击
  • 需要开启dhcp snooping (绑定表)
  • 当设备收到arp报文是,将此arp报文对用的源ip、源mac、vlan以及接口信息和绑定的信息进行比较,如果信息匹配,说明发送该arp报文的用户是合法用户,允许此用户的arp报文通过,否则就认为是攻击,丢弃该arp报文。

DAI配置

命令 备注
dhcp enable 开启dhcp
dhcp snooping enable 开启dhcp snooping全局、接口、vlan模式
dhcp snooping trusted 配置信任接口
arp anti-attack check user-bind enable 开启DAI
user-bindstatic ip-address x.x.x.x \ mac-address 0001-0001-0001 \ interface xxx vlan xx 配置静态绑定表,适合静态ip的设备
display shcp snooping user-bind all 查看绑定表
display arp anti-attack statistics check user-bind interface xxx 查看接口下DAI的arp报文丢弃记数

阶段总结

是一种递归关系

  • ip source guard
    • dynamic arp inspection
      • DHCP snooping
        • port security

实验演示

实验要求
Router 通过接口 Eth2/0/3 连接一台服务器,通过接口 Eth2/0/1、Eth2/0/2 连接 VLAN10和 VLAN20 下的四个用户。网络中存在以下 ARP 威胁:

  • 攻击者向 Router 发送伪造的 ARP 报文、伪造的免费 ARP 报文进行 ARP 欺骗攻击,恶意修改Router 的 ARP 表项,造成其他用户无法正常接收数据报文。

  • 攻击者发出大量目的 IP 地址不可达的 IP 报文进行 ARP 泛洪攻击,造成 Router 的 CPU 负荷过重。

  • 用户User1构造大量源IP地址变化MAC地址固定的ARP报文进行ARP泛洪攻击,造成Router的 ARP 表资源被耗尽以及 CPU 进程繁忙,影响到正常业务的处理。

  • 用户 User3 构造大量源 IP 地址固定的 ARP 报文进行 ARP 泛洪攻击,造成 Router 的 CPU 进程繁忙,影响到正常业务的处理。

管理员希望能够防止上述 ARP 攻击行为,为用户提供更安全的网络环境和更稳定的网络服务。

需求分析

  1. 配置 ARP 表项严格学习功能以及 ARP 表项固化功能,实现防止伪造的 ARP 报文错误地更
    新 Router 的 ARP 表项。
  2. 配置根据源 IP 地址进行 ARP Miss 消息限速,实现防止用户侧存在攻击者发出大量目的 IP地址不可达的 IP 报文触发大量 ARP Miss 消息,形成 ARP 泛洪攻击。同时需要保证 Router可以正常处理服务器发出的大量此类报文,避免因丢弃服务器发出的大量此类报文而造成网络无法正常通信。
  3. 配置基于接口的 ARP 表项限制以及根据源 MAC 地址进行 ARP 限速,实现防止 User1 发送的大量源 IP 地址变化 MAC 地址固定的 ARP 报文形成的 ARP 泛洪攻击,避免 Router 的 ARP表资源被耗尽,并避免 CPU 进程繁忙。
  4. 配置根据源 IP 地址进行 ARP 限速,实现防止 User3 发送的大量源 IP 地址固定的 ARP 报文形成的 ARP 泛洪攻击,避免 Router 的 CPU 进程繁忙。

配置

#
vlan batch 10 20 30
#
arp-miss speed-limit source-ip maximum 20 
#
arp learning strict
# 
arp-miss speed-limit source-ip 10.10.10.2 maximum 40 
arp speed-limit source-ip 9.9.9.2 maximum 10 
arp speed-limit source-mac 0001-0001-0001 maximum 10 
arp anti-attack entry-check fixed-mac enable 
#
interface Vlanif10 
ip address 8.8.8.4 255.255.255.0 
# 
interface Vlanif20 
ip address 9.9.9.4 255.255.255.0 
#
interface Vlanif30 
ip address 10.10.10.3 255.255.255.0 
#
interface Ethernet2/0/1
port link-type trunk 
port trunk allow-pass vlan 10 
arp-limit vlan 10 maximum 20
#
interface Ethernet2/0/2
port link-type trunk 
port trunk allow-pass vlan 20 
#
interface Ethernet2/0/3
port link-type trunk 
port trunk allow-pass vlan 30 
#
return

检验

display  arp  learning strict   //查看表项严格学习功能
display  arp-limt  xxx  //查看学习到的动态arp表项数目的最大值
display arp anti-attack configuration all    //查看当前 ARP 防攻击配置情况
display arp packet statistics //查看 ARP 处理的报文统计数据

ps:模拟arp攻击的过程太过于复杂了,整理也不易我就不整理出来给大家看了!推荐可以去安装一个软件—科来。官方也可以自行下载,这里给一下百度网盘链接可以自行保存。嘻嘻,科来还有很多可以玩的,会玩的大佬可以去自行摸索一下!

复制这段内容后打开百度网盘手机App,操作更方便哦 链接:https://pan.baidu.com/s/1PSDVLajlthuifP4SkrrS2A 提取码:io09

本文均属肉肉原创,本文章属于本人花费大量时间整理出来,如有不详或错误,欢迎指出!读到这里了,不妨给肉肉点个赞

往期精彩:

  • 深入理解MPLS,和你一起详谈MPLS标签和动作!)
  • 【计算机网络】-边界网关协议(BGP)
  • 什么是组播?让我们一起解密组播协议(IGMP、PIM)

本文作者:肉肉
版权声明:博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!

 
打赏
 本文转载自:网络 
所有权利归属于原作者,如文章来源标示错误或侵犯了您的权利请联系微信13520258486
更多>最近资讯中心
更多>最新资讯中心
0相关评论

推荐图文
推荐资讯中心
点击排行
最新信息
新手指南
采购商服务
供应商服务
交易安全
关注我们
手机网站:
新浪微博:
微信关注:

13520258486

周一至周五 9:00-18:00
(其他时间联系在线客服)

24小时在线客服