震惊!ARP安全竟然还可以这样配置?
写在前面:本人是一名计算机系大二的学生,正在备考HCIE R&S,会不定时的将我的学习笔记分享给大家!如果需要更多的学习资源可以通过我的GitHub自行下载!
ARP安全
address resolution protocol,地址解析协议
在pc端执行
arp -a //查看
arp -d //清除缓存
-
免费arp:用于检测ip地址是否冲突
-
arp报文不能穿越到路由器,不能被转发到其他广播域,vlan隔离了广播域,只能在一个广播域
技术背景:arp病毒、arp欺骗、arp攻击
主要的攻击和危害
| 攻击 | 危害 |
|---|---|
| 仿冒攻击 | 仿冒网关或其他主机 |
| 欺骗攻击 | 欺骗网关或其他主机 |
| 泛洪攻击 | 使设备arp表溢出,cpu负荷过载 |
ARP Miss
-
丢失,有ip没有mac,地址不在线
-
网络中有大量用户发送
大量目的ip地址不能解析的ip报文(即路由表中存在该报文 的目的ip对应的路由表项,但设备上没有改路由表项中的下一跳对用的arp表项),将导致设备触发大量的arp miss消息。这种触发arp miss 消息的报文(即arp miss报文)会被送上到CPU进行处理,设备会很久arp miss消息生成和下发大量临时arp表项并向目的网络发送大量aarp请求报文,这样就增加了设备CPU的负担。
ARP安全配置
| 命令 | 备注 |
|---|---|
| arp anti-attack getway-duplicate enable | 开启arp防网关冲突(在接入层交换机开启) |
| arp gratuitous-arp send enable \ arp gratuitous-arp send interval 30 | 开启主动免费arp报文及间隔,配置arp防网关冲突 |
| arp speed-limit source-mac maximum 10 \ arp speed-limit source-mac 0000-1111-2222 maximum 10 | 配置基于任何源或指定源mac的arp报文限速 |
| arp speed-limit source-ip Maximun 20 \ arp speed-limit source-ip x.x.x.x maximum 20 | 配置基于任何源或指定源ip的arp报文限速 |
| arp-miss speed-limit source-ip maximun 20 \ arp-miss speed-limit source-ip x.x.x.x | j基于源ip的arp miss 消息限速 |
| display arpanti-attack config all | 查看当前arp防攻击配置情况 |
| dis arp packet statistics | 查看arp miss |
PS:我不是标题狗哦!是真的被这配置复杂到了!靓女心塞!
DAI
dynamic arp inspection ,动态arp检测- 可以防止arp中间人攻击
- 需要开启
dhcp snooping(绑定表) - 当设备收到arp报文是,将此arp报文对用的源ip、源mac、vlan以及接口信息和绑定的信息进行比较,如果信息匹配,说明发送该arp报文的用户是合法用户,允许此用户的arp报文通过,否则就认为是攻击,丢弃该arp报文。
DAI配置
| 命令 | 备注 |
|---|---|
| dhcp enable | 开启dhcp |
| dhcp snooping enable | 开启dhcp snooping全局、接口、vlan模式 |
| dhcp snooping trusted | 配置信任接口 |
| arp anti-attack check user-bind enable | 开启DAI |
| user-bindstatic ip-address x.x.x.x \ mac-address 0001-0001-0001 \ interface xxx vlan xx | 配置静态绑定表,适合静态ip的设备 |
| display shcp snooping user-bind all | 查看绑定表 |
| display arp anti-attack statistics check user-bind interface xxx | 查看接口下DAI的arp报文丢弃记数 |
阶段总结
是一种递归关系
- ip source guard
- dynamic arp inspection
- DHCP snooping
- port security
- DHCP snooping
- dynamic arp inspection
实验演示
实验要求
Router 通过接口 Eth2/0/3 连接一台服务器,通过接口 Eth2/0/1、Eth2/0/2 连接 VLAN10和 VLAN20 下的四个用户。网络中存在以下 ARP 威胁:
-
攻击者向 Router 发送伪造的 ARP 报文、伪造的免费 ARP 报文进行 ARP 欺骗攻击,恶意修改Router 的 ARP 表项,造成其他用户无法正常接收数据报文。
-
攻击者发出大量目的 IP 地址不可达的 IP 报文进行 ARP 泛洪攻击,造成 Router 的 CPU 负荷过重。
-
用户User1构造大量源IP地址变化MAC地址固定的ARP报文进行ARP泛洪攻击,造成Router的 ARP 表资源被耗尽以及 CPU 进程繁忙,影响到正常业务的处理。
-
用户 User3 构造大量源 IP 地址固定的 ARP 报文进行 ARP 泛洪攻击,造成 Router 的 CPU 进程繁忙,影响到正常业务的处理。
管理员希望能够防止上述 ARP 攻击行为,为用户提供更安全的网络环境和更稳定的网络服务。
需求分析
- 配置 ARP 表项严格学习功能以及 ARP 表项固化功能,实现防止伪造的 ARP 报文错误地更
新 Router 的 ARP 表项。 - 配置根据源 IP 地址进行 ARP Miss 消息限速,实现防止用户侧存在攻击者发出大量目的 IP地址不可达的 IP 报文触发大量 ARP Miss 消息,形成 ARP 泛洪攻击。同时需要保证 Router可以正常处理服务器发出的大量此类报文,避免因丢弃服务器发出的大量此类报文而造成网络无法正常通信。
- 配置基于接口的 ARP 表项限制以及根据源 MAC 地址进行 ARP 限速,实现防止 User1 发送的大量源 IP 地址变化 MAC 地址固定的 ARP 报文形成的 ARP 泛洪攻击,避免 Router 的 ARP表资源被耗尽,并避免 CPU 进程繁忙。
- 配置根据源 IP 地址进行 ARP 限速,实现防止 User3 发送的大量源 IP 地址固定的 ARP 报文形成的 ARP 泛洪攻击,避免 Router 的 CPU 进程繁忙。
配置
#
vlan batch 10 20 30
#
arp-miss speed-limit source-ip maximum 20
#
arp learning strict
#
arp-miss speed-limit source-ip 10.10.10.2 maximum 40
arp speed-limit source-ip 9.9.9.2 maximum 10
arp speed-limit source-mac 0001-0001-0001 maximum 10
arp anti-attack entry-check fixed-mac enable
#
interface Vlanif10
ip address 8.8.8.4 255.255.255.0
#
interface Vlanif20
ip address 9.9.9.4 255.255.255.0
#
interface Vlanif30
ip address 10.10.10.3 255.255.255.0
#
interface Ethernet2/0/1
port link-type trunk
port trunk allow-pass vlan 10
arp-limit vlan 10 maximum 20
#
interface Ethernet2/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
interface Ethernet2/0/3
port link-type trunk
port trunk allow-pass vlan 30
#
return
检验
display arp learning strict //查看表项严格学习功能
display arp-limt xxx //查看学习到的动态arp表项数目的最大值
display arp anti-attack configuration all //查看当前 ARP 防攻击配置情况
display arp packet statistics //查看 ARP 处理的报文统计数据
ps:模拟arp攻击的过程太过于复杂了,整理也不易我就不整理出来给大家看了!推荐可以去安装一个软件—科来。官方也可以自行下载,这里给一下百度网盘链接可以自行保存。嘻嘻,科来还有很多可以玩的,会玩的大佬可以去自行摸索一下!
复制这段内容后打开百度网盘手机App,操作更方便哦 链接:https://pan.baidu.com/s/1PSDVLajlthuifP4SkrrS2A 提取码:io09
本文均属肉肉原创,本文章属于本人花费大量时间整理出来,如有不详或错误,欢迎指出!读到这里了,不妨给肉肉
点个赞!
往期精彩:
本文作者:肉肉
版权声明:博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!
