知攻击检测及防范ARP宋斌2011-12-01发表WX系列AC实现ARP防攻击功能的配置WX系列系列AC实现实现ARP防攻击功能的配置防攻击功能的配置一、一、组网需求:组网需求:三层交换机、WX系列AC、FITAP、交换机、便携机(安装有无线网卡)二、二、组网图:组网图:SwitchA作为网关设备,可以配置ARP源MAC地址固定攻击检查、源MAC一致性检查、主动确认等功能实现对网关设备的保护.
SwitchB作为接入设备(以WX3024为例),可以配置ARPDetection,同时配置DHCPSnooping,或者静态绑定网关或重要服务器IP和MAC,对转发的ARP进行侦听检查,对于不合法的报文进行丢弃处理.
三、三、特性介绍:特性介绍:ARP防攻击结合网关单机防御和整网防御两种防御方式,可以有效防御仿冒网关、仿冒用户和泛洪攻击等攻击行为.
从单机防御上看,源MAC地址固定攻击检查、源MAC一致性检查和主动确认等机制结合原有的ARP限速功能、接口ARP学习个数限制等功能可以有效保护网关设备.
从整网防御看,ARPDetection结合DHCPSnooping、静态绑定IP和MAC表项等手段,可以有效防御仿冒网关、仿冒用户等ARP攻击行为.
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备.
源MAC地址固定攻击检查、源MAC一致性检查和主动确认等机制可以独立存在,不依赖于其它特性.
结合DCHPSnooping安全表项的ARPDetection应用在接入设备上,依赖于通过DHCP分配地址的组网方式,且要求在接入设备上启用DHCPSnooping.
lARP主动确认功能简介使能ARP主动确认功能之后,当收到的ARP报文中的源MAC地址和对应ARP表项中的不同时,设备首先判断ARP表项刷新时间是否超过1分钟,如果没有超过1分钟,则不更新ARP表项.
否则向ARP表项对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到ARP应答报文,则忽略之前收到的ARP攻击报文;如果没有收到ARP应答报文,则向之前收到的ARP报文对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到了ARP应答报文,则根据之前收到的ARP报文更新ARP表项,否则ARP表项不会被修改.
l源MAC地址固定的ARP攻击检测功能本特性根据ARP报文的源MAC地址进行统计,在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值,则认为存在攻击,打印对应的告警信息,并对此源MAC地址对应的用户进行限制.
只对上送CPU的ARP报文进行统计.
lARP报文源MAC一致性检查功能ARP报文源MAC一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击.
在ARPDetection中也对源MAC一致性进行了检查,但这两者功能不同.
ARPDetection中的源MAC一致性检查,是在接入设备上使能ARPDetection,对上送的ARP报文进行源MAC一致性的检查.
而这里的源MAC一致性检查,是网关设备在学习ARP之前,对要被学习的ARP报文进行检查.
四、四、主要配置步骤:主要配置步骤:配置组网图中所有端口属于VLAN及SwitchA对应VLAN接口的IP地址(略).
SwitchA配置源MAC固定攻击检测.
#进入系统视图.
system-view#使能源MAC固定攻击检查,并选择过滤模式.
[switchA]arpanti-attacksource-macfilter#配置源MAC固定攻击检测保护MAC地址.
[switchA]arpanti-attacksource-macexclude-mac0000-5619-0000#配置防攻击表项老化时间.
[switchA]arpanti-attacksource-macaging-time600#配置防攻击检测阈值.
[switchA]arpanti-attacksource-macthreshold30SwitchA配置ARP主动确认功能.
#使能ARP主动确认功能.
[switchA]arpanti-attackactive-ackenableSwitchA配置ARP报文源MAC一致性检查.
#使能ARP报文源MAC一致性检查.
[switchA]arpanti-attackvalid-checkenable配置SwitchB的无线特性.
system-view[switchB]interfaceWLAN-ESS1[switchB-WLAN-ESS1]portaccessvlan10[switchB-WLAN-ESS1]quit[switchB]wlanservice-template1clear[switchB-wlan-st-1]ssidabc[switchB-wlan-st-1]bindwlan-ess1[switchB-wlan-st-1]authentication-methodopen-system[switchB-wlan-st-1]service-templateenable[switchB-wlan-st-1]quit#配置AP1提供WLAN服务.
[switchB]wlanapap1modelWA2100[switchB-wlan-ap-ap1]serial-idSZ001[switchB-wlan-ap-ap1]radio1typedot11g[switchB-wlan-ap-ap1-radio-1]service-template1[switchB-wlan-ap-ap1-radio-1]radioenable#配置AP2提供WLAN服务.
[switchB]wlanapap2modelWA2100[switchB-wlan-ap-ap2]serial-idSZ002[switchB-wlan-ap-ap2]radio1typedot11g[switchB-wlan-ap-ap2-radio-1]service-template1[switchB-wlan-ap-ap2-radio-1]radioenable[switchB-wlan-ap-ap2-radio-1]returnSwitchB配置ARPDetection特性相关功能.
#进入系统视图.
system-view#配置ARPDetection检查模式,这里启用静态IP、MAC绑定两种检查模式.
[switchB]arpdetectionmodestatic-bind[switchB]arpdetectionstatic-bind10.
1.
1.
1000f-e212-0101#进入VLAN视图.
[switchB]vlan10#VLAN内使能ARPDetection特性.
[switchB-vlan10]arpdetectionenable#显示使能ARPDetection的VLANID.
[switchB-vlan10]displayarpdetectionARPDetectionisenabledinthefollowingVLANs:10#端口状态缺省为非信任状态,上行端口设置为信任状态,下行端口按缺省设置.
弘速云是创建于2021年的品牌,运营该品牌的公司HOSU LIMITED(中文名称弘速科技有限公司)公司成立于2021年国内公司注册于2019年。HOSU LIMITED主要从事出售香港VPS、美国VPS、香港独立服务器、香港站群服务器等,目前在售VPS线路有CN2+BGP、CN2 GIA,该公司旗下产品均采用KVM虚拟化架构。可联系商家代安装iso系统。国庆活动 优惠码:hosu10-1产品介绍...
欧路云(oulucloud) 商家在前面的文章中也有陆续介绍过几次,这不今天有看到商家新增加美国Cera线路的VPS主机,而且有提供全场八折优惠。按照最低套餐最低配置的折扣,月付VPS主机低至22元,还是比较便宜的。不过我们需要注意的是,欧路云是一家2021年新成立的国人主机商,据说是由深圳和香港的几名大佬创建。如果我们有介意新商家的话,选择的时候谨慎且月付即可,注意数据备份。商家目前主营高防VP...
官方网站:https://www.shuhost.com/公司名:LucidaCloud Limited尊敬的新老客户:艰难的2021年即将结束,年终辞旧迎新之际,我们准备了持续优惠、及首月优惠,为中小企业及个人客户降低IT业务成本。我们将持续努力提供给客户更好的品质与服务,在新的一年期待与您有美好的合作。# 下列价钱首月八折优惠码: 20211280OFF (每客户限用1次) * 自助购买可复制...