ARP防攻击命令手册
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ARP防攻击命令手册
目录
1简介 (3)
1.1概述 (3)
1.2ARP洪攻击和欺骗 (3)
1.2.1ARP洪攻击简述 (3)
1.2.2ARP防洪攻击简述 (3)
1.2.3ARP欺骗简述 (3)
1.2.4ARP防欺骗 (4)
2配置ARP (5)
3典型配置 (10)
1简介
1.1概述
ARP(Address Resolution Protocol),即地址解析协议,基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。
1.2ARP洪攻击和欺骗
1.2.1ARP洪攻击简述
由于ARP协议的缺陷,通常的网络设备对ARP的请求都会做检测处理,来决定丢弃或响应,这样就给攻击者一个漏洞,只要在网内制造大量的ARP请求包来请求网关地址,网关接受到ARP请求后会做出响应,由于请求量非常大,极大的耗费了网关的CPU,导致网关工作故障,且网内物理线路上被大量的ARP垃圾报文占用,导致网络拥塞,甚至瘫痪,这是典型的ARP洪攻击。
1.2.2ARP防洪攻击简述
目前对ARP防攻击的技术主要是针对攻击源做限制,网关设备设置ARP防攻击阈值,当某一时间段内网关设备接收到的ARP报文超过阈值时,即记录下该源MAC地址,对该MAC 进行限制,阻断一定的时间(通常为60秒),阻断时间内不对该源所发的ARP包进行任何处理(不响应,不转发),直接丢弃,以保证网络通畅。
1.2.3ARP欺骗简述
与ARP洪攻击有所区别,ARP欺骗是通过伪造IP-MAC映射来对网关或网内主机造成攻击的,但ARP欺骗同样可以造成网络瘫痪。
造成ARP欺骗攻击的原因,同样是由于ARP本身协议的缺陷,协议规定本地的ARP列表必须定时更新,当收到ARP响应包时,如果有此项列表信息则进行刷新,如果无此项列表信息,则进行记录。攻击者利用这个特点,构造大量的错误的ARP响应包,以网关为例,网关的IP-MAC是网内主机所必须的,不然无法正常通信,攻击者向往内广播大量的ARP响应包,携带错误的网关IP-MAC映射,使得网内主机接收到后更新本地ARP表,由于更新的列表信息中网关信息是错误的,所以导致网络瘫痪。
1.2.4ARP防欺骗
1.关闭ARP学习,使用ip-mac绑定功能
一般网络设备都是默认启用ARP学习,关闭后设备将不会自动刷新ARP表,每一条信息都需要手动添加,只要是不匹配IP-MAC绑定表的报文都将被丢弃。
本设备对每个与ip-mac绑定功能冲突而丢弃的包,会产生系统日志。
由于MAC地址和IP地址的绑定关系由操作员静态手工配置。适用于信息点不多、规模不大的静态地址环境下。
2.发送免费报文
发送免费报文原理与欺骗原理类似,免费ARP报文就是广播正确的ARP信息,使得收到此报文的主机强制学习,以防止被欺骗。另外,免费报文还有另一个作用,就是防止网内主机IP冲突。
本设备支持ARP自定义发包和保护端口的设置,自定义发包就是可以自定义ARP报文,可以定义报文类型,发包数量和频率等信息;保护端口即为设置主动广播ARP广播报文的端口,并且可以设置免费报文内容,使之不仅仅只广播网关自己的IP-MAC,同样可以对网内任何主机进行保护,防止攻击者针对该主机的攻击。
2配置ARP
3典型配置
组网:
简要配置介绍:
!
anti-arp spoof service \\启用防欺骗
no anti-arp learning-arp \\关闭arp学习
anti-arp broadcast interface vlan1 \\配置vlan1为保护端口anti-arp broadcast interface vlan1 list 192.168.1.7 00:00:00:00:00:77 \\配置保护列表
anti-arp broadcast interface vlan1 list 192.168.1.8 00:00:00:00:00:88
anti-arp broadcast interface vlan1 list 192.168.1.9 00:00:00:00:00:99
anti-arp flood service \\启用防洪攻击
anti-arp flood block-time 80 \\设置阻断时间
anti-arp flood threshold 400 \\设置阈值
!