华为交换机防ARP攻击配置手册

1、ARP防攻击配置F表列出了本章所包含的内容如果您需要请阅读了解ARP地址欺骗防攻击的原理和配置ARP地址欺骗防攻击了解ARP网关冲突防攻击的原理和配置ARP网关冲突防攻击配置了解ARPS文防攻击的原理和配置ARP报文防攻击配置了解ARP议防攻击综合配置举例ARP防攻击配置举例3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。对于静态配置IP地址的网络，目前只能通过配置静态 ARP方式防止ARP 表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的 AR

2、PS文, 篡改网关设备上的用户 ARPS项，可以造成其他合法用户的网络中断。I nternetG:10.DD.1Z24ARP Packet;A:10.0 .2X24SIP; 10.0.0.2图3-1 ARP地址欺骗攻击示意图如图3-1所示，A为合法用户，通过交换机 G与外界通讯：攻击者B通过伪造A 的ARPS文，使得G设备上A的ARPS项中的相应信息被修改，导致A与G的通 讯失败。对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。1. 固定MAO址 对于动态ARP的配置方式，交换机第一次学习到 ARP表项之后就不再允许通过 ARP学习对MAC地址进行修改，直到此ARP

3、表项老化之后才允许此ARP表项更新 MAC地址，以此来确保合法用户的 ARP表项不被修改。固定MAC有两种方式：Fixed-mac和Fixed-all 。Fixed-mac方式；不允许通过ARF学习对MAC地址进行修改，但允许对VLAN 和端口信息进行修改。这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。当链路切换时，ARP表项中的端口信息可以快速改变。Fixed-all 方式；对动态ARP和已解析的短静态 ARP MAC VLAN和端口信 息均不允许修改。这种方式适用于静态配置IP地址、网络没有冗余链路、同一 IP地址用户不会从不同端口接入交换机的情况。2. 主动确认（Send-a

4、ck）交换机收到一个涉及 MAC地址修改的ARPfi文时，不会立即修改原ARP表项，而 是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认：如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续 一分钟时间内不允许对此 ARPS项进行MAC地址修改；同样，ARP表项在新生成 一分钟时间内，也不允许修改此 ARPS项中的MAC地址；如果一定时间内没有收到原用户的应答报文，则对新用户发起一个单播请 求报文，收到新用户的应答报文之后才修改 ARPS项，使新用户成为合法用户。主动确认方式可以适应动态分配IP地址、有冗余链路的网络。3.1.2 ARP地址欺骗防攻击配置表3-1 ARP

5、地址欺骗防攻击配置操作命令说明进入系统视图tsystem-view-配置ARP地址欺 骗防攻击arp en try-check fixed-mac | fixed-all | send-ack 必选缺省情况下，ARP地址欺骗 防攻击功能关闭显示ARP地址欺 骗防攻击配置信 息display arp en try-checkdisplay 命令可以在任意视图下执行3.2 ARP网关冲突防攻击配置321 ARP网关冲突防攻击简介图3-2 ARP网关冲突攻击示意图ARP网关冲突攻击，指攻击者仿冒网关地址，在局域网内部发送源 IP地址是网 关地址的免费ARP报文。局域网内部的主机接收到该报文后， 会修

6、改自己原来的 网关地址为攻击者的地址，最终导致局域网内部所有主机无法访问网络。为解决此问题，S9500交换机引入了 ARP网关冲突防攻击的功能。S9500交换机 收到到与网关地址冲突的 ARP报文时，如果存在下列情况之一：ARP报文的源IP与报文入接口的IP地址相同；ARP报文的源IP是NAT地址池的地址或内部服务器的地址；VRRP虚 MAC方式时，ARF报文的源IP是入接口的虚拟IP地址，但ARF报 文源 MAC不是 VRRP虚 MAC则系统生成ARP防攻击表项，在后续一段时间内对收到具有相同以太网头部源MAC地址的报文直接丢弃，这样可以防止与网关地址冲突的ARP报文在VLAN内的广播转发。

7、3.2.2 ARP网关冲突防攻击配置 注意：ARP网关冲突防攻击能够检测并防止与 VLAN接口地址、VRRP虚 地址和NAT地址池的冲突；交换机检测到网管口上存在地址冲突时，只记录日志信息，不 能阻止攻击发生；交换机工作在VRRP实MAC地址的情况下，检测到冲突后记录日 志信息，不能阻止攻击发生。表3-2 ARP网关冲突防攻击配置操作命令说明进入系统视图system-view-配置ARP网关 冲突防攻击an ti-attack gateway-duplicate enable | disable 必选缺省情况下，ARP网关 冲突防攻击功能处于关 闭状态显示网关地址 冲突防攻击表 项信息disp

8、lay an ti-attack gateway-duplicate slot slotiddisplay命令可以在任 意视图下执行3.3 ARP报文防攻击配置3.3.1 ARP报文防攻击简介ARP协议没有任何认证机制，极易遭受到各种方式的攻击。 ARP报文攻击就是其 中常见的一种，通过采用固定源MAC地址发送大量ARPS文，影响交换机对正常 ARP报文的学习。S9500交换机具有防源MAC地址的ARF报文攻击的功能。在一段时间内，如果交 换机收到固定源MAC地址的ARPS文数目达到设定阈值，则认为使用该MAC地址 的用户在进行ARP攻击，系统会下发防攻击表项对该MAG地址进行过滤。系统下 发

9、防攻击表项后，该用户将无法正常访问网络。3.3.2 ARP报文防攻击配置表3-3 ARP报文防攻击配置操作命令说明进入系统视图system-view-配置ARP报文防攻击an ti-attack arp enable | monitor | disable 必选缺省情况下，ARP报文防攻 击功能处于监控状态配置ARP报文防 攻击报文检测阈 值an ti-attack arp threshold threshold-value可选threshold-value 取值范 围5pps300pps，缺省值 为 30pps操作命令说明配置ARP报文防 攻击表项的老化 时间an ti-attack arp

10、 agin g-timetime可选time缺省值为600秒ARF报文防攻击表项的老 化时间和网关地址冲突防 攻击表项的老化时间相同配置ARP报文防 攻击保护MAC地 址an ti-attack arp exclude-mac mac-address可选配置的保护MAC不会被防 攻击功能过滤掉，系统最 多支持16个保护MAC地址显示ARP报文防 攻击表项信息display an ti-attack arp slot slotiddisplay 命令可以在任意视图下执行说明：如果接口板的CPU没有收到任何报文，则接口板的 ARP防攻击 表项不会老化；ARP防攻击表项没有老化时，与ARP防攻击表项

11、中具有相同MAC 地址的动态MAC地址表项也不能老化；网管口不支持ARP报文防攻击功能。3.4 ARP1.组网需求防攻击配置举例Switchl 是 S9500系列交换机，通过端口 Ethernet 1/1/1 和端口 Ethernet 1/1/2连接低端交换机 Switch2和Switch3 。Switch1 下挂 PC1 Switch2 下挂 PC2 PC3 且 PC2 PC3属于同一个网段； Switch3下挂PC4 PC5且PC4 PC5同属于另外一个网段。PC1中病毒后，会发出大量ARP攻击报文，部分ARP报文源IP地址在本网 段内不停变化，部分ARF报文源IP和网关IP地址相同；PC

12、4用户构造大量源MAC 地址固定的ARP报文对网络进行攻击。Switch1能够防止PC1和 PC4的攻击。2.组网图PC3图3-3 ARP防攻击配置举例组网图3. 配置步骤#进入系统视图 system-view #配置ARP地址欺骗防攻击方式为send-ack方式，防止PC1发起的ARP地址欺 骗。Switch1 arp en try-check sen d-ack #使能ARP网关冲突防攻击功能，防止PC1发起的伪造网关地址攻击 Switch1 an ti-attack gateway-duplicate en able#使能ARPfi文防攻击功能，防止PC4发起的大流量ARPfi文攻击 S

13、witch1 an ti-attack arp en able#配置ARPfi文防攻击报文的检测阈值为40pps。Switch1 a nti-attack arp threshold 40#配置ARP报文防攻击的表项老化时间为300秒Switch1 an ti-attack arp agi ng-time 300#配置ARP报文防攻击的保护MAC地址为0-0-1。Switch1 a nti-attack arp exclude-mac 0-0-1 配置完成后，可以通过display current命令查询当前ARP防攻击配置情况。同 时，还可以通过 display anti-attack 命令查看当前网络中存在的网关地址冲