配置ARP安全綜合功能示例
1.組網需求
Switch作為網關通過接口GE1/0/3連接一臺服務器,通過接口GE1/0/1、GE1/0/2連接VLAN10和VLAN20下的四個用戶。網絡中存在以下ARP威脅:
- 攻擊者向Switch發送偽造的ARP報文、偽造的免費ARP報文進行ARP欺騙攻擊,惡意修改Switch的ARP表項,造成其他用戶無法正常接收數據報文。
- 攻擊者發出大量目的IP地址不可達的IP報文進行ARP泛洪攻擊,造成Switch的CPU負荷過重。
- 用戶User1構造大量源IP地址變化MAC地址固定的ARP報文進行ARP泛洪攻擊,造成Switch的ARP表資源被耗盡以及CPU進程繁忙,影響到正常業務的處理。
- 用戶User3構造大量源IP地址固定的ARP報文進行ARP泛洪攻擊,造成Switch的CPU進程繁忙,影響到正常業務的處理。
管理員希望能夠防止上述ARP攻擊行為,為用戶提供更安全的網絡環境和更穩定的網絡服務。
2.配置思路
采用如下思路在Switch上進行配置:
- 配置ARP表項嚴格學習功能以及ARP表項固化功能,實現防止偽造的ARP報文錯誤地更新Switch的ARP表項。
- 配置免費ARP報文主動丟棄功能,實現防止偽造的免費ARP報文錯誤地更新設備ARP表項。
- 配置根據源IP地址進行ARP Miss消息限速,實現防止用戶側存在攻擊者發出大量目的IP地址不可達的IP報文觸發大量ARP Miss消息,形成ARP泛洪攻擊。同時需要保證Switch可以正常處理服務器發出的大量此類報文,避免因丟棄服務器發出的大量此類報文而造成網絡無法正常通信。
- 配置基于接口的ARP表項限制以及根據源MAC地址進行ARP限速,實現防止User1發送的大量源IP地址變化MAC地址固定的ARP報文形成的ARP泛洪攻擊,避免Switch的ARP表資源被耗盡,并避免CPU進程繁忙。
- 配置根據源IP地址進行ARP限速,實現防止User3發送的大量源IP地址固定的ARP報文形成的ARP泛洪攻擊,避免Switch的CPU進程繁忙。
3.配置步驟
1)[Switch] arp learning strict:配置ARP表項嚴格學習功能
2)[Switch] arp anti-attack entry-check fixed-mac enable:配置ARP表項固化功能,固化模式為fixed-mac方式
3)[Switch] arp anti-attack gratuitous-arp drop:配置免費ARP報文主動丟棄功能
4)配置根據源IP地址進行ARP Miss消息限速
[Switch] arp-miss speed-limit source-ip maximum 20:對于其他用戶,允許Switch每秒最多處理同一個源IP地址觸發的20個ARP Miss消息。
[Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40:配置對Server(IP地址為10.10.10.2)的ARP Miss消息進行限速,允許Switch每秒最多處理該IP地址觸發的40個ARP Miss消息;
5)[Switch-GigabitEthernet1/0/1] arp-limit vlan 10 maximum 20:配置基于接口的ARP表項限制,最多可以學習到20個動態ARP表項。
6)[Switch] arp speed-limit source-mac 1-1-1 maximum 10:配置根據源MAC地址進行ARP限速,對用戶User1(MAC地址為1-1-1)進行ARP報文限速,每秒最多只允許10個該MAC地址的ARP報文通過。
7)[Switch] arp speed-limit source-ip 10.9.9.2 maximum 10:配置根據源IP地址進行ARP限速,配置對用戶User3(IP地址為10.9.9.2)進行ARP報文限速,每秒最多只允許10個該IP地址的ARP報文通過。
4.查看驗證
display arp learning strict:查看全局ARP表項嚴格學習功能。
display arp-limit:查看接口可以學習到的動態ARP表項數目的最大值。
display arp anti-attack configuration all:查看當前ARP防攻擊配置情況。
display arp packet statistics:查看ARP處理的報文統計數據。
配置防止ARP中間人攻擊示例
1.組網需求
SwitchA通過接口GE2/0/1連接DHCP Server,通過接口GE1/0/1、GE1/0/2連接DHCP客戶端UserA和UserB,通過接口GE1/0/3連接靜態配置IP地址的用戶UserC。SwitchA的接口GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1都屬于VLAN10。
管理員希望能夠防止ARP中間人攻擊,避免合法用戶的數據被中間人竊取,同時希望能夠了解當前ARP中間人攻擊的頻率和范圍。
2.配置思路
采用如下思路在SwitchA上進行配置:
- 使能動態ARP檢測功能,使SwitchA對收到的ARP報文對應的源IP、源MAC、VLAN以及接口信息進行DHCP Snooping綁定表匹配檢查,實現防止ARP中間人攻擊。
- 使能動態ARP檢測丟棄報文告警功能,使SwitchA開始統計丟棄的不匹配DHCP Snooping綁定表的ARP報文數量,并在丟棄數量超過告警閾值時能以告警的方式提醒管理員,這樣可以使管理員根據告警信息以及報文丟棄計數來了解當前ARP中間人攻擊的頻率和范圍。
- 配置DHCP Snooping功能,并配置靜態綁定表,使動態ARP檢測功能生效。
3.操作步驟
1)[SwitchA-GigabitEthernet1/0/1] arp anti-attack check user-bind enable
[SwitchA-GigabitEthernet1/0/1] arp anti-attack check user-bind alarm enable:端口下使能動態ARP檢測功能和動態ARP檢測丟棄報文告警功能
2)配置DHCP Snooping功能
# 全局使能DHCP Snooping功能。
[SwitchA] dhcp enable
[SwitchA] dhcp snooping enable
# 在VLAN10內使能DHCP Snooping功能。 [SwitchA] vlan 10 [SwitchA-vlan10] dhcp snooping enable
# 配置接口GE2/0/1為DHCP Snooping信任接口。 [SwitchA] interface gigabitethernet 2/0/1 [SwitchA-GigabitEthernet2/0/1] dhcp snooping trusted
# 配置靜態綁定表。 [SwitchA] user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface gigabitethernet 1/0/3 vlan 10
4.查看驗證
display arp anti-attack configuration check user-bind interface:查看各接口下動態ARP檢測的配置信息
display arp anti-attack statistics check user-bind interface:查看各接口下動態ARP檢測的ARP報文丟棄計數
浙公網安備 33010602011771號