ARP攻防技术白皮书
ARP攻击防范技术白皮书
ARP攻击防范技术白皮书关键词:ARP,仿冒网关,欺骗网关,欺骗其他用户,泛洪攻击摘要:本文针对目前常见的ARP攻击,介绍了H3C网络设备所能提供的防范ARP攻击的方法以及典型组网应用。
目录1 概述1.1 产生背景1.1.1 ARP工作机制1.1.2 ARP攻击类型介绍1.1.3 ARP攻击的危害1.2 H3C解决方案2 ARP攻击防范技术介绍2.1 接入设备攻击防范介绍2.1.1 ARP Detection功能2.1.2 ARP网关保护功能2.1.3 ARP过滤保护功能2.1.4 ARP报文限速功能2.2 网关设备攻击防范介绍2.2.1授权ARP功能2.2.2 ARP自动扫描和固化功能2.2.3 配置静态ARP表项2.2.4 ARP主动确认功能2.2.5 ARP报文源MAC一致性检查功能2.2.6 源MAC地址固定的ARP攻击检测功能2.2.7 限制接口学习动态ARP表项的最大数目2.2.8 ARP防IP报文攻击功能3 典型组网应用3.1 监控方式3.2 认证方式3.3 网吧解决方案4 参考文献1 概述1.1 产生背景1.1.1 ARP工作机制ARP协议是以太网等数据链路层的基础协议,负责完成IP地址到硬件地址的映射。
工作过程简述如下:(1)当主机或者网络设备需要解析一个IP地址对应的MAC地址时,会广播发送ARP请求报文。
(2)主机或者网络设备接收到ARP请求后,会进行应答。
同时,根据请求发送者的IP地址和MAC地址的对应关系建立ARP表项。
(3)发起请求的主机或者网络设备接收到应答后,同样会将应答报文中发送者的IP地址和MAC地址的映射关系记录下来,生成ARP表项。
1.1.2 ARP攻击类型介绍从ARP工作机制可以看出,ARP协议简单易用,但是却没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。
伪造ARP报文具有如下特点:l伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致。
ARP攻击防范与解决方案
ARP攻击防范与解决方案1. ARP攻击概述ARP(地址解析协议)是一种用于将IP地址映射到物理MAC地址的协议。
ARP攻击是指攻击者通过伪造或者篡改ARP数据包来欺骗网络中的主机,从而实现中间人攻击、拒绝服务攻击等恶意行为。
在ARP攻击中,攻击者通常会发送虚假的ARP响应,将合法主机的IP地址与自己的MAC地址进行绑定,导致网络中的通信被重定向到攻击者控制的主机上。
2. ARP攻击的危害ARP攻击可能导致以下危害:- 信息窃听:攻击者可以在通信过程中窃取敏感信息,如账号密码、银行卡信息等。
- 中间人攻击:攻击者可以篡改通信内容,更改数据包中的信息,甚至插入恶意代码。
- 拒绝服务攻击:攻击者可以通过ARP攻击使网络中的主机无法正常通信,导致网络服务不可用。
3. ARP攻击防范与解决方案为了有效防范和解决ARP攻击,可以采取以下措施:3.1 加强网络安全意识提高网络用户的安全意识,加强对ARP攻击的认识和理解。
教育用户不要随意点击来自未知来源的链接,不要打开可疑的附件,以及不要轻易泄露个人信息。
3.2 使用静态ARP绑定静态ARP绑定是一种将IP地址与MAC地址进行手动绑定的方法,可以有效防止ARP欺骗攻击。
在网络设备中配置静态ARP绑定表,将合法主机的IP地址与相应的MAC地址进行绑定,使得ARP响应包不会被攻击者篡改。
3.3 使用ARP防火墙ARP防火墙可以检测和阻挠ARP攻击,通过监控网络中的ARP流量并对异常流量进行过滤,实现对ARP攻击的防范。
ARP防火墙可以根据预设的策略,对ARP响应包进行检查和过滤,防止虚假的ARP响应被接受。
3.4 使用网络入侵检测系统(IDS)或者入侵谨防系统(IPS)IDS和IPS可以监测和谨防网络中的入侵行为,包括ARP攻击。
IDS可以实时监测网络中的ARP流量,发现异常的ARP请求和响应,并及时发出警报。
IPS可以根据事先设定的规则,对检测到的ARP攻击进行自动谨防,如封锁攻击者的IP 地址。
ARP攻击原理简析及防御措施
ARP攻击原理简析及防御措施网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。
网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。
目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。
0x1 简介网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。
网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。
目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。
0x2 ARP协议概述ARP协议(address resolution protocol)地址解析协议一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC 地址。
ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的mac地址。
在局域网的任意一台主机中,都有一个ARP缓存表,里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。
ARP缓存表的生命周期是有时限的(一般不超过20分钟)。
举个例子:假设局域网中有四台主机主机A想和主机B通信主机A会先查询自己的ARP缓存表里有没有B的联系方式,有的话,就将mac-b 地址封装到数据包外面,发送出去。
没有的话,A会向全网络发送一个ARP广播包,大声询问:我的IP地址是192.168.0.2,硬件地址是mac-a,我想知道IP地址是192.168.0.3的硬件地址是多少?此时,局域网内所有主机都收到了,B收到后会单独私密回应:我是192.168.0.3,我的硬件地址是mac-b,其他主机不会理A的此时A知道了B的信息,同时也会动态的更新自身的缓存表0x3 ARP协议的缺陷ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高。
ARP的攻击与防御
ARP欺骗与防御一、 ARP协议:在因特网协议技术中,逻辑地址与物理地址之间的映射称为地址解析(address resolution)。
地址解析包括两个方面的内容:从IP地址到物理地址的映射和从物理地址到IP地址的映射。
TCP/IP专门提供了两个协议来实现这两种映射,一个是地址解析协议(address resolution protocol,ARP),另一个是反向地址解析协议(reverse address resolution protocol,RARP)。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
二、 ARP数据报文格式:0 8 16 31下图就是利用sinffer抓的ARP报文:三、 ARP通信原理:在以太网(Ethernet)中,一个网络设备要和另一个网络设备进行直接通信,除了知道目标设备的网络层逻辑地址(如IP地址)外,还要知道目标设备的第二层物理地址(MAC 地址)。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
当一个网络设备需要和另一个网络设备通信时,它首先把目标设备的IP地址与自己的子网掩码进行"与"操作,以判断目标设备与自己是否位于同一网段内。
如果目标设备在同一网段内,并且源设备没有获得与目标IP地址相对应的MAC地址信息,则源设备以第二层广播的形式(目标MAC地址为全1)发送ARP请求报文,在ARP请求报文中包含了源设备与目标设备的IP地址。
同一网段中的所有其他设备都可以收到并分析这个ARP请求报文,如果某设备发现报文中的目标IP地址与自己的IP地址相同,则它向源设备发回ARP响应报文,通过该报文使源设备获得目标设备的MAC地址信息。
简述arp欺骗攻击的原理和防范对策
简述arp欺骗攻击的原理和防范对策ARP(Address Resolution Protocol)欺骗攻击是一种网络攻击技术,它利用ARP协议的特性进行欺骗、中间人攻击或局域网内的ARP 缓存中毒。
攻击者发送虚假的ARP响应消息来欺骗其他网络设备,使其将流量发送给攻击者,从而实现对网络通信的窃听、修改或阻断。
ARP协议是将IP地址映射到物理MAC地址的协议,通过向局域网中广播ARP请求,获取目标IP地址对应的MAC地址。
正常情况下,ARP请求是一个广播消息,网络上所有的设备都能收到该消息并回应自己的MAC地址。
然而,攻击者可以发送伪造的ARP响应消息,将自己的MAC地址伪装成目标的MAC地址。
这样,其他网络设备在收到欺骗者的ARP响应后,会将网络流量发送到欺骗者的MAC地址,从而攻击者就可以进行中间人攻击。
ARP欺骗攻击的原理主要包括以下几个步骤:广播欺骗请求、单播响应欺骗响应、IP间隔设备攻击、流量截获及篡改。
防范ARP欺骗攻击需要采取多层次的安全措施,包括物理层安全、网络设备安全和安全策略的制定。
一、物理层安全防范1.硬件设备安全:保证网络设备的物理安全,避免被攻击者直接接触或篡改网络设备。
2.网线加密:使用数字加密技术或物理加密设备,对通信网络中的网线进行加密处理,避免ARP欺骗攻击者通过在网线上截获数据。
3. MAC地址绑定:通过网络硬件设备的管理接口,将MAC地址与设备绑定,限制非法设备访问网络,避免ARP欺骗攻击者伪造MAC地址来进行攻击。
二、网络设备防范1.安全认证机制:为网络设备设置访问口令或使用其他身份验证方法,只允许授权设备进行网络操作,避免非法设备接入网络。
2. MAC地址过滤:设置ACL(Access Control List)策略,限制网络中不合法的MAC地址出现,只允许合法设备进行通信。
3. ARP缓存绑定:为网络设备的ARP缓存表添加绑定条目,将IP 地址与MAC地址进行绑定,确保只有指定的MAC地址可以响应对应的IP地址。
ARP攻击原理与防御措施
ARP攻击原理与防御措施ARP攻击是一种常见的网络攻击手段,它利用了ARP协议的漏洞,通过欺骗网络中的主机,实现中间人攻击或者篡改数据包的目的。
本文将介绍ARP攻击的工作原理和常见的防御措施。
ARP(Address Resolution Protocol)是一种用于解析IP地址与MAC地址之间对应关系的协议。
在局域网中,主机之间通信时需要知道目标主机的MAC地址。
为了确定目标主机的MAC地址,ARP协议广播一个ARP请求报文,请求局域网中的所有主机返回自己的MAC 地址。
当目标主机收到ARP请求后,它会将自己的MAC地址返回给请求主机。
之后,请求主机就可以通过MAC地址发送数据包给目标主机。
这个过程中所有主机的IP与MAC地址的对应关系都会被缓存在主机的ARP缓存表中,以便于以后的通信。
ARP攻击就是利用ARP协议的这一过程,欺骗网络中的主机,篡改其ARP缓存表的内容,从而达到攻击者控制网络流量的目的。
攻击者可以发送伪造的ARP回应报文给局域网中的其他主机,告诉他们自己是其他主机的MAC地址。
之后,当其他主机要和目标主机通信时,他们会向攻击者发送数据包,攻击者就可以窃取、篡改或者丢弃这些数据包。
在面对ARP攻击时,有一些防御措施可以采取:1. 使用静态ARP表:静态ARP表是手动配置的IP与MAC地址对应关系表。
通过使用静态ARP表,可以防止ARP缓存被攻击者篡改,因为静态ARP表中的对应关系不会随着网络通信而改变。
2. 使用ARP监测工具:ARP监测工具可以实时监测网络中的ARP请求和回应报文,并检测是否有异常的活动。
一旦发现异常,可以及时采取措施阻止攻击。
3. 使用网络隔离技术:将网络划分为多个子网,并使用网络隔离技术,可以减小ARP 攻击的影响范围,防止攻击者对整个网络进行攻击。
4. 使用ARP防火墙:ARP防火墙可以监控网络中的ARP活动,并根据预先设定的规则,过滤和阻止可疑的ARP报文。
IPv6解决方案ND防攻击技术白皮书
IPv6解决方案ND防攻击技术白皮书关键词:ND,ARP,ND攻击,ARP攻击,交换机,IPV6摘 要:本文介绍了在IPv6网络中的ND攻击及防攻击的技术思路以及H3C公司的ND防攻击方案部署的典型方案以及技术特点。
缩略语清单:缩略语英文全名中文解释NDP Neighbor Discover邻居发现协议ProtocolARP Address Resolution地址解析协议ProtocolIPv6Internet Protocol因特网协议第六版Version 61ND攻击概述邻居发现协议(Neighbor Discovery Protocol,以下称ND协议)是IPv6的一个关键协议,可以说,ND协议是IPv4某些协议在IPv6中综合起来的升级和改进,如ARP、ICMP路由器发现和ICMP重定向等协议。
当然,作为IPv6的基础性协议,ND还提供了其他功能,如前缀发现、邻居不可达检测、重复地址检测、地址自动配置等。
在IPv4网络中,ARP攻击问题已经为广大的网络管理者,设备厂商所认识,ARP攻击能够造成大面积网络不能正常访问外网,使得正常用户深受其害。
针对ARP攻击,大部分的网络设备厂商都推出了自己的ARP防攻击解决方案,在很大程度上解决了ARP攻击的问题。
而伴随着IPv6网络的建设,在IPv6协议族中的NDP协议越来越被重视,而在ND协议的设计与ARP协议一样并未提供认证机制,导致网络中的主机是不可信的,从而使得针对ND协议的攻击非常容易。
2ND协议介绍2.1ND报文类型ND协议定义的报文使用ICMP承载,其类型包括:路由器请求报文、路由器通告报文、邻居请求报文、邻居通告报文和重定向报文。
由于ND报文中的可选字段及代码类型较多,下面描述的ND报文中的各个字段并不完全,主要描述了涉及到ND防攻击技术的选项。
2.1.1路由器请求报文RS Router Solicitation Message主机启动后,通过RS消息向路由器发出请求,期望路由器立即发送RA消息响应。
网络攻击与防护白皮书
网络攻击与防护白皮书摘要:本白皮书旨在探讨网络攻击的不断演进以及相应的防护措施。
我们将分析当前网络攻击的趋势和类型,并提出一系列有效的防御策略和技术,以帮助企业和个人提高网络安全性。
1. 引言网络攻击已经成为当今互联网时代的一大威胁。
随着技术的不断进步和互联网的广泛应用,网络攻击手段日益复杂和隐蔽,给个人和组织的信息资产带来了严重的威胁。
因此,制定有效的网络防护策略和采用先进的防护技术变得尤为重要。
2. 网络攻击的趋势网络攻击的形式和手段不断演进。
目前,主要的网络攻击趋势包括以下几个方面:2.1 高级持续性威胁(APT)APT是一种针对特定目标的长期攻击,攻击者通过多种手段渗透目标网络,获取敏感信息或者进行破坏。
APT攻击通常具有高度的隐蔽性和复杂性,对传统的防护手段构成了巨大挑战。
2.2 勒索软件勒索软件通过加密用户文件并勒索赎金的方式进行攻击。
勒索软件攻击近年来呈现爆发式增长,给个人和企业带来了巨大的经济损失。
预防勒索软件攻击需要综合使用备份、安全更新、网络监测等多种手段。
2.3 社交工程社交工程是指攻击者通过利用人们的社交行为和心理弱点,获取敏感信息或者进行网络攻击。
社交工程攻击手段包括钓鱼邮件、钓鱼网站等。
有效的防范社交工程攻击需要加强用户教育和意识培养。
3. 网络防护策略为了有效应对网络攻击,我们提出以下网络防护策略:3.1 多层次防护网络安全防护应该采用多层次的防护策略,包括边界防护、内部防护和终端防护。
边界防护主要通过防火墙、入侵检测系统等来防止外部攻击;内部防护主要通过网络隔离、访问控制等来防止内部攻击;终端防护主要通过安全更新、反病毒软件等来保护终端设备。
3.2 实时监测与响应建立实时监测系统,及时发现和应对网络攻击事件。
监测系统应该结合日志分析、入侵检测等技术手段,实现对网络流量的实时监控和异常检测。
同时,建立紧急响应机制,对攻击事件进行及时处置和恢复。
3.3 加强用户教育用户教育是网络防护的重要环节。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP防攻击技术白皮书目录目录 (3)1技术概述 (5)1.1ARP工作机制 (5)1.2ARP攻击原理 (5)1.2.1ARP攻击类型 (5)1.2.2ARP欺骗 - 仿冒用户主机 (6)1.2.3ARP欺骗 - 仿冒网关攻击 (7)1.2.4ARP泛洪攻击 - 拒绝服务攻击 (8)1.2.5ARP泛洪攻击 - 缓存溢出攻击 (9)1.2.6ARP泛洪攻击 - 扫描攻击 (10)1.3ARP攻击防范技术介绍 (11)1.3.1防ARP地址欺骗 (11)1.3.2防ARP网关冲突 (12)1.3.3ARP严格学习 (12)1.3.4动态ARP检测(DAI) (13)1.3.5ARP报文速率限制 (14)2ARP防攻击解决方案 (14)2.1二层交换机防攻击方案 (14)2.2三层网关防攻击方案 (15)ARP防攻击技术白皮书关键词:ARP,ARP欺骗,泛洪攻击摘要:本文针对目前常见的ARP攻击,介绍了华为网络设备所能提供的防范ARP攻击的方法以及典型组网应用。
缩略语:1技术概述1.1ARP工作机制ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,基本功能就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址,以保证通信的进行。
工作过程如下:(1) 当网络节点需要解析一个IP 地址对应的MAC 地址时,会广播发送ARP 请求报文。
(2) 其他网络节点接收到ARP请求后,会进行ARP应答。
同时,根据请求发送者的IP地址和 MAC地址的对应关系建立 ARP表项,以便后续查ARP表进行报文转发。
(3) 发起请求的网络节点接收到ARP应答后,同样会将ARP应答报文中发送者的IP 地址和MAC 地址的映射关系记录下来,生成ARP表项,以便后续查ARP表进行报文转发。
1.2ARP攻击原理ARP工作机制可以看出,ARP协议简单易用,没有任何安全机制,攻击者可以发送伪造ARP 报文对网络进行攻击。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP表中的条目,造成网络中断或中间人攻击。
同时,能够通过在网络中产生大量的ARP通信量,使网络阻塞。
1.2.1ARP攻击类型常见的ARP攻击包括ARP欺骗、洪泛攻击。
ARP欺骗指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。
ARP洪泛攻击也叫拒绝服务攻击,攻击者向设备发送大量虚假的ARP请求报文或免费ARP报文,造成设备上的ARP表项超过规格,表项溢出,无法缓存正常用户的ARP表项,或者ARP处理协议通道阻塞等,从而阻碍正常的报文转发。
综上所述,ARP攻击方式有如下 2大类 5小类:⏹ARP欺骗根据仿冒的网络节点的不同,又可以细分为●仿冒用户主机●仿冒网关⏹ARP泛洪攻击根据攻击目标的不同,又可以细分为●拒绝服务攻击●缓存溢出攻击●扫描攻击1.2.2ARP欺骗 - 仿冒用户主机原理一个典型的用户主机仿冒流程如下:1.信息节点比如网关广播ARP请求,询问用户A的地址2.用户A回应自己的地址3.建立合法用户A的ARP表项4.用户B发出仿冒的ARP回应,可以是自己的MAC地址,也可以是网络中其他用户地址甚至是不存在的地址5. 合法的ARP表项被修改为仿冒的ARP表项6. 给用户A的流量被转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他用户,如果仿冒的是不存在的地址,则流量在网络中被阻断危害如果用户B仿冒时用的是自己的地址,当流量返回时,就可以从流量中获取信息,从而形成中间人攻击如果用户B仿冒时用的是其他用户地址,当流量返回时,就可以对其他用户进行流量攻击如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中断。
1.2.3ARP欺骗 - 仿冒网关攻击原理一个典型的网关仿冒流程如下:1.用户A广播ARP请求,询问网关的MAC地址2.网关回应自己的MAC地址3.用户A主机建立合法网关的ARP表项4.用户B发出仿冒的网关ARP表项,可以是自己的MAC地址,也可以是网络中其他用户地址甚至是不存在的地址5. 用户A主机合法网关的ARP表项被修改为仿冒的ARP表项6. 用户A的流量转发到用户B,如果仿冒的是其他用户的地址,则流量被转发到其他用户,如果仿冒的是不存在的地址,则流量在网络中被阻断危害如果用户B仿冒时用的是自己的地址,则用户A所有信息都会转发给用户B,从而形成中间人攻击如果用户B仿冒时用的是其他用户地址,就可以对其他用户进行流量攻击如果用户B仿冒是用的是网络中不存在的地址,则流量被阻断用户A的流量转发异常,要么被窃听而泄密,要么被阻断而业务中断。
1.2.4ARP泛洪攻击 - 拒绝服务攻击原理一个典型的拒绝服务流程如下:1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)发送大量伪造的ARP 请求、应答报文或其他能够触发网络设备ARP 处理的报文,造成网络设备的计算资源长期忙于ARP 处理,影响其他业务的处理,从而阻碍正常的报文转发。
2.正常用户请求ARP或者其他业务报文被阻塞,从而导致业务中断危害网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断1.2.5ARP泛洪攻击 - 缓存溢出攻击原理一个典型的缓存溢出流程如下:1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)发送向网络设备发送大量虚假的ARP 请求报文和免费ARP报文,超出网络设备ARP表项存储规格,造成网络设备上ARP缓存表溢出,无法缓存正常的ARP 表项,从而阻碍正常的报文转发。
2.正常用户ARP表项被伪造ARP表项覆盖,从而导致业务流量中断危害网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断1.2.6ARP泛洪攻击 - 扫描攻击原理一个典型的扫描攻击流程如下:1.用户B主动(黑客)或被动(中病毒、木马、恶意软件等)扫描本网段或者跨网段主机时,网络设备在发送回应报文前,会查找ARP表项,如果目的IP 地址的MAC 地址不存在,那么必然会导致网络设备向上层软件发送消息,要求上层软件发送ARP 请求报文到其他网段以获得目的端的MAC 地址。
大量的扫描报文会导致大量的消息,导致网络设备的资源浪费,影响对其他业务的处理,从而阻碍正常的报文转发。
2.正常用户请求ARP或者其他业务报文被阻塞,从而导致业务中断危害网络设备业务处理能力下降甚至拒绝服务,导致网络中流量中断1.3ARP攻击防范技术介绍1.3.1防ARP地址欺骗特性简介设备作为三层使用时,当用户发送ARP报文修改设备的ARP表项时,防地址欺骗可以通过ARP报文和ARP表中的相关表项对比,对ARP表项的某些字段不允许修改的方式防止ARP欺骗。
实现方式防地址欺骗有两种方式:1)主动确认方式进行ARP学习;2)锁定方式防表项更新,在第一次学习到ARP表后不允许再更新表项。
主动确认方式进行ARP学习在第一次学习ARP时,当收到用户的更新ARP请求,暂时不更新本地的ARP表,先向用户发送一个ARP请求,如果用户回应该请求,则学习此用户的ARP,否则不学习该用户的ARP。
注:主动确认方式的ARP学习目前有一个缺陷,参见主动确认方式的ARP学习缺陷。
锁定方式防止ARP更新当用户第一次学习到ARP后,锁定ARP表项的某些字段或全部字段,不允许更新ARP表项。
包括两种锁定方式:1)fixed-mac方式,不允许更新MAC和IP,可以更新端口、VLAN等其他信息;2)fixed-all方式,全部不允许更新,包括ARP的老化时间都不允许更新。
1.3.2防ARP网关冲突特性简介当设备作为网关时,ARP网关冲突检查可以防止用户仿冒网关的IP,非法修改网关和网络内其他用户的ARP表项。
实现方式当交换机使能防ARP网关冲突时,下发一条ACL规则将ARP报文全部上送,通过软件转发。
当CPU收到ARP报文时,比较此ARP报文的源IP是否和其所在的VLANIF的某个IP地址相同,如果相同,则为用户仿冒网关IP,丢弃此ARP报文,记录日志并发送告警。
同时下发一个ACL,丢弃该用户的ARP报文,此ACL的有效时间为3分钟,3分钟后删除此ACL规则。
1.3.3ARP严格学习特性简介ARP表项严格学习用来防止恶意更改ARP表项。
使能ARP严格学习功能后,使交换机只学习自己发送的ARP请求报文的应答报文。
实现方式ARP严格学习是在设备发送ARP请求时,记录下当前发送的请求表项,称之为发送列表,当收到ARP回应报文时,比较此报文的源地址是否在发送列表中,如果在发送列表中,则更新ARP表项,否则不更新ARP表。
另外,收到的ARP请求也免费ARP报文都不更新ARP表项。
注:该特性为VRP平台实现。
1.3.4动态ARP检测(DAI)特性简介Dynamic ARP Inspection(DAI)是通过DHCP SNOOPING表项,检查收到的ARP报文的合法性,如果ARP报文和DHCP SNOOPING绑定表的内容一致,则允许此用户的ARP报文通过,否则丢弃该ARP报文。
防止ARP中间人攻击,可以配置ARP报文检查功能,对接口或VLAN下收到的ARP报文和绑定表进行匹配检查,当报文的检查项和绑定表中的特征项一致时,转发该报文,否则丢弃报文。
同时可以配置告警功能,当丢弃的报文数超过限制的阈值时,发出告警信息。
实现方式DAI是通过DHCP SNOOPING检查ARP报文的合法性,目前有两种实现方式:1)通过软件实现,框式交换机采取这种方式;2)通过芯片实现,盒式交换机采用这种方式。
下面分别描述两种实现方式。
✧软件方式DAI软件方式DAI是将ARP报文通过软件转发,在转发过程中判断报文的合法性。
当VLAN使能DAI时,下发规则将该VLAN下的所有ARP报文上送到软件层面。
在软件层,查找DHCP SNOOPING绑定表来检查ARP报文是否和绑定表匹配,主要检查ARP报文的源MAC、源IP、报文入端口、VLAN(可以包括内层VLAN和外层VLAN)是否和DHCP SNOOPING绑定表匹配,如果完全匹配,允许报文转发,否则丢弃该报文。
匹配的选项可以配置。
✧硬件方式DAI硬件方式是通过芯片的ACL规则检查用户ARP报文的合法性,检查的内容和通过软件检查一致,也可配置。
当DHCP SNOOPING用户上线后,通知DAI模块。
DAI模块将用户表项中的源MAC、源IP、VLAN 信息,加上匹配ARP协议,组装成一条ACL规则,下发到芯片中。