实际中如何应对ARP泛洪攻击

于 2024-06-17 09:42:10 发布
阅读量592 收藏 9
点赞数 4
文章标签: 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tony_long7483/article/details/139732150
版权

当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。问题现象的描述:
1.网络设备CPU占有率较高。
2.正常用户不能学习ARP甚至无法上网。
3. Ping不通。
4. 网络设备不能管理。
一、故障定位
1.执行命令display arp查看受影响用户的ARP是否学习不到。如果MAC ADDRESS字段显示为Incomplete,表示有ARP学习不到,有可能设备遭受ARP攻击。
2.由于有未学习到的ARP表项,执行命令display cpu-defend statistics packet-type arp-request all查看上送CPU的ARP-Request报文统计信息。以此判断设备是否遭受攻击,可能发现4号单板上存在大量ARP-Request报文丢包。该命令可以查看多次,比如1秒执行一次,查看多次执行的结果。如果Drop(Packets)计数增加很快,比如1秒钟Drop上百个,这说明设备正在遭受ARP攻击,上送的ARP报文已经超过了设备配置的CPCAR范围,攻击ARP报文可能已经挤掉了正常ARP报文,则部分ARP可能学习不到。
3.确认攻击源,通过攻击溯源功能识别攻击源。首先,在系统视图下配置防攻击策略:[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] auto-defend enable
[HUAWEI-cpu-defend-policy-policy1] auto-defend attack-packet sample 5
[HUAWEI-cpu-defend-policy-policy1] auto-defend threshold 30 ???
[HUAWEI-cpu-defend-policy-policy1] undo auto-defend trace-type source-portvlan? ?
//auto-defend enable后,缺省情况下溯源类型为source-mac、source-ip和source-portvlan,source-portvlan粒度太大,所以去使能source-port vlan
[HUAWEI-cpu-defend-policy-policy1]undo auto-defend protocol dhcp icmp igmp tcp telnet ttl- expired udp//
auto-defend enable后,缺省情况下攻击溯源的协议类比较多,这里只保留arp报文攻击溯源,如果有其它协议也需要攻击溯源,则不要undo掉。接下来,应用防攻击策略policy1。最后,通过命令display auto-defend attack-source slot
4.查看攻击源的MAC地址。
识别的MAC中可能包含网关的MAC地址或互连网络设备的MAC,需要注意剔除。通过上述的整体思路,我们终于能判断出来,问题根因就是以下两点:1.由于终端中毒频繁发送大量ARP报文。2.下挂网络成环产生大量的ARP报文。
二、ARP泛洪攻击的处理步骤
1.在接口下配置ARP表项限制。设备支持接口下的ARP表项限制,如果接口已经学习到的ARP表项数目超过限制值,系统不再学习新的ARP表项,但不会清除已经学习到的ARP表项,会提示用户删除超出的ARP表项。配置命令如下:
system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp-limit vlan 10 maximum 20
2.配置针对源IP地址的ARP报文速率抑制的功能。在一段时间内,如果设备收到某一源IP地址的ARP报文数目超过设定阈值,则不处理超出阈值部分的ARP请求报文。
system-view
[HUAWEI] arp speed-limit source-ip 10.0.0.1 maximum 50
说明:缺省情况下,对ARP报文进行时间戳抑制的抑制速率为5pps,即每秒处理5个ARP报文。
3.根据排查出的攻击源MAC配置黑名单过滤掉攻击源发出的ARP报文。
[HUAWEI] acl 4444
[HUAWEI-acl-L2-4444] rule permit l2-protocol arp source-mac 0-0-1 vlan-id 3
[HUAWEI-acl-L2-4444] quit
[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] blacklist 1 acl 4444
[HUAWEI-cpu-defend-policy-policy1] quit
接下来应用防攻击策略policy1。
4.如果上述配置无法解决,比如源MAC变化或源IP变化的ARP攻击源来自某台接入设备下挂用户,在接入侧交换机上配置流策略限速,不让该接入侧设备下的用户影响整个网络。
[HUAWEI] acl 4445
[HUAWEI-acl-L2-4445] rule permit l2-protocol arp
[HUAWEI-acl-L2-4445] quit
[HUAWEI] traffic classifier policy1
[HUAWEI-classifier-policy1] if-match acl 4445
[HUAWEI-classifier-policy1] quit
[HUAWEI] traffic behavior policy1
[HUAWEI-behavior-policy1] car cir 32
[HUAWEI] traffic policy policy1
[HUAWEI-trafficpolicy-policy1] classifier policy1 behavior policy1
[HUAWEI] interface GigabitEthernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] traffic-policy policy1 inbound

Tony_long7483
关注
详解ARP攻击原理、类型、机制、欺骗主机、仿冒网关、泛洪攻击,以及网络攻击如何快速判断客户端是否存在恶意连接?
代码讲故事
03-27 390
详解ARP攻击原理、类型、机制、欺骗主机、仿冒网关、泛洪攻击,以及网络攻击如何快速判断客户端是否存在恶意连接?ARP攻击(Address Resolution Protocol attack)是一种网络攻击技术,它利用了ARP协议的设计缺陷来实施攻击ARP网络协议用于将网络层的IP地址解析为链路层的MAC地址的协议。在局域网,当一个设备想要与另一个设备通信时,它需要知道对方的MAC地址,这就是ARP协议的作用。
MAC泛洪攻击-ARPDOS攻击-ARP Middleman攻击-IP地址欺骗-ICMP DOS 攻击
Martin-share的博客
02-02 1933
MAC泛洪攻击-ARPDOS攻击-ARP Middleman攻击-IP地址欺骗-ICMP DOS 攻击
ARP攻击解决方案
03-28
本文主要介绍如何利用以太网交换机DHCP监控模式或认证方式下的ARP攻击防御功能,防止校园网常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪攻击形式。同时,详细描述了组网各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
ARP泛洪攻击
嘿嘿嘿
01-13 712
ARP协议用于将IP地址映射到MAC地址,以便在局域网进行通信。当一个设备需要与局域网的其他设备通信时,他会先检查MAC表是否有对应目标地址的MAC地址,没有它会发送一个ARP请求广播,询问目标地址对应的MAC地址。攻击方通过arp泛洪攻击向被攻击方发送大量ARP请求,导致MAC表失效,使被攻击主机无法通过交换机去与其他主机建立联系,导致无法正常通讯。6在攻击前应该先清空交换机的mac表,因为如果MAC表存在目标设备的MAC地址映射,交换机会直接将数据包发送给目标设备,而不会广播ARP请求。
企业撞上ARP泛洪攻击,这样处理才丝滑
m0_66326520的博客
05-20 1223
ARP本省不能形成多大的损害,一旦被联系使用,其风险性就不可估量,因为ARP自身的疑问,使得防备ARP攻击很棘手,经常检查当时的网络状况,监控流量对一个站长来说是个很好的风气。
通讯工程——ARP欺骗+泛洪攻击
2301_76871571的博客
03-09 1803
网络安全技术
ARP广播泛洪
zx980414k的博客
05-06 881
初始状态下交换机的Mac地址为空,为了建立Mac地址表,交换机会传输一种特殊的广播帧,这一过程称之为ARP广播泛洪
Python程序设计:python mac泛洪攻击.pptx
06-12
**Python MAC泛洪攻击原理与实现** 在网络安全领域,MAC泛洪攻击是一种针对局域网交换机的攻击手法。这种攻击利用了交换机的MAC地址表学习和老化机制。交换机通常会记录连接到其各个端口的设备的MAC地址,以便在...
TCP/IP协议专栏——ARP攻击原理与分类——网络入门和工程维护必看
weixin_44081384的博客
09-01 799
1、ARP泛洪攻击 2、ARP欺骗主机的攻击 3、欺骗网关的攻击 4、间人攻击 5、IP地址冲突攻击
ARP为什么会产生泛洪攻击
qq_46138953的博客
12-21 3854
ARP为什么会产生泛洪攻击
使用 eNSP 模拟交换机防御 ARP 泛洪攻击
Flag少侠的博客
03-31 2563
ARP(地址解析协议)泛洪攻击是一种网络攻击手法,利用 ARP 协议的工作方式来实施。ARP 协议用于将 IP 地址映射到 MAC 地址,以便在局域网发送数据包。ARP 泛洪攻击的基本原理是向网络广播大量伪造的 ARP 请求,欺骗目标主机将其 ARP 缓存表的 IP 地址映射到攻击者控制的 MAC 地址上,导致数据包被发送到错误的目标,从而实现网络断或拒绝服务(DoS)的攻击目的。:通过欺骗网络的设备,使其无法正确识别其他设备的 MAC 地址,导致网络通信断。
ARP攻击
weixin_43778463的博客
09-19 910
ARP攻击
MAC泛洪攻击及解决方法
m0_61469678的博客
04-04 9397
MAC地址泛洪攻击:是攻击者利用了交换机自学习的原理,通过一定手段可以在几秒内生成几十万不同的MAC地址,并发送给交换机,这台交换机的MAC地址表很快就被这些伪造的MAC地址占满。当交换机的MAC地址表存储达到上限后,再收到数据帧时,一看该目标MAC地址,不在交换机的MAC地址表,就会通过交换机的原理,进行泛洪,这样攻击者就会捕获这些数据帧。
SylixOS ARP***解决办法
weixin_33719619的博客
06-14 143
1.ARP***介绍1.1 ARP协议ARP(地址解析协议)位于数据链路层,主要负责将某个IP地址解析成对应的MAC地址。1.2 ARP原理当局域网的某台机器A要向机器B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带机器A的IP地址,物理地址),请求B的IP地址回答对应的MAC地址。局域...
泛洪攻击以及防护方法
热门推荐
Jarvan_Song的博客
08-23 1万+
泛红攻击以及预防方法
一次arp风暴引起的不能上网解决方案
weixin_34402090的博客
12-04 699
以前的时候经常接触到ARP风暴这个名词,但是真的没有实战去解决过这个问题。我们都知道ARP是数据链路层一个很正常的地址解析协议,负责将ip地址和MAC地址进行转换和解析,在网络传输发挥着非常重要的作用。 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太...
各种ARP攻击的防御技术介绍
kinber的专栏
06-12 1108
3.1 添加静态记录 在目标主机的ARP缓存设置静态地址映射记录。静态记录也被称为永久记录。它的特点是永不过期。主要是通过“ARP双向绑定”的方法来防治ARP欺骗和冲突攻击。所谓的“双向绑定”就是在路由器上绑定局域网内每台主机的ip和mac地址之外,在每台电脑上面也绑定对应网关路由器的ip和mac地址对。 缺陷:使用这种方法可以抵御ARP欺骗,但是对于其它的ARP攻击例如ARP泛洪攻击显得无能为
ARP泛洪与欺骗
weixin_44940180的博客
07-16 2242
步骤 第一步:通过泛洪把交换机的mac表充满,使交换机在合法通信时不得不泛洪 第二步:打开抓包工具抓取合法的计算机回复自己的mac地址 第三步:把自己的mac地址变成抓取到的mac地址 ARP欺骗原理 ARP欺骗就是通过伪造IP地址和MAC地址对实现ARP欺骗的 它能够在网络产生大量的ARP包,来让网络堵塞 攻击主机只要持续的发送假的ARP包 让网络的主机缓存错误的IP-MAC对应信息,造成网络断或间人攻击ARP攻击主要是在局域网的,因为ARP包是不会垮网络传播的 所以划分VLAN能够减少当受
MAC地址的欺骗和泛洪攻击arp欺骗和泛洪攻击、如何防御、思科交换机端口安全技术配置命令、不能启用端口安全特殊案列讲解(附图,建议PC查看)
qq_62311779的博客
01-29 8613
目录 一般情况下的ARP响应: arp欺骗攻击(欺骗的是PC或者路由器): mac地址欺骗(欺骗交换机): mac地址泛洪攻击arp泛洪攻击: 总结: 如何防御: 端口安全详解: 不能启用端口安全的特列: (1)trunk接口 ( 2)连接AP的接口: AP(无线访问接入点(WirelessAccessPoint))简介: AC(无线接入控制服务器)简介: 端口安全配置命令: 一般情况下的ARP响应: pc1发送arp请求到pc2,及pc2对pc1的arp响应所生成的...
mac地址泛洪攻击应对措施
最新发布
06-13
MAC地址泛洪攻击(Broadcast Storm)是网络安全的一种恶意行为,攻击者通过伪造大量的广播帧(Broadcast Packets),充斥网络,使网络设备无法正常处理正常的通信流量,导致网络带宽被严重占用,服务质量下降,甚至可能使网络瘫痪。这种攻击利用了MAC地址广播机制的漏洞,使得每个网络接口都会接收到这些广播报文,从而形成风暴。 应对措施包括: 1. **网络设备配置限制**:配置防火墙或交换机,限制广播流量的数量,例如设置广播流量阈值,超过后自动丢弃。 2. **源验证**:使用认证技术,比如802.1X,只允许已授权的设备发送广播信息。 3. **静态MAC地址绑定**:对关键设备的MAC地址进行绑定,防止未经授权的设备接入网络。 4. **使用VLAN分割**:将网络划分为多个虚拟局域网(VLAN),限制广播报文的传播范围。 5. **实施质量-of-service (QoS)**:为重要流量分配优先级,保证在遭受攻击时仍能保持关键业务的正常运行。 6. **网络监控和日志分析**:定期检查网络流量,发现异常行为,并通过审计日志追踪攻击源。 7. **软件更新和补丁**:确保网络设备的操作系统和安全软件及时更新,修复已知的安全漏洞。 8. **教育和培训**:提高员工对网络威胁的认识,防止内部误操作引发的泛洪攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值