点上方蓝字关注公众号,坚持每天技术打卡
学网络,就在IE-LAB
国内高端网络工程师培养基地
今天我们来学习ARP攻击基本防护。
为了避免上述ARP攻击行为造成的各种危害, ARP安全特性针对不同的攻击类型提供
了多种解决方案。
针对于ARP洪泛攻击,可以采取以下方式进行基本防护:
1.通过对ARP报文进行限速,建议在网关设备上进行部署,防止因大量ARP报文,导致的CPU负荷过重而造成其他业务无法处理。
2.通过在网关设备上部署ARP Miss消息限速,防止因收到大量目的IP而不能正常对IP报文进行解析,触发大量ARPMiss消息,导致CPU负荷过重。
3. 通过在网关设备上部署无故ARP消息主动丢弃,防止设备因处理大量免费ARP报文,导致CPU负荷过重。
4. 在网关设备上部署ARP表项的严格学习控制,设置只有本端设备主动发送的ARP请求报文的应答报文才能触发本设备进行ARP学习。这样可以有效防止设备收到大量ARP攻击报文, 导致ARP表被无效的ARP条目占满。
5.在网关设备上部署ARP表项限制 ,设置设备接口只能学习到不超过最大动态ARP表项数目。可以防止某一个接口所下接入的用户主机发起ARP攻击时造成整个设备的ARP表资源都被耗尽。
6. 在网关设备上部署禁止接口学习ARP表项的功能,通过禁止某个接口进行ARP表项学习,防止接口下所接入的用户发起的ARP攻击导致整个设备的ARP表资源都被耗尽。
针对ARP表欺骗攻击,可以采取以下方式进行:
1.通过在网关设备上部署ARP表项固化功能, 使得设备在第一次学习到ARP之后,将会采取以下方式限制表项更新:不再允许用户更新此ARP表项、只能更新此ARP表项的部分信息,或者通过发送ARP请求报文的方式进行确认,防止攻击者伪造ARP报文修改正常用户的ARP表项内容。ARP表项固化模式一般分为 fixed-all模式、 fixed-mac模式和send-ack三种模式。
2. 在接入设备上部署动态ARP检测,设备收到ARP报文之后,会将此ARP报文的源IP、源MAC,收到ARP报文的接口及VLAN信息与绑定的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的ARP报文通过,否则认为是攻击报文,则丢弃该ARP报文。这种方式仅适用于DHCP Snooping 已经部署的情况下使用。
3. 在网关设备上部署无故ARP报文主动丢弃功能,通过主动丢弃无故ARP报文,防止设备因收到大量伪造的无故ARP报文,导致ARP表项更新错误,合法用户的通信流量发生被中断。
4. 在网关设备上部署ARP报文MAC地址一致性检查,通过ARP报文MAC地址一致性检查功能,可以防止以太网数据帧中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致的ARP欺骗攻击。
5. 在网关设备上部署本ARP表项严格学习功能,开启该功能后,只有本设备主动发送的ARP请求报文的应答报文才能触发本端设备学习,而其他设备发送的ARP报文则不能触发本设备学习ARP。用来防止设备因收到伪造的ARP报文,导致ARP表项更新错误,合法用户的通信流量发生中断。
平常学习工作中,你对哪块技术感兴趣呢?欢迎大家在留言区互动交流,我们也会挑选大家感兴趣的技术点来分享。
IE-LAB抖音平台
网络攻城狮粉丝破万
7.27-7.31 抽奖送好礼
思科认证EI课程:
网络工程师如何轻松拿下思科企业网基础架构 EI CCIE认证?独家详细学习指南+考试计划
思科EI考试SDN部分技术解读"基于TrustSec的SD-Access Fabric策略平面"建议收藏
纯技术分享|EI企业架构模型必须了解的软定义网络SDN与基于意图的网络IBN
思科认证SP课程:
【超全独家干货】思科运营商高级SP全栈班十个专题课程任选,MPLS、EVPN、SRTE、Ipv6……
你了解思科的IOS-XR吗?准SP CCIE一定要看!IOS-XR的配置管理
思科SPCCIE V5.0考试前要完成的学习计划
备考指南|思科SP CCIE认证新版本V5.0对比现版本V4.1新增了哪些知识点?
扫码咨询报名
往期【网工知识角】技术回顾:
网工知识角|NAT64基本原理概述,它的局限性又有哪些?
快速掌握网络通讯流量资源浪费的环路解决方法,网工知识角
新网工技术一分钟解读Openflow工作原理,网工知识角
网工知识角|用于管理和控制IPv6组播组的MLDsnooping技术详解
网工知识角|快速理解FTP和TFTP的区别,实用收藏
新网工都要了解的无线技术,你却连Mesh网络是什么都不知道?
网工知识角|零基础入门学网络,三分钟掌握DTP协议的五种接口模式
网工知识角|思科全新EI及无线方向你必须要去了解的WLAN漫游技术
网工知识角|基础入门务必掌握这两个常用协议,快速攻克面试难关
网工知识角|技术大牛自检时间到,关于MLD技术你知多少?
网工知识角|不可忽略的三个关键点,确保端口安全配置无误
网工知识角|一分钟搞定802.1x认证配置,了解三种授权模式的区别
快速完成华为IPSG配置一分钟看完即会,网工知识角每天进步一点点
网工知识角|一分钟轻松掌握Mac地址漂移使用的场景
网络工程师技术难点分析MTU和PMTU是什么?就在网工知识角
华为网络初级工程师快速掌握基于MAC地址的VLAN划分实用收藏
网工知识角|华为网络技术面试题详解QOS流量整形令牌桶机制和规则
这样总结隧道Tunnel技术工作原理更容易记住 网络工程师还不收藏?
你知道NAC网络准入控制的5大功能5种类型和3重优点吗?
网工知识角|什么是虚拟化?史上最全云计算基础虚拟化技术各种概念高薪面试必备
网工知识角|网络工程师快收下这份华为MUXVLAN的原理和配置,华为HCIP数通网络实用技术
网工知识角|华为HCIE数通认证基础必学之GVRP协议是什么
网工知识角|CCIE网络工程师安全基础之AAA认证的三个基本组件
网工知识角|EI CCIE企业网软定义中的VxLAN分布式网关两种部署方式
网工知识角|关于OSPF V3你了解吗?不懂没关系,收下这份配置
纯干货网工知识角|入门IT网络工程师收下这份关于NTP网络时间协议解读
学思科和华为都需要掌握之网络安全技术防火墙的4种分类,网工知识角
网工知识角|信息安全入门反病毒技术全面解说5种传播途径
网工知识角|没人会告诉你的网络SDN软定义技术中VXLAN的4个特点
网工知识角|你不可不知的WLAN的安全技术体系
网工知识角|什么是思科软件定义接入(SD-Access)? 新一代网工必学的自动化技术
网工知识角|什么是华为CSS 集群?简单易懂,面试收藏
网工知识角|三分钟了解QOS的处理流程和分类
网工知识角|Qos的基本原理
网工知识角|LACP技术详解
网工知识角|802.1X协议介绍
网工知识角|OpenFlow协议简介
网工知识角|MSTP协议详解
网工知识角|快速了解IGMP协议
网工知识角|快速了解和掌握HSRP协议简介和配置
网工知识角|1分钟了解GRE协议浅析
网工知识角|DHCP服务详解和基于eNSP DHCP配置
网工知识角|P2P协议简介
网工知识角|OSPFv3技术概述
网工知识角|防火墙双机热备三大协议(VRRP-VGMP-HRP)简述
网工知识角|一分钟了解交换机的堆叠技术
网工知识角|简单了解Cisco PVST协议
网工知识角|MPLS LDP简介
网工知识角|GLBP网关负载均衡协议原理
网工知识角|Cisco VTP解析
网工知识角|DLDP技术简述
网工技术分享|Cisco策略路由PBR详解
网工技术分享|Cisco CEF浅析
CCIE备考交流QQ群:134074975
思科华为免费公开课QQ群:134403299
每日打卡一个技术点,关注IE-LAB哔哩哔哩:370947524
每日下午4点准时直播,关注IE-LAB抖音:135654500
IE-LAB官网:http://www.ie-lab.cn
分享给更多网工同伴一起进步
关注本订阅号,点个“赞“”在看”
4097
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
