- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
25-H3C VSR1000虚拟路由器ARP防攻击特性典型配置举例
本章节下载: 25-H3C VSR1000虚拟路由器ARP防攻击特性典型配置举例 (206.49 KB)
H3C VSR1000虚拟路由器ARP防攻击特性典型配置举例
|
Copyright © 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
本文档介绍VSR1000虚拟路由器ARP防攻击特性典型配置举例。
本文档不严格与具体软件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解ARP攻击防御特性。
如图1所示,局域网内的主机Host A通过网关Router连接到外网。现要求:
· Router通过ARP自动扫描功能建立局域网内主机Host A的动态ARP表项,然后通过ARP固化功能将动态ARP表项转换为静态ARP表项。
· 固化完成后,禁止网关学习动态ARP表项,新增主机Host B无法访问网关。
图1 ARP自动扫描和固化功能配置举例组网图
本举例是在E0301版本上进行配置和验证的。
# 配置接口的IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] ip address 10.1.1.1 24
# 接口上启用ARP自动扫描功能(该命令只做执行,不生成配置文件)。
[Router-GigabitEthernet1/0] arp scan
This operation may take a long time to collect these ARP entries, and you can press CTRL_C to break. Please specify a right range. Continue? [Y/N]: y
Scanning ARP. Please wait...
Scanning is complete.
[Router-GigabitEthernet1/0]quit
# 当组网中仅有主机Host A时,启动扫描功能后,通过命令display arp查看网关路由器Router进行ARP扫描后学习到的ARP表项。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.2 0015-e943-7e6a N/A GE1/0 20 D
# 使用ARP固化将动态ARP转换为静态ARP(该命令只做执行,不生成配置文件)。
[Router] arp fixup
Fixup ARP. Please wait...
Fixup is complete.
# 启动固化功能后,通过命令display arp查看网关路由器Router进行ARP固化后ARP表项。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.2 0015-e943-7e6a N/A GE1/0 N/A S
# 配置禁止接口GigabitEthernet1/0学习动态ARP。
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] arp max-learning-num 0
[Router-GigabitEthernet1/0] quit
# 局域网中新增加主机Host B,查看ARP表项,没有Host B的ARP表项。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Typ
10.1.1.2 0015-e943-7e6a N/A GE1/0 N/A S
# 在Host B上ping不通网关。
C:\> ping 10.1.1.1
Pinging 10.1.1.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.1.1.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
arp max-learning-num 0
#
如图2所示,局域网中的主机Host A通过Router作为网关连接到外网。现要求:网关上启用ARP主动确认功能,防止攻击者使用仿冒ARP报文欺骗网关设备。
图2 ARP主动确认功能配置举例组网图
本举例是在E0301版本上进行配置和验证的。
# 配置接口的IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] ip address 10.1.1.1 24
[Router-GigabitEthernet1/0] quit
# 配置ARP主动确认功能。
[Router] arp active-ack enable
# 查看网关的ARP表项显示有Host A对应的ARP表项。
[Router] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.2 000f-e123-4568 N/A GE1/0 20 D
# 打开ARP的报文调试信息开关。
<Router> terminal debugging
The current terminal is enabled to display debugging logs.
<Router> debugging arp packet
# 新增一台主机Host B仿冒Host A向网关发送伪造的ARP请求报文,其中ARP报文中的源MAC修改为0086-0005-0004。网关Router A收到该ARP报文后,发现该报文对应的ARP表项的刷新时间超过一分钟,启用ARP表项正确性检查,网关会发送一个单播ARP请求报文(报文的目的IP地址、目的MAC地址采用ARP表项中的的源IP地址、源MAC地址),如果在随后的5s内收到ARP应答报文,将对前期收到的ARP报文与此次收到的ARP应答报文进行比较(比较内容包括:源IP地址、源MAC地址)。在一定时间内收到的ARP应答报文:
*Jul 3 18:07:38:660 2014 Router ARP/7/ARP_RCV: Received an ARP message, operation: 1, sender MAC: 0086-0005-0004, sender IP: 10.1.1.2, target MAC: 0cda-41c7-057f, target IP: 10.1.1.1
*Jul 3 18:07:38:660 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1, sender
MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 000f-e123-4568, target IP: 10.1.1.2
*Jul 3 18:07:38:660 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 2, sender
MAC:0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0086-0005-0004, target IP: 10.1.1.2
*Jul 3 18:07:38:660 2014 Router ARP/7/ARP_RCV: Received an ARP message, operation: 2, sender MAC: 000f-e123-4568, sender IP: 10.1.1.2, target MAC: 0cda-41c7-057f, target IP: 10.1.1.1
# 后收到的ARP报文是Host A发送的,该报文与ARP表项中的IP地址、MAC地址一致,网关认为前期收到的ARP报文为攻击报文,通过命令display arp查看网关路由器的ARP表项不更新。
<Router> display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN Interface Aging Type
10.1.1.2 000f-e123-4568 N/A GE1/0 20 D
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
arp active-ack enable
#
如图3所示,局域网内服务器和主机通过网关Router与外部网络通信。在网关上使能源MAC固定的ARP攻击检测功能,具体需求如下:
· 对普通PC,固定的时间(5秒)内收到源MAC地址固定的ARP报文超过30时,会打印Log信息并对来自PC的ARP报文进行过滤。
· 配置服务器Server的MAC为保护MAC,使服务器可以对网关发送大量ARP报文。
图3 源MAC固定的ARP攻击检测功能配置举例组网图
为了使路由器在检测到ARP攻击时能够打印告警信息,并将由攻击源发送的ARP报文过滤掉,需要在开启源MAC固定ARP攻击检测功能时同时选择过滤模式。
本举例是在E0301版本上进行配置和验证的。
# 使能源MAC固定ARP攻击检测功能,并选择过滤模式。
<Router> system-view
[Router] arp source-mac filter
# 配置源MAC固定ARP报文攻击检测阈值为30个。
[Router] arp source-mac threshold 30
# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。
[Router] arp source-mac aging-time 60
# 将0086-0005-0004配置为保护MAC。
[Router] arp source-mac exclude-mac 0086-0005-0004
# 配置接口IP地址。
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] ip address 10.1.1.1 24
[Router-GigabitEthernet1/0] quit
# 打开ARP的报文调试信息开关。
<Router> terminal debugging
The current terminal is enabled to display debugging logs.
<Router> debugging arp packet
# PC向网关设备Router发送ARP报文,发送频率为6个/秒,相当于5秒30个,设备上不打印log信息,未生成ARP防攻击检测表项。
<Router> display arp source-mac
Source-MAC VLAN ID Interface Aging-time
# PC向网关设备Router发送ARP报文,发送频率为10个/秒,相当于5秒50个同时生成ARP防攻击检测表项。
<Router> display arp source-mac
Source-MAC VLAN ID Interface Aging-time
0088-0008-0009 N/A GE1/0 48
# 此时设备上打印log信息如下。
*Jun 20 13:54:42:482 2014 Router ARP/7/ARP_RCV: Received an ARP message, opera
tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cda-41c7
-057f, target IP: 10.1.1.1
*Jun 20 13:54:42:482 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operatio
n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000
9, target IP: 10.1.1.20
*Jun 20 13:54:42:582 2014 Router ARP/7/ARP_RCV: Received an ARP message, opera
tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cd
a-41c7-057f, target IP: 10.1.1.1
*Jun 20 13:54:42:582 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operatio
n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000
9, target IP: 10.1.1.20
*Jun 20 13:54:42:682 2014 Router ARP/7/ARP_RCV: Received an ARP message, opera
tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cda-41c7
-057f, target IP: 10.1.1.1
*Jun 20 13:54:42:682 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operatio
n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000
9, target IP: 10.1.1.20
# Server向网关设备Router发送ARP报文,发送频率为10个/秒,相当于5秒50个,设备上不打印log信息,未生成ARP防攻击检测表项。
<Router> display arp source-mac
Source-MAC VLAN ID Interface Aging-time
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
arp source-mac filter
arp source-mac aging-time 60
arp source-mac exclude-mac 0086-0005-0004
#
如图4所示,某局域网内属于VLAN 10和VLAN 20的主机通过接入交换机连接到网关Router与外部网络通信。现要求:开启ARP源抑制功能,防止恶意用户使用同一源IP地址发送大量目标IP地址不能解析的IP报文来攻击设备。
图4 ARP源抑制功能配置举例组网图
本举例是在E0301版本上进行配置和验证的。
# 配置接口IP地址
<Router> system-view
[Router] interface gigabitethernet 2/0
[Router-GigabitEthernet2/0] ip address 20.1.1.1 24
[Router-GigabitEthernet2/0] quit
[Router] interface gigabitethernet 1/0
[Router-GigabitEthernet1/0] ip address 10.1.1.1 24
[Router-GigabitEthernet1/0] quit
# 使能ARP源抑制功能。
[Router] arp source-suppression enable
# 配置ARP源抑制的阈值为2。
[Router] arp source-suppression limit 2
# Host D向网关设备Router发送目的IP为20.1.1.2的IP报文,20.1.1.2这个地址在该局域网中不存在,验证网关设备在使能ARP源抑制情况下对ARP报文的处理情况。
# 打开ARP的报文调试信息开关。
<Router> terminal debugging
The current terminal is enabled to display debugging logs.
<Router> debugging arp packet
*Jul 23 17:29:03:061 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:05:262 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:07:462 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:09:662 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:11:862 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
*Jul 23 17:29:14:062 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,
sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar
get IP: 20.1.1.2
通过调试信息发现,网络中每5秒内从某IP地址向设备发送目的IP地址不能解析的IP报文超过了设置的阈值2时,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet2/0
port link-mode route
ip address 20.1.1.1 255.255.255.0
#
arp source-suppression enable
arp source-suppression limit 2
#
· 《H3C VSR1000虚拟路由器配置指导》中的“安全配置指导”
· 《H3C VSR1000虚拟路由器命令参考》中的“安全命令参考”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
