×

#原创计划#交换机ARP表攻击防范
  

ztbf 67845人觉得有帮助

{{ttag.title}}
本帖最后由 ztbf 于 2020-3-16 11:26 编辑

      前些日子,有空写了交换机arp转发流程,没有想到很多人点赞,非常感谢,趁还在家办公,在写一些有关arp表的东西,这次是安全方面。 arp表很重要,因为用于存储IP地址和MAC地址的关系,所有的数据转发都靠它,但同路由表不同是,它是用户和交换机之间过交互协议报文生成的,所以造成了安全隐患,导致不法用户利用这个机制对其攻击。
       arp表有二种:
               1  静态--由于自己手动绑定,攻击都无法攻击
               2  动态-用户和交换机交互后自己生成,容易攻击。

       攻击方法有三种:
               1 发送大量ARP报文,使合法用户的ARP报文无法上送CPU处理。
               2  通过仿冒ARP报文,篡改正确的ARP表项。
               3  发送大量源IP或源MAC变化的报文,耗尽ARP表资源。

     怎么防范:
         1 保证合法用户的ARP报文可以上送CPU处理。
     缺省情况下,为了保证CPU的正常运行,交换机对每种上送CPU的协议报文都设置了CPCAR值,对于超过CPCAR值的报文就会被丢弃。如果非法用户发送大量的ARP报文,就会导致合法用户的ARP报文无法上送CPU,也就无法正常生成ARP表项,交换机可以通过下面几种方式防止非法用户的此类攻击。
      限速:   
          (1) 基于源MAC地址对ARP报文限速
     
       命令:   arp speed-limit source-mac maximum 10   //对于任意MAC地址,每秒最多允许10个ARP报文通过
         
         (2)基于源IP地址对ARP报文限速。

        命令:   arp speed-limit source-ip maximum 10   //对于任意IP地址,每秒最多允许10个ARP报文通过            
              (3)基于全局对ARP报文限速。

       命令:arp anti-attack rate-limit enable   //开启ARP限速功能

          arp anti-attack rate-limit packet 200 interval 10   //指定设备在10秒钟内最多允许上送200个ARP报文,超过限速值则丢弃
           (4)基于VLAN和接口对ARP报文限速。

              命令:arp anti-attack rate-limit enable  //开启ARP限速功能

           arp  anti-attack rate-limit packet 200 interval 10   //指定VLAN3在10秒钟内最多允许上送200个ARP报文,超过限速值则丢弃.


            (5)ARP Miss消息限速功能

            (6)出口ARP检测功能     
     2  保证ARP表项的正确性
          ARP报文上送CPU后,交换机会根据ARP报文的源IP查询当前的ARP表中是否存在对应的ARP表项:如果存在,就会刷新ARP表项。攻击者利用这一点,通过仿冒ARP报文,篡改ARP表项,使合法用户的报文转发出现异常

       防止仿冒网关攻击

攻击者通过仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,导致局域网内其他用户主机记录的网关地址映射关系被篡改。这样其他用户主机就会把发往网关的流量发送给攻击者,造成这些用户主机无法访问网络,攻击者还可以窃取到他们发送的数据内容,造成信息泄露 .

        (a) 发送ARP免费报文

         (b)ARP防网关冲突检测

         (c)ARP网关保护功能

  

    防止仿冒合法用户攻击

如攻击者仿冒合法用户,伪造ARP报文,篡改网关设备上UserA的ARP表项,导致UserB通过Gateway转发数据给UserA时,因查询到错误的ARP表项,导致UserA无法收到UserB发送给其的数据。

            (a)ARP表项固化

            (b)动态ARP检测功能


3   保证合法用户的ARP表项可以正常生成

      设备上ARP表资源是有限的,攻击者通过ARP泛洪耗尽ARP表资源,就会导致合法用户的ARP表项无法生成,报文转发失败.

    (a)限制可以学习的ARP表项数量

    (b)ARP表项严格学习







   

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

SANGFOR_45083 发表于 2020-3-31 20:40
  
点赞!ARP在排查的过程中,是最基础,也是新人往往会忽略的地方,建议刚入行的新同学好好过一遍
杨志刚_总部_产品运营 发表于 2020-3-31 21:31
  
【有料】非常棒的分享,果然是懂得了协议原理和数据流分析,一切都是小case!下次分享的时候可以把环境信息也分享下,比如你是在什么交换机设置的?方法适用与哪些场景?主机上是否适用?加油,期待看到更多类似的分享!
蟲爺 发表于 2021-10-4 12:55
  
感谢分享
新手081074 发表于 2020-3-30 08:40
  
感谢分享
新之助 发表于 2020-3-28 23:50
  
感谢分享
新手081074 发表于 2020-3-28 14:37
  
感谢分享
新手378833 发表于 2020-3-28 10:48
  
不错,!!!
新手238782 发表于 2020-3-27 20:55
  
学习 学习 ~~
xin2004108 发表于 2020-3-27 17:23
  
来学习了。
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
314
351

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人