华为交换机防止同网段ARP欺骗攻击配置案例

转载 2007年09月27日 22:30:00

1 阻止仿冒网关IParp攻击

1.1 二层交换机实现防攻击

1.1.1 配置组网
 
1二层交换机防ARP攻击组网
S3552P是三层设备,其中IP100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999PC-B上装有ARP攻击软件。现在需要对S3026_A进行一些特殊配置,目的是过滤掉仿冒网关IPARP报文。

1.1.2  配置步骤
对于二层交换机如S3026C等支持用户自定义ACLnumber50005999的交换机,可以配置ACL来进行ARP报文过滤。
全局配置ACL禁止所有源IP是网关的ARP报文
acl num 5000
 rule 0 deny 0806 ffff 24 64010101 ffffffff 40
 rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.116进制表示形式。Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999
注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。
S3026C-A系统视图下发acl规则:
[S3026C-A] packet-filter user-group 5000
这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。

1.2  三层交换机实现防攻击
 
1.2.1 配置组网
 
2 三层交换机防ARP攻击组网
 
1.2.2 防攻击配置举例
对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:
acl number 5000
 rule 0 deny 0806 ffff 24 64010105 ffffffff 40
rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址100.1.1.516进制表示形式。

仿冒他人IParp攻击
 
作为网关的设备有可能会出现ARP错误表项,因此在网关设备上还需对仿冒他人IPARP攻击报文进行过滤。
如图1所示,当PC-B发送源IP地址为PC-Darp reply攻击报文,源macPC-Bmac (000d-88f8-09fa),源ipPC-Dip(100.1.1.3),目的ipmac是网关(3552P)的,这样3552上就会学习错误的arp,如下所示:
 
---------------------  错误 arp 表项 --------------------------------
IP Address    MAC Address     VLAN ID Port Name       Aging Type
100.1.1.4     000d-88f8-09fa   1        Ethernet0/2     20    Dynamic
100.1.1.3     000f-3d81-45b4   1      Ethernet0/2     20    Dynamic

 
从网络连接可以知道PC-Darp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。通过如下配置方法可以防止这类ARP的攻击。

 
一、在S3552上配置静态ARP,可以防止该现象:
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
 
二、同理在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。 
 
三、对于二层设备S3050CS3026E系列)除了可以配置静态ARP外,还可以配置IPMACport绑定,比如在S3026C端口E0/4上做如下操作: 
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
IP100.1.1.4并且MAC000d-88f8-09faARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。 
上述配置案例中仅仅列举了部分Quidway S系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。
 

华为交换机ARP安全

session 1 ARP安全 一、配置基于源MAC地址的arp报文限速,防止设备收到不断变化的源ip地址的arp攻击时被耗尽cpu资源 [Huawei]arp speed-limit source-...
  • alone_map
  • alone_map
  • 2016年09月07日 23:56
  • 1237

华为交换机ARP安全

session 1 ARP安全 一、配置基于源MAC地址的arp报文限速,防止设备收到不断变化的源ip地址的arp攻击时被耗尽cpu资源 [Huawei]arp speed-limit source-...
  • alone_map
  • alone_map
  • 2016年09月07日 23:56
  • 1237

win10系统arp绑定

cmd中输入 netsh -c i i show in 查看网络连接准确名称,如:本地连接、无线网络连接 netsh -c i i add neighbors "网络连接名称" "IP地址" "MAC...
  • shienquan
  • shienquan
  • 2017年10月24日 14:04
  • 333

帮你理解网关、ARP、IP、MAC、路由

我发个简单形象的小故事,你一看就明白了。   假设你叫小不点(本地主机),住在一个大院子(本地局域网)里,有很多邻居(网络邻居),门 口传达室有个看大门的李大爷,李大爷就是你的网关。当你想跟院子...
  • adudurant
  • adudurant
  • 2014年03月26日 16:20
  • 1162

Linux Arp命令绑定IP和MAC地址防止ARP欺骗

Linux Arp命令绑定IP和MAC地址防止ARP欺骗 2010-06-21 17:51 佚名 互联网 字号:T | T ARP危害极大,有的病毒就使用ARP欺骗,不仅影...
  • u010978044
  • u010978044
  • 2013年12月21日 17:59
  • 1611

tplink arp绑定的 类型 强制和普通的区别

普通绑定是在路由器上记录了局域网内计算机MAC地址对应的IP地址,建立了一个对应关系,不会受到ARP欺骗,导致无法正常通讯。对于没有进行IP与MAC地址绑定的计算机就可能受到ARP攻击。普通绑定只是设...
  • vbaspdelphi
  • vbaspdelphi
  • 2017年05月28日 21:35
  • 263

古董华为3026交换机端口隔离抵御ARP的办法

抵御ARP的一个笨办法
  • ex_net
  • ex_net
  • 2017年03月24日 09:55
  • 906

路由器的ARP绑定

ARP(AddressResolutionProtocol),即地址解析协议,具体来说就是将IP地址解析为数据链路(数据链路层,位于OSI模型的第二层)的MAC(MediaAccessControl)...
  • rongdeguoqian
  • rongdeguoqian
  • 2014年11月07日 17:36
  • 1448

通过服务器安全狗设置防护arp攻击

最近公司服务器大面积瘫痪 有的甚至无法远程 登陆服务器后之前安装的服务器安全狗报网关欺骗攻击 导致所有外网域名访问都无法打开 找到原因就开始着手解决问题 通过查看发现软件提供有arp防护,查看设置...
  • u013293478
  • u013293478
  • 2014年02月18日 10:00
  • 586

ARP攻击及实现详解

声明:本文只用于技术交流和学习使用,严禁用于任何其它用途,严禁转载。若因本文带来的任何麻烦,本人不承担任何连带责任。 一、ARP协议 关于arp协议作用就不再这里多说了,直接看下图 图1 ...
  • mxway
  • mxway
  • 2016年03月26日 07:59
  • 917
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:华为交换机防止同网段ARP欺骗攻击配置案例
举报原因:
原因补充:

(最多只允许输入30个字)