欢迎user
20-ARP攻击防御
本章节下载 (344.67 KB)
目 录
某局域网内存在两个区域:研发区和办公区,分别属于VLAN 10和VLAN 20,通过接入交换机连接到网关Device,如图1所示。
网络管理员在监控网络时发现办公区存在大量ARP请求报文,通过分析认为存在IP泛洪攻击,为避免这种IP报文攻击所带来的危害,可采用ARP源抑制功能和ARP黑洞路由功能。
图1 ARP防止IP报文攻击配置组网图
· 如果发送攻击报文的源IP地址是不固定的,可配置ARP黑洞路由功能。
· 如果发送攻击报文的源IP地址是固定的,可配置ARP源抑制功能,并配置源抑制的阈值。当固定时间内(5秒)ARP请求报文的流量超过阈值后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理。
(1) 开启ARP黑洞路由功能
进入Switch C配置界面,选择页面左侧导航栏的[网络/IP/ARP],进入“ARP”配置页面,进行如下配置。
¡ 在“ARP高级设置”页面,点击“ARP攻击防御”,进入“ARP攻击防御”配置页面。
图2 进入ARP攻击防御配置页面
¡ 在“ARP攻击防御”配置页面,开启“ARP黑洞路由”功能。
图3 开启ARP黑洞路由功能
(2) 配置ARP源抑制功能
在“ARP攻击防御”配置页面,开启“ARP源抑制”功能,并配置源抑制的阈值为100。
图4 开启ARP源抑制功能并配置ARP源抑制的阈值
(3) 保存配置
完成上述配置后,Switch C的端口收到某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束;非固定IP地址发送的不能解析的IP报文,会产生黑洞路由,丢弃报文。
· 网络中Device为一台DHCP服务器;Host A和Host B是DHCP客户端。
· Switch是DHCP Snooping设备,在VLAN 10内配置ARP Detection功能,对DHCP客户端和用户进行用户合法性检查和报文有效性检查。
(1) 配置DHCP服务器和DHCP client(略)
(2) 配置Switch的DHCP snooping功能
进入Switch配置界面,选择页面左侧导航栏的[网络/链路/DHCP Snooping],进入“DHCP Snooping”配置页面,进行如下配置。
¡ 开启“DHCP Snooping”功能。
图6 开启DHCP snooping功能
¡ 配置连接合法DHCP服务器的接口GigabitEthernet1/0/3为信任接口。
¡ 配置连接DHCP Client的接口GigabitEthernet1/0/1和GigabitEthernet1/0/2开启DHCP Snooping表项记录功能。
¡ 点击<确定>按钮,完成信任端口和DHCP Snooping表项记录功能的配置。
图7 配置DHCP snooping信任端口和表项记录功能
¡ 点击右上角的“”,进入“DHCP Snooping高级设置”页面。
¡ 在高级设置页面,配置DHCP Snooping设备的表项备份功能:将DHCP Snooping表项备份到本地,并命名为“dhcp snooping binding record-001”。
图8 将DHCP Snooping表项备份到本地
(3) 开启Switch的ARP Detection功能
进入Switch配置界面,选择页面左侧导航栏的[网络/IP/ARP],进入“ARP”配置页面,进行如下配置。
¡ 点击“ARP攻击防御”,进入“ARP攻击防御”配置页面。
图9 进入ARP攻击防御配置页面
¡ 从“ARP攻击防御”配置页面的接入设备防攻击区域,进入“ARP Detection”配置页面。
图10 进入ARP Detection配置页面
¡ 在“ARP Detection”配置页面,选择开启ARP Detection功能的VLAN,点击右侧的“”按钮完成配置。
图11 在VLAN内开启ARP Detection功能
¡ 在“ARP Detection”配置页面,选择高级设置,进入“ARP Detection高级设置”页面。
¡ 开启ARP报文有效性检查,选择检查模式为同时开启源MAC地址的检查、目的MAC地址的检查和IP地址检查。
图12 配置ARP报文有效性检查
¡ 在“ARP Detection高级设置”页面,将连接DHCP服务器的接口GigabitEthernet1/0/3设置为ARP Detection信任接口,点击右侧的“”按钮完成配置。
图13 配置ARP Detection信任接口
(4) 保存配置
完成上述配置后,对于接口GigabitEthernet1/0/1和GigabitEthernet1/0/2收到的ARP报文,先进行报文有效性检查,然后基于DHCP Snooping安全表项进行用户合法性检查。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!