H3C防ARP解决与方案及配置
H3C ARP攻击防御解决方案
“全面防御,模块定制”H3C ARP攻击防御解决方案1 前言当计算机连接正常,却无法打开网页;或者计算机网络出现频繁断线,同时网速变得非常慢,这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。
ARP欺骗攻击不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP欺骗攻击可进一步实施中间人攻击,以此非法获取到游戏、网银、文件服务等系统的帐号和口令,对被攻击者造成利益上的重大损失。
因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。
ARP攻击已经对各行各业网络造成了巨大威胁,但一直没有得到有效的解决。
连我们熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。
主要由于ARP欺骗攻击的木马程序,通常会伪装成常用软件的一部分被下载并被激活,或者作为网页的一部分自动传送到浏览者的电脑上并被激活,或者通过U盘、移动硬盘等方式进入网络。
由于木马程序的形态特征都在不断变化和升级,杀毒软件常常会失去作用。
2 方案概述分析ARP攻击的特点,结合市场实际需求,H3C公司推出了全面有效的ARP攻击防御解决方案。
“全面防御,模块定制” H3C ARP攻击防御解决方案H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和客户需求进行“模块定制”,为用户提供多样、灵活的ARP攻击防御解决方案。
H3C提供两类ARP攻击防御解决方案:监控方式,认证方式。
监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认证方式接入的网络环境;实际部署时,建议分析网络的实际场景,选择合适的攻击防御解决方案。
另外,结合H3C独有的iMC智能管理中心,可以非常方便、直观的配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效的保障了网络的整体安全,更能快速发现网络中不安全的主机和ARP攻击源,并迅速做出反映。
3 功能特点更灵活。
提供监控模式和认证模式两大类方案,组网方式多样、灵活。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,黑客通过ARP欺骗技术,伪造网络设备的MAC地址,从而实施网络攻击,如中间人攻击、会话劫持等。
为了保护网络安全,我们需要采取一系列的防范措施和解决方案来应对ARP攻击。
1. 防范措施:1.1 使用静态ARP表:静态ARP表是一种手动配置的ARP表,将网络设备的IP地址和MAC地址进行绑定。
这样,即使黑客发起ARP欺骗攻击,也无法修改设备的ARP表,从而有效防止ARP攻击。
1.2 使用ARP防火墙:ARP防火墙可以监控网络中的ARP请求和响应,检测和阻止异常的ARP流量。
它可以根据事先设定的策略,过滤和阻断潜在的ARP攻击。
1.3 使用网络入侵检测系统(NIDS):NIDS可以监测网络中的异常流量和攻击行为,包括ARP攻击。
当NIDS检测到ARP攻击时,可以及时发出警报并采取相应的防御措施。
1.4 使用网络隔离技术:将网络划分为多个虚拟局域网(VLAN),并使用网络隔离技术将不同的用户和设备隔离开来。
这样,即使发生ARP攻击,黑客也无法直接访问其他网络。
2. 解决方案:2.1 实施ARP监控和检测:通过实时监控和检测ARP请求和响应,可以及时发现和识别ARP攻击行为。
可以使用专门的ARP监控工具或网络安全设备来实现。
2.2 使用加密通信:通过使用加密协议和加密算法,可以保护通信过程中的ARP请求和响应,防止黑客窃取或篡改网络设备的MAC地址。
2.3 定期更新网络设备的固件和软件:网络设备厂商会不断修复和更新设备的漏洞和安全问题。
定期更新网络设备的固件和软件,可以及时修复已知的ARP攻击漏洞。
2.4 加强员工的网络安全意识教育:通过加强员工的网络安全意识教育,提高他们对网络攻击的认识和防范能力,减少因员工的疏忽而导致的ARP攻击。
2.5 使用网络流量分析工具:网络流量分析工具可以帮助识别异常的ARP流量和攻击行为。
H3C-ARP病毒攻击防御宝典--典型行业组网和配置指南
H3C ARP病毒攻击防御宝典--典型行业组网和配置指南典型组网方案一、应用场景(一)——普 / 职教基本采用动态IP网络,建议完全按照动态IP网络防御方案部署。
二、应用场景(二)——星级酒店基本采用动态IP网络,建议完全按照动态IP网络防御方案部署。
三、应用场景(三)——连锁型酒店基本采用动态IP网络,参考动态IP网络防御方案,综合考虑建议在出口路由器和核心交换机进行防御,接入层通过隔离技术避免攻击。
四、应用场景(四)——中小型企业静态IP网络参考静态IP网络防御方案,出于成本考虑可以在路由器和核心交换机上进行防御,在PC上绑定网关信息,可防御大多数ARP病毒。
五、应用场景(五)——中小型企业动态IP网络建议完全按照动态IP网络防御方案进行部署。
常用配置指南1、WEB方式,启用ARP防攻击、防欺骗功能,发送免费ARP报文。
在路由器等网络设备的“ARP防攻击”WEB管理页面,开启防攻击、防欺骗的功能。
同时,可以设置指定的时间间隔,向局域网内PC终端和服务器定期发送正确的网关ARP信息。
当网内受到错误的ARP广播包攻击时,路由器广播的正确ARP包就可以及时和消除攻击包的影响。
2、WEB方式,设置IP/MAC表,可以一键绑定:在路由器等网络设备的“IP/MAC表”web管理页面上,既可以直观地手工添加IP/MAC绑定信息,还在所有PC都能正常上网时,动态搜索ARP表,将网内PC机的IP地址和MAC对应关系通过“导入到IP/MAC绑定表”,实现一键绑定功能。
3、PC上做静态ARP绑定IP/MAC地址的配置方法:在微软操作系统中,打开windows的命令行提示符如下:通过“arp-s +IP如192.168.1.1+MAC地址”这一条命令来实现对网关/服务器等重要设备的ARP条目的静态绑定,可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。
其它操作系统命令行中也都有ARP命令,操作类似。
ARP攻击防范与解决方案
ARP攻击防范与解决方案简介:ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,攻击者通过伪造ARP响应包来欺骗网络设备,从而篡改网络流量的目的地址。
这种攻击可以导致网络中断、信息泄露和数据篡改等严重后果。
为了保护网络安全,我们需要采取一些防范措施和解决方案来避免ARP攻击的发生。
一、防范措施:1. 安全网络设计:合理规划网络拓扑结构,采用分段设计,将重要的服务器和关键设备放置在内部网络,与外部网络隔离。
2. 强化网络设备安全:对路由器、交换机等网络设备进行定期升级和漏洞修复,禁用不必要的服务和端口,启用访问控制列表(ACL)限制不必要的流量。
3. 使用网络设备认证机制:启用设备认证功能,只允许授权设备加入网络,防止未经授权的设备进行ARP攻击。
4. 配置静态ARP表项:将重要设备的IP地址和MAC地址进行绑定,限制ARP请求和响应的范围,减少ARP攻击的可能性。
5. 使用防火墙:配置防火墙规则,限制网络流量,过滤异常ARP请求,阻挠ARP攻击的传播。
6. 监控和检测:部署网络入侵检测系统(IDS)和入侵谨防系统(IPS),实时监控网络流量,及时发现并阻挠ARP攻击。
二、解决方案:1. ARP缓存监控和清除:定期监控网络设备的ARP缓存,发现异常的ARP缓存项,及时清除并重新学习正确的ARP信息。
2. 使用ARP欺骗检测工具:部署ARP欺骗检测工具,实时监测网络中的ARP 请求和响应,发现异常的ARP流量,并采取相应的谨防措施。
3. 使用ARP谨防软件:部署专门的ARP谨防软件,通过对ARP流量进行深度分析和识别,及时发现和阻挠ARP攻击。
4. VLAN隔离:使用VLAN技术将网络划分为多个虚拟局域网,限制不同VLAN之间的通信,减少ARP攻击的影响范围。
5. 加密通信:使用加密协议(如SSL、IPSec)对网络通信进行加密,防止ARP攻击者窃取敏感信息。
华为(H3C)3600、3900交换机阻止ARP病毒配置
华为(H3C)3600、3900交换机阻止ARP病毒配置如何使用华为(H3C)3600、3900交换机阻止ARP病毒ARP病毒会在LAN中宣告自己是网关,具体做法找到局域网网关的IP,然后发送ARP广播,宣称网关IP对应的MAC地址是自己的网卡MAC地址。
局域网中其他计算机在收到这个广播后,会更新自己的ARP缓存列表,以后的其他计算机原本发往网关的数据包将会发送到中了ARP病毒的计算机。
该中毒计算机将会分析这些数据包,从中获取如邮箱帐号密码、QQ登录帐号密码等敏感信息,并且因中毒计算机要分析这些信息,可能来不及将数据包全部转发到真正的网关去(或许根本就不转发),从而造成其他计算机上网缓慢(甚至中断)。
解决这个问题的方法是阻止中了ARP病毒的计算机发送宣称自己是网关的ARP广播,这样就不能对局域网中的其他计算机造成危害了。
只有智能的交换机才有这样的功能,下面是在H3C的S3900和S3600系列的交换机上实现的例子(本人测试通过):环境描述:局域网IP地址范围:192.168.2.0/24,网关是192.168.2.254交换机:H3C S3952,端口48上接的是网关,定义自定义的ACL:acl number 5000rule 0 deny 0806 ffff 16 c0a802fe ffffffff 32解释:rule 0 :规则序号为0,当规则下发到硬件中执行时,序号不起作用;deny :禁止;0806 ffff :IP数据包中的协议号,0806表示ARP广播。
其中ffff 是掩码,“0806 ffff”的意思是只有目标区域等于0806才算是匹配,如果掩码是fff0,则目标区域是0805、0806、0807等都可以匹配;16 :协议号0806在数据包中的偏移地址。
此偏移量根据不同的交换机型号、不同的交换板型号、不同的配置(VLAN,VPN等)的配置有所不同。
根据网上的资料,可能的值会有:16、20、24、40,并且肯定是偶数。
H3C防ARP解决方案及配置
H3C防ARP解决方案及配置ARP, 方案目录第1章防ARP攻击功能介绍 1-11.1 ARP攻击简介 1-11.2 ARP攻击防御 1-31.2.2 DHCP Snooping功能 1-31.2.3 ARP入侵检测功能 1-41.2.4 ARP报文限速功能 1-41.3 防ARP攻击配置指南 1-5第2章配置举例 2-12.1 组网需求 2-12.2 组网图 2-22.3 配置思路 2-22.4 配置步骤 2-32.5 注意事项 2-6防ARP攻击配置举例关键词:ARP、DHCP Snooping摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。
同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
缩略语:ARP(Address Resolution Protocol,地址解析协议)MITM(Man-In-The-Middle,中间人攻击)第1章防ARP攻击功能介绍近来,许多校园网络都出现了ARP攻击现象。
严重者甚至造成大面积网络不能正常访问外网,学校深受其害。
H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案,可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。
1.1 ARP攻击简介按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。
这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
校园网中,常见的ARP攻击有如下几中形式。
(1) 仿冒网关攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。
ARP攻击防范与解决方案
ARP攻击防范与解决方案一、背景介绍ARP(地址解析协议)是在局域网中解决IP地址和MAC地址之间映射关系的协议。
然而,ARP协议的设计缺陷导致了ARP攻击的出现。
ARP攻击是一种常见的网络安全威胁,攻击者通过发送伪造的ARP响应包来篡改网络中的ARP缓存表,从而实现中间人攻击、拒绝服务攻击等恶意行为。
为了保护网络安全,我们需要采取相应的防范与解决方案。
二、防范ARP攻击的措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址和MAC地址的映射关系固定在ARP表中,可以有效防止ARP缓存污染攻击。
管理员可以根据网络拓扑结构手动添加ARP表项,并定期检查和更新。
2. 使用ARP欺骗检测工具ARP欺骗检测工具可以实时监测网络中的ARP请求和响应,检测是否存在异常的ARP活动。
当检测到ARP欺骗行为时,可以及时发出警报并采取相应的防御措施。
3. 使用静态ARP绑定静态ARP绑定是将特定IP地址和MAC地址的映射关系绑定在ARP表中,使得ARP缓存表中的映射关系不易被篡改。
管理员可以手动配置静态ARP绑定,确保网络中重要主机的ARP映射关系的安全性。
4. 使用网络入侵检测系统(IDS)网络入侵检测系统可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以自动触发警报,并采取相应的防御措施,如断开与攻击者的连接。
5. 使用虚拟局域网(VLAN)虚拟局域网可以将网络划分为多个逻辑上的独立网络,不同的VLAN之间无法直接通信,从而有效隔离了网络流量,减少了ARP攻击的风险。
三、解决ARP攻击的方法1. 及时更新操作系统和网络设备的补丁厂商会定期发布针对操作系统和网络设备的安全补丁,这些补丁通常包含了对已知漏洞的修复。
及时安装这些补丁可以有效减少ARP攻击的风险。
2. 使用网络流量监测工具网络流量监测工具可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以及时发出警报并采取相应的解决措施。
arp攻击与防护措施及解决方案
arp攻击与防护措施及解决方案为有效防范ARP攻击,确保网络安全,特制定ARP攻击与防护措施及解决方案如下:1.安装杀毒软件安装杀毒软件是防范ARP攻击的第一步。
杀毒软件可以帮助检测和清除ARP病毒,保护网络免受ARP攻击。
在选择杀毒软件时,应确保其具有实时监控和防御ARP攻击的功能。
2.设置静态ARP设置静态ARP是一种有效的防护措施。
通过在计算机上手动设置静态ARP表,可以避免网络中的ARP欺骗。
在设置静态ARP时,需要将计算机的MAC地址与IP地址绑定,以便在接收到ARP请求时进行正确响应。
3.绑定MAC地址绑定MAC地址可以防止ARP攻击。
在路由器或交换机上,将特定设备的MAC地址与IP地址绑定,可以确保只有该设备能够通过ARP协议解析IP地址。
这种绑定可以提高网络安全性,避免未经授权的设备接入网络。
4.限制IP访问限制IP访问可以防止ARP攻击。
通过设置访问控制列表(ACL),可以限制特定IP地址的网络访问权限。
这样可以避免网络中的恶意节点发送ARP请求,确保网络通信的安全性。
5.使用安全协议使用安全协议可以进一步提高网络安全性。
例如,使用IEEE802.IX协议可以验证接入网络的设备身份,确保只有授权用户可以访问网络。
此外,还可以使用其他安全协议,如SSH或VPN等,以加密网络通信,防止A RP攻击。
6.配置网络设备配置网络设备是防范ARP攻击的重要环节。
在路由器、交换机等网络设备上,可以设置ARP防护功能,例如ARP欺骗防御、ARP安全映射等。
这些功能可以帮助识别并防御ARP攻击,保护网络免受ARP 病毒的侵害。
7.定期监控网络定期监控网络是确保网络安全的有效手段。
通过监控网络流量、异常IP连接等指标,可以及时发现ARP攻击的迹象。
一旦发现ARP 攻击,应立即采取措施清除病毒,修复漏洞,并重新配置网络设备以确保安全性。
8.制定应急预案制定应急预案有助于快速应对ARP攻击。
应急预案应包括以下几个方面:(1)确定应急响应小组:建立一个专门负责网络安全问题的小组,明确其职责和权限。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H3C防ARP解决方案及配置ARP, 方案目录第1章防ARP攻击功能介绍 1-11.1 ARP攻击简介 1-11.2 ARP攻击防御 1-31.2.2 DHCP Snooping功能 1-31.2.3 ARP入侵检测功能 1-41.2.4 ARP报文限速功能 1-41.3 防ARP攻击配置指南 1-5第2章配置举例 2-12.1 组网需求 2-12.2 组网图 2-22.3 配置思路 2-22.4 配置步骤 2-32.5 注意事项 2-6防ARP攻击配置举例关键词:ARP、DHCP Snooping摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。
同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
缩略语:ARP(Address Resolution Protocol,地址解析协议)MITM(Man-In-The-Middle,中间人攻击)第1章防ARP攻击功能介绍近来,许多校园网络都出现了ARP攻击现象。
严重者甚至造成大面积网络不能正常访问外网,学校深受其害。
H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案,可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。
1.1 ARP攻击简介按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。
这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
校园网中,常见的ARP攻击有如下几中形式。
(1) 仿冒网关攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。
这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-1 “仿冒网关”攻击示意图(2) 欺骗网关攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图1-2 “欺骗网关”攻击示意图(3) 欺骗终端用户攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。
这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
图1-3 “欺骗终端用户”攻击示意图(4) “中间人”攻击ARP “中间人”攻击,又称为ARP双向欺骗。
如图1-4所示,Host A和Host C通过Switch进行通信。
此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP 应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。
此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。
这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
图1-4 ARP“中间人”攻击示意图(5) ARP报文泛洪攻击恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
1.2 ARP攻击防御H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案。
通过接入交换机上开启DHCP Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击,如表1-1。
表1-1 常见网络攻击和防范对照表攻击方式防御方法动态获取IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”配置DHCPSnooping、ARP入侵检测功能手工配置IP地址的用户进行“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”配置IP静态绑定表项、ARP入侵检测功能ARP泛洪攻击配置ARP报文限速功能1.2.2 DHCP Snooping功能DHCP Snooping是运行在二层接入设备上的一种DHCP安全特性。
(1) 通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系;(2) 通过设置DHCP Snooping信任端口,保证客户端从合法的服务器获取IP地址。
信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址。
λ不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址。
λ说明:&目前H3C低端以太网交换机上开启DHCP Snooping功能后,所有端口默认被配置为DHCP Snooping非信任端口。
为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
1.2.3 ARP入侵检测功能H3C低端以太网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。
当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。
λ当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃。
λ说明:&DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。
如果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。
λ实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。
对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。
λ1.2.4 ARP报文限速功能H3C低端以太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU的冲击。
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。
此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
1.3 防ARP攻击配置指南表1-2 防ARP攻击配置任务操作命令说明- 进入系统视图 system-view -配置DHCP Snooping功能记录DHCP客户端的IP/MAC对应关系开启交换机DHCP Snooping功能 dhcp-snooping 必选缺省情况下,以太网交换机的DHCP Snooping功能处于禁止状态进入以太网端口视图 interface interface-type interface-number -设置指定端口为DHCP Snooping信任端口 dhcp-snooping trust 必选缺省情况下,交换机的端口均为不信任端口退出至系统视图 quit -配置指定端口的IP静态绑定表项进入以太网端口视图 interface interface-typeinterface-number -配置IP静态绑定表项 ip source static binding ip-address ip-address [ mac-address mac-address ] 可选缺省情况下,没有配置IP静态绑定表项退出至系统视图 quit -配置ARP入侵检测功能,防御常见的ARP攻击进入VLAN视图 vlan vlan-id - 开启ARP入侵检测功能 arp detection enable 必选缺省情况下,指定VLAN内所有端口的ARP入侵检测功能处于关闭状态开启ARP严格转发功能 arp restricted-forwarding enable 可选缺省情况下,ARP严格转发功能处于关闭状态退出至系统视图 quit -进入以太网端口视图 interface interface-type interface-number -配置ARP信任端口 arp detection trust 可选缺省情况下,端口为ARP非信任端口配置ARP限速功能开启ARP报文限速功能 arp rate-limit enable 必选缺省情况下,端口的ARP报文限速功能处于关闭状态配置允许通过端口的ARP报文的最大速率 arp rate-limit rate 可选缺省情况下,端口能通过的ARP报文的最大速率为15pps退出至系统视图 quit -开启因ARP报文超速而被关闭的端口的状态自动恢复功能 arp protective-down recover enable 可选缺省情况下,交换机的端口状态自动恢复功能处于关闭状态配置因ARP报文超速而被关闭的端口的端口状态自动恢复时间 arp protective-down recover interval interval 可选缺省情况下,开启端口状态自动恢复功能后,交换机的端口状态自动恢复时间为300秒说明:&有关各款交换机支持的防ARP攻击功能的详细介绍和配置命令,请参见各产品的操作、命令手册。