arp miss攻击_详述网络中ARP安全的综合功能
针对以上攻击,ARP安全提供如下措施保证网络设备的安全性:
针对第一种攻击,可配置ARP防网关冲突,防止攻击者冒充网关窃听用户主机信息。
针对第二种攻击,可配置ARP Miss消息限速,减小CPU的负担,保护目的网络的带宽资源。
针对第三种攻击,可配置ARP报文限速,以保护CPU资源。
组网需求
如图1所示,Switch作为网关通过接口GE1/0/3连接一台服务器,通过接口GE1/0/1、GE1/0/2连接VLAN10和VLAN20下的四个用户。网络中可能存在以下ARP威胁:
攻击者向Switch发送伪造的网关的ARP报文,使用户误以为攻击者即为网关。这样用户就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到用户发送的数据内容。
攻击者发出大量目的IP地址不可达的IP报文进行ARP泛洪攻击,造成Switch的CPU负荷过重。
用户User1构造大量源IP地址变化MAC地址固定的ARP报文进行ARP泛洪攻击,造成Switch的CPU进程繁忙,影响到正常业务的处理。
用户User3构造大量源IP地址固定的ARP报文进行ARP泛洪攻击,造成Switch的CPU进程繁忙,影响到正常业务的处理。
管理员希望能够防止上述ARP攻击行为,为用户提供更安全的网络环境和更稳定的网络服务。
配置思路
1.配置ARP防网关冲突,防止攻击者冒充网管窃听用户主机信息。
2.配置根据源IP地址进行ARP Miss消息限速,实现防止用户侧存在攻击者发出大量目的IP地址不可达的IP报文触发大量ARP Miss消息,形成ARP泛洪攻击。同时需要保证Switch可以正常处理服务器发出的大量此类报文,避免因丢弃服务器发出的大量此类报文而造成网络无法正常通信。
3.配置根据源MAC地址进行ARP限速,实现防止User1发送的大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的CPU进程繁忙。
4.配置根据源IP地址进行ARP限速,实现防止User3发送的大量源IP地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的CPU进程繁忙。
操作步骤
1.创建VLAN,将接口加入到VLAN中,并配置VLANIF接口
# 创建VLAN10、VLAN20和VLAN30,并将接口GE1/0/1加入VLAN10中,接口GE1/0/2加入VLAN20中,接口GE1/0/3加入VLAN30中。
system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type trunk
[Switch-GigabitEthernet1/0/3] port trunk allow-pass vlan 30
[Switch-GigabitEthernet1/0/3] quit
# 创建接口VLANIF10、VLANIF20、VLANIF30,配置各VLANIF接口的IP地址。
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.8.8.4 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.9.9.4 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.10.10.3 24
[Switch-Vlanif30] quit
2.配置ARP防网关冲突
[Switch] arp anti-attack gateway-duplicate enable //配置ARP防网关冲突
3.配置根据源IP地址进行ARP Miss消息限速
# 配置对Server(IP地址为10.10.10.2)的ARP Miss消息进行限速,允许Switch每秒最多处理该IP地址触发的40个ARP Miss消息;对于其他用户,允许Switch每秒最多处理同一个源IP地址触发的20个ARP Miss消息。
[Switch] arp-miss speed-limit source-ip maximum 20 //配置根据源IP地址进行ARP Miss消息限速
[Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40 //配置根据源IP地址进行ARP Miss消息限速
4.配置根据源MAC地址进行ARP限速
# 配置对用户User1(MAC地址为0001-0001-0001)进行ARP报文限速,每秒最多只允许10个该MAC地址的ARP报文通过。
[Switch] arp speed-limit source-mac 0001-0001-0001 maximum 10 //配置根据源MAC地址进行ARP限速
5.配置根据源IP地址进行ARP限速
# 配置对用户User3(IP地址为10.9.9.2)进行ARP报文限速,每秒最多只允许10个该IP地址的ARP报文通过。
[Switch] arp speed-limit source-ip 10.9.9.2 maximum 10 //配置根据源IP地址进行ARP限速
6.验证配置结果
# 执行命令display arp anti-attack configuration all,查看当前ARP防攻击配置情况。
[Switch] display arp anti-attack configuration all
......
ARP anti-attack entry-check mode:
Vlanif Mode
-------------------------------------------------------------------------------
All disabled
-------------------------------------------------------------------------------
ARP rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------
ARP miss rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------
ARP speed-limit for source-MAC configuration:
MAC-address suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
0001-0001-0001 10
Others 0
-------------------------------------------------------------------------------
The number of configured specified MAC address(es) is 1, spec is 1024.
ARP speed-limit for source-IP configuration:
IP-address suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.9.9.2 10
Others 30
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024.
ARP miss speed-limit for source-IP configuration:
IP-address suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.10.10.2/32 40
Others 20
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024.
# 执行命令display arp packet statistics,查看ARP处理的报文统计数据。
[Switch] display arp packet statistics
ARP Pkt Received: sum 8678904
ARP-Miss Msg Received: sum 183
ARP Learnt Count: sum 37
ARP Pkt Discard For Limit: sum 146
ARP Pkt Discard For SpeedLimit: sum 40529
ARP Pkt Discard For Proxy Suppress: sum 0
ARP Pkt Discard For Other: sum 8367601
ARP-Miss Msg Discard For SpeedLimit: sum 20
ARP-Miss Msg Discard For Other: sum 104
由显示信息可知,Switch上产生了ARP报文和ARP Miss消息丢弃计数,表明ARP安全功能已经生效。
arp miss攻击_详述网络中ARP安全的综合功能相关推荐
- arp miss攻击_网络应用华为S9300核心交换机ARP安全配置
ARP安全简介 ARP 安全通过过滤不信任的ARP 报文以及对某些ARP 报文进行时间戳抑制来保证网络 设备的安全性和健壮性. 网络中有很多针对ARP 表项的攻击,攻击者通过发送大量伪造的ARP 请求 ...
- 局域网arp攻击_谈谈电子欺骗中的ARP欺骗
ARP欺骗是一种非常古老的电子欺骗攻击,虽然从诞生到现在已经过去了二十多年,但在很多网络中仍然有效.之前写的 沈传宁:谈谈TCP/IP协议的学习zhuanlan.zhihu.com 文章中也提到,我 ...
- arp miss攻击_如何查看是否被arp攻击
佰佰安全网小编一起来看一看吧. 一. 如果网络受到了ARP攻击,可能会出现如下现象: 1.用户掉线.频繁断网.上网慢.业务中断或无法上网. 2.设备CPU占用率较高.设备托管.下挂设备掉线.设备主备状 ...
- 局域网arp攻击_网络安全基础之ARP攻击和防御
本文转载于 SegmentFault 社区 作者:吴小风 前言 在看这篇文章之前,请大家先看下交换机的工作原理,不知大家有没有想过数据链路层中头部协议数据帧的目的MAC地址是如何获取的呢?这就是今天的 ...
- arp miss攻击_【交换机每周FAQ】交换机arp-miss原理以及如何排查。
ARP-Miss相关典型问题一: ARP扫描如下图所示,S9306连接用户,攻击者和用户分别处于两个不同的网段,攻击者进行网段扫描,发送源IP为10.0.0.2,目的IP地址为10.0.1.2~10. ...
- java arp 攻击_网络安全基础之ARP攻击和防御
前言 在看这篇文章之前,请大家先看下交换机的工作原理,不知大家有没有想过数据链路层中头部协议数据帧的目的MAC地址是如何获取的呢?这就是今天的主角ARP协议,通过广播来获取IP地址对应的MAC地址. ...
- arp miss攻击_93交换机出现大量arp miss attack攻击,网关都不通,二层无法封装
如下图所示,S9306连接用户,攻击者和用户分别处于两个不同的网段,攻击者进行网段扫描,发送源IP为10.0.0.2,目的IP地址为10.0.1.2~10.0.1.254. 图 固定源IP地址ARP ...
- mac wmware 无网络_无线网络中常用的技术名词
1.LAN:即局域网: 是路由和主机组成的内部局域网,一般为有线网络. 2.WAN:即广域网: 是外部一个更大的局域网. 3.WLAN(Wireless LAN,即无线局域网): 前面我们说过LAN是 ...
- python中心性评价_复杂网络中边的中心性(Edge Centrality)
一分钟读完全文 补充了OSMNX给的官方demo中的一些未描述清楚的地方.对复杂网络中的主要用到的两种边中心性betweenness centrality以及current-flow closenes ...
最新文章
- 用matlab做一个有刻度的网格,已知45个点X Y Z的坐标值已知,如何用matlab画出网格图,另外每个小方格里带颜色 - 程序语言 - 小木虫 - 学术 科研 互动社区...
- 使用Reactor进行反应式编程最全教程
- HAProxy杂记(1)
- 从边缘到云,万物互联时代Aruba的技术经
- linux 中添加kvm虚拟化,在 Centos7 的KVM上启用嵌套虚拟化
- tp801单板微型计算机是什么,给TP801单板机配接RX—80打印机
- calabash android教程,Calabash Android 使用教程 (二)
- VMware虚拟机中 启动Windows XP系统黑屏 的解决
- ubuntu(乌班图)常用命令大全
- 边缘计算在物联网领域的发展前景
- 10个程序员可以接私活的平台和一些建议
- 2011年安徽省公务员考试行测真题(3)
- swift-UIStoryboard故事板
- 靖空间公众号正式开张
- 在有已认证的公众号情况下,复用资质快速注册小程序,免除再次认证费用
- 笔记本电脑能连上WiFi,却不能上网
- 最强蜗牛换了手机找不到服务器,最强蜗牛怎么换服务器 换区换服务器全流程...
- 哪家宽带网速是最好最快的?
- sql server2008一直提示starting up database
- Android 8.1 第三方apk通过数据库调用系统定时开关机功能