#原创计划#交换机ARP表攻击防范
  

ztbf 3005人觉得有帮助

本帖最后由 ztbf 于 2020-3-16 11:26 编辑

      前些日子,有空写了交换机arp转发流程,没有想到很多人点赞,非常感谢,趁还在家办公,在写一些有关arp表的东西,这次是安全方面。 arp表很重要,因为用于存储IP地址和MAC地址的关系,所有的数据转发都靠它,但同路由表不同是,它是用户和交换机之间过交互协议报文生成的,所以造成了安全隐患,导致不法用户利用这个机制对其攻击。
       arp表有二种:
               1  静态--由于自己手动绑定,攻击都无法攻击
               2  动态-用户和交换机交互后自己生成,容易攻击。

       攻击方法有三种:
               1 发送大量ARP报文,使合法用户的ARP报文无法上送CPU处理。
               2  通过仿冒ARP报文,篡改正确的ARP表项。
               3  发送大量源IP或源MAC变化的报文,耗尽ARP表资源。

     怎么防范:
         1 保证合法用户的ARP报文可以上送CPU处理。
     缺省情况下,为了保证CPU的正常运行,交换机对每种上送CPU的协议报文都设置了CPCAR值,对于超过CPCAR值的报文就会被丢弃。如果非法用户发送大量的ARP报文,就会导致合法用户的ARP报文无法上送CPU,也就无法正常生成ARP表项,交换机可以通过下面几种方式防止非法用户的此类攻击。
      限速:   
          (1) 基于源MAC地址对ARP报文限速
     
       命令:   arp speed-limit source-mac maximum 10   //对于任意MAC地址,每秒最多允许10个ARP报文通过
         
         (2)基于源IP地址对ARP报文限速。

        命令:   arp speed-limit source-ip maximum 10   //对于任意IP地址,每秒最多允许10个ARP报文通过            
              (3)基于全局对ARP报文限速。

       命令:arp anti-attack rate-limit enable   //开启ARP限速功能

          arp anti-attack rate-limit packet 200 interval 10   //指定设备在10秒钟内最多允许上送200个ARP报文,超过限速值则丢弃
           (4)基于VLAN和接口对ARP报文限速。

              命令:arp anti-attack rate-limit enable  //开启ARP限速功能

           arp  anti-attack rate-limit packet 200 interval 10   //指定VLAN3在10秒钟内最多允许上送200个ARP报文,超过限速值则丢弃.


            (5)ARP Miss消息限速功能

            (6)出口ARP检测功能     
     2  保证ARP表项的正确性
          ARP报文上送CPU后,交换机会根据ARP报文的源IP查询当前的ARP表中是否存在对应的ARP表项:如果存在,就会刷新ARP表项。攻击者利用这一点,通过仿冒ARP报文,篡改ARP表项,使合法用户的报文转发出现异常

       防止仿冒网关攻击

攻击者通过仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,导致局域网内其他用户主机记录的网关地址映射关系被篡改。这样其他用户主机就会把发往网关的流量发送给攻击者,造成这些用户主机无法访问网络,攻击者还可以窃取到他们发送的数据内容,造成信息泄露 .

        (a) 发送ARP免费报文

         (b)ARP防网关冲突检测

         (c)ARP网关保护功能

  

    防止仿冒合法用户攻击

如攻击者仿冒合法用户,伪造ARP报文,篡改网关设备上UserA的ARP表项,导致UserB通过Gateway转发数据给UserA时,因查询到错误的ARP表项,导致UserA无法收到UserB发送给其的数据。

            (a)ARP表项固化

            (b)动态ARP检测功能


3   保证合法用户的ARP表项可以正常生成

      设备上ARP表资源是有限的,攻击者通过ARP泛洪耗尽ARP表资源,就会导致合法用户的ARP表项无法生成,报文转发失败.

    (a)限制可以学习的ARP表项数量

    (b)ARP表项严格学习







   

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
8人已打赏

SANGFOR_45083 发表于 2020-3-31 20:40
  
点赞!ARP在排查的过程中,是最基础,也是新人往往会忽略的地方,建议刚入行的新同学好好过一遍
Sangfor_闪电回_朱丽 发表于 2020-3-16 17:56
  
您好,感谢您参与社区原创分享计划7,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,奖励将在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!
关于技术文章的管理流程,请参考:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
新手865541 发表于 2020-3-18 10:11
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
新手796028 发表于 2020-3-18 11:06
  
我老师说过,二层设备排错比三层设备难,因为没有报错的机制,楼主能把ARP转发了解的这么详细,真是厉害~
垃圾分类 发表于 2020-3-18 17:31
  
大神的文章真如“大音希声扫阴翳”,犹如”拨开云雾见青天”,使我等求知者看到了希望,看到了未来!
新手719447 发表于 2020-3-25 10:08
  
二层设备排错比三层设备难,因为没有报错的机制,今天拜读了,像你学习
marco 发表于 2020-3-25 10:15
  
学习了。这些命令是在交换机上配置的吧。刚刚敲了下,华为交换机上有这些命令。
新手689835 发表于 2020-3-25 10:24
  
看了楼主的帖子,让我陷入了严肃的思考中,我认为,如果不把楼主的帖子顶上去,就是对真理的一种背叛,就是对谬论的极大妥协。因此,我决定义无返顾的顶了!
主动出击 发表于 2020-3-25 10:24
  
感谢分享,最近刚好在学习交换机的配置。
一个无趣的人 发表于 2020-3-25 11:33
  
楼主对于ARP的分享很全面,如果能配点截图就更完美了。