×

ARP攻击防范技术
  

ztbf 1817

{{ttag.title}}
ARP攻击防范技术
一  防ARP地址欺骗
特性简介
设备作为三层使用时,当用户发送ARP报文修改设备的ARP表项时,防地址欺骗可以通过ARP报文和ARP表中的相关表项对比,对ARP表项的某些字段不允许修改的方式防止ARP欺骗。
实现方式
防地址欺骗有两种方式:1)主动确认方式进行ARP学习;2)锁定方式防表项更新,在第一次学习到ARP表后不允许再更新表项。
主动确认方式进行ARP学习
在第一次学习ARP时,当收到用户的更新ARP请求,暂时不更新本地的ARP表,先向用户发送一个ARP请求,如果用户回应该请求,则学习此用户的ARP,否则不学习该用户的ARP。
注:主动确认方式的ARP学习目前有一个缺陷,参见主动确认方式的ARP学习缺陷。
锁定方式防止ARP更新
当用户第一次学习到ARP后,锁定ARP表项的某些字段或全部字段,不允许更新ARP表项。包括两种锁定方式:1)fixed-mac方式,不允许更新MAC和IP,可以更新端口、VLAN等其他信息;2)fixed-all方式,全部不允许更新,包括ARP的老化时间都不允许更新

二 防ARP网关冲突
特性简介
当设备作为网关时,ARP网关冲突检查可以防止用户仿冒网关的IP,非法修改网关和网络内其他用户的ARP表项。
实现方式
当交换机使能防ARP网关冲突时,下发一条ACL规则将ARP报文全部上送,通过软件转发。
当CPU收到ARP报文时,比较此ARP报文的源IP是否和其所在的VLANIF的某个IP地址相同,如果相同,则为用户仿冒网关IP,丢弃此ARP报文,记录日志并发送告警。同时下发一个ACL,丢弃该用户的ARP报文,此ACL的有效时间为3分钟,3分钟后删除此ACL规则


三  动态ARP检测(DAI)
  特性简介
Dynamic ARP Inspection(DAI)是通过DHCP SNOOPING表项,检查收到的ARP报文的合法性,如果ARP报文和DHCP SNOOPING绑定表的内容一致,则允许此用户的ARP报文通过,否则丢弃该ARP报文。
防止ARP中间人攻击,可以配置ARP报文检查功能,对接口或VLAN下收到的ARP报文和绑定表进行匹配检查,当报文的检查项和绑定表中的特征项一致时,转发该报文,否则丢弃报文。
同时可以配置告警功能,当丢弃的报文数超过限制的阈值时,发出告警信息。


  1  软件方式DAI
软件方式DAI是将ARP报文通过软件转发,在转发过程中判断报文的合法性。
当VLAN使能DAI时,下发规则将该VLAN下的所有ARP报文上送到软件层面。在软件层,查找DHCP SNOOPING绑定表来检查ARP报文是否和绑定表匹配,主要检查ARP报文的源MAC、源IP、报文入端口、VLAN(可以包括内层VLAN和外层VLAN)是否和DHCP SNOOPING绑定表匹配,如果完全匹配,允许报文转发,否则丢弃该报文。匹配的选项可以配置。


   2  硬件方式DAI
硬件方式是通过芯片的ACL规则检查用户ARP报文的合法性,检查的内容和通过软件检查一致,也可配置。
当DHCP SNOOPING用户上线后,通知DAI模块。DAI模块将用户表项中的源MAC、源IP、VLAN信息,加上匹配ARP协议,组装成一条ACL规则,下发到芯片中。
当ARP报文从某个端口进入芯片时,通过下发的ACL规则去匹配,如果匹配到,说明发送这个ARP报文的用户是合法的,允许该ARP报文转发,当下发的用户ARP ACL不能匹配时,该用户是非法的,通过匹配该端口下的默认ACL规则丢弃报文(该规则在端口使能DAI时下发,如果是基于VLAN的DAI,则在VLAN使能DAI是下发到VLAN上)


四 ARP报文速率限制
在城域以太网中,存在着很多针对ARP 表项的攻击,因此需要在网络的接入层或者汇聚层配置防止对ARP 表项的攻击,以保护、网络的安全性。
1 为防止大量的ARP 报文增加CPU 的负荷,以及占用大量的ARP 表项,可以配置ARP 报文速率抑制,将上送主控板处理的ARP 报文速率限制在一个合理的范围内。
2 为防止主机发送大量目标IP 地址不能解析的IP 报文来攻击设备,可以配置ARPMiss 源抑制功能,对攻击者的报文进行丢弃处理。
3 接口下使能ARP 报文检查功能后,经过接口的ARP 报文上送安全模块进行检查,为防止大量ARP 报文对安全模块的冲击,可以配置ARP 报文速率抑制,对超过速率限制的报文做丢弃处理。







打赏鼓励作者,期待更多好文!

打赏
1人已打赏

Sangfor_闪电回_朱丽 发表于 2019-11-11 10:42
  

11.11社区也狂欢 +11 S豆 详情>

感谢楼主带来的知识分享!ARP欺骗在我们日常运维过程中经常遇到,了解它才能更好地识别和防护,点赞!
发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
技术盲盒
【 社区to talk】
干货满满
技术笔记
产品连连看
新版本体验
技术咨询
标准化排查
信服课堂视频
每周精选
功能体验
自助服务平台操作指引
排障那些事
GIF动图学习
技术晨报
安装部署配置
运维工具
解决方案
2023技术争霸赛专题
秒懂零信任
故障笔记
技术圆桌
云计算知识
用户认证
技术顾问
资源访问
存储
「智能机器人」
社区新周刊
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
高手请过招
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人