华为配置ARP安全综合功能实验

最新推荐文章于 2024-09-20 18:16:43 发布
最新推荐文章于 2024-09-20 18:16:43 发布
阅读量1k 收藏 11
点赞数 8
文章标签: 安全 华为 网络 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzz6583zz/article/details/139168249
版权

配置ARP安全综合功能示例

组网图形

图1 配置ARP安全功能组网图

  • ARP安全简介
  • 配置注意事项
  • 组网需求
  • 配置思路
  • 操作步骤
  • 配置文件
ARP安全简介

ARP(Address Resolution
Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。

常见的ARP攻击如下:

  1. 用户主机直接接入网关,攻击者将伪造网关的ARP报文发送给用户主机,使用户主机误以为攻击者即为网关。用户主机的ARP表中会记录错误的网关地址映射关系,这样就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到用户主机发送的数据内容。

  2. 网络中有用户向设备发送大量目的IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。这种触发ARP Miss消息的IP报文(即ARP Miss报文)会被上送到CPU进行处理,设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求报文,这样就增加了设备CPU的负担,同时严重消耗目的网络的带宽资源。

  3. 设备收到大量ARP攻击报文,并需要对所有ARP攻击报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。

针对以上攻击,ARP安全提供如下措施保证网络设备的安全性:

  • 针对第一种攻击,可配置ARP防网关冲突,防止攻击者冒充网关窃听用户主机信息。

  • 针对第二种攻击,可配置ARP Miss消息限速,减小CPU的负担,保护目的网络的带宽资源。

  • 针对第三种攻击,可配置ARP报文限速,以保护CPU资源。

配置注意事项
  • 本举例适用所有框式交换机的产品和版本。
  • 本举例适用的盒式交换机产品:
    • S3700-HI
    • S5710-EI、S5720-EI、S5700-HI、S5710-HI、S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731-S、S5731S-S、S5731S-H、S5732-H、S5732-H-K
    • S6700-EI、S6720-EI、S6720S-EI、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6735-S
  • 本举例中产品的默认适用版本请参见“案例适用的产品和版本说明”中的表1

如需了解交换机软件配套详细信息,请点击[Info-Finder](https://info.support.huawei.com/info-
finder/search-center/zh/enterprise/switch “Info-
Finder”),在选择产品系列或产品型号后,在“硬件中心”进行查询。

S5731-L和S5731S-L属于远端模块,不支持Web管理、YANG和命令行,仅支持通过中心交换机对其下发配置,相关操作请参见《S300, S500,
S2700, S5700, S6700 V200R022C00 配置指南-设备管理》中的“智能极简园区网络配置(小行星方案)”。

组网需求

Switch作为网关通过接口GE1/0/3连接一台服务器,通过接口GE1/0/1、GE1/0/2连接VLAN10和VLAN20下的四个用户。网络中可能存在以下ARP威胁:

  • 攻击者向Switch发送伪造的网关的ARP报文,使用户误以为攻击者即为网关。这样用户就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到用户发送的数据内容。
  • 攻击者发出大量目的IP地址不可达的IP报文进行ARP泛洪攻击,造成Switch的CPU负荷过重。
  • 用户User1构造大量源IP地址变化MAC地址固定的ARP报文进行ARP泛洪攻击,造成Switch的CPU进程繁忙,影响到正常业务的处理。
  • 用户User3构造大量源IP地址固定的ARP报文进行ARP泛洪攻击,造成Switch的CPU进程繁忙,影响到正常业务的处理。

管理员希望能够防止上述ARP攻击行为,为用户提供更安全的网络环境和更稳定的网络服务。

配置思路

采用如下思路在Switch上进行配置:

  1. 配置ARP防网关冲突,防止攻击者冒充网关窃听用户主机信息。
  2. 配置根据源IP地址进行ARP Miss消息限速,实现防止用户侧存在攻击者发出大量目的IP地址不可达的IP报文触发大量ARP Miss消息,形成ARP泛洪攻击。同时需要保证Switch可以正常处理服务器发出的大量此类报文,避免因丢弃服务器发出的大量此类报文而造成网络无法正常通信。
  3. 配置根据源MAC地址进行ARP限速,实现防止User1发送的大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的CPU进程繁忙。
  4. 配置根据源IP地址进行ARP限速,实现防止User3发送的大量源IP地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的CPU进程繁忙。
操作步骤
  1. 创建VLAN,将接口加入到VLAN中,并配置VLANIF接口

创建VLAN10、VLAN20和VLAN30,并将接口GE1/0/1加入VLAN10中,接口GE1/0/2加入VLAN20中,接口GE1/0/3加入VLAN30中。

    <HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type trunk
[Switch-GigabitEthernet1/0/3] port trunk allow-pass vlan 30
[Switch-GigabitEthernet1/0/3] quit
# 创建接口VLANIF10、VLANIF20、VLANIF30,配置各VLANIF接口的IP地址。

[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.8.8.4 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.9.9.4 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.10.10.3 24
[Switch-Vlanif30] quit

  1. 配置ARP防网关冲突

    [Switch] arp anti-attack gateway-duplicate enable //配置ARP防网关冲突

  2. 配置根据源IP地址进行ARP Miss消息限速

配置对Server(IP地址为10.10.10.2)的ARP Miss消息进行限速,允许Switch每秒最多处理该IP地址触发的40个ARP

Miss消息;对于其他用户,允许Switch每秒最多处理同一个源IP地址触发的20个ARP Miss消息。

    [Switch] arp-miss speed-limit source-ip maximum 20  //配置根据源IP地址进行ARP Miss消息限速
[Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40  //配置根据源IP地址进行ARP Miss消息限速

  1. 配置根据源MAC地址进行ARP限速

    配置对用户User1(MAC地址为0001-0001-0001)进行ARP报文限速,每秒最多只允许10个该MAC地址的ARP报文通过。

[Switch] arp speed-limit source-mac 0001-0001-0001 maximum 10  //配置根据源MAC地址进行ARP限速
  1. 配置根据源IP地址进行ARP限速

配置对用户User3(IP地址为10.9.9.2)进行ARP报文限速,每秒最多只允许10个该IP地址的ARP报文通过。

    [Switch] **arp speed-limit source-ip 10.9.9.2 maximum 10**  //配置根据源IP地址进行ARP限速

  1. 验证配置结果

    执行命令display arp anti-attack configuration all,查看当前ARP防攻击配置情况。

[Switch] display arp anti-attack configuration all
......
ARP anti-attack entry-check mode:
Vlanif      Mode
-------------------------------------------------------------------------------
All         disabled
-------------------------------------------------------------------------------

ARP rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------

ARP miss rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------

ARP speed-limit for source-MAC configuration:
MAC-address         suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
0001-0001-0001      10
Others              0
-------------------------------------------------------------------------------
The number of configured specified MAC address(es) is 1, spec is 1024.

ARP speed-limit for source-IP configuration:
IP-address          suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.9.9.2            10
Others              30
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024.

ARP miss speed-limit for source-IP configuration:
IP-address          suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.10.10.2/32       40
Others              20
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024. 
# 执行命令display arp packet statistics,查看ARP处理的报文统计数据。

[Switch] display arp packet statistics
ARP Pkt Received:   sum  8678904
ARP-Miss Msg Received:   sum      183
ARP Learnt Count:   sum     37
ARP Pkt Discard For Limit:   sum      146
ARP Pkt Discard For SpeedLimit:   sum      40529
ARP Pkt Discard For Proxy Suppress:   sum      0
ARP Pkt Discard For Other:   sum  8367601
ARP-Miss Msg Discard For SpeedLimit:   sum      20
ARP-Miss Msg Discard For Other:   sum      104     
由显示信息可知,Switch上产生了ARP报文和ARP Miss消息丢弃计数,表明ARP安全功能已经生效。
配置文件
# Switch的配置文件

#
sysname Switch
#
vlan batch 10 20 30
#
arp-miss speed-limit source-ip 10.10.10.2 maximum 40
arp speed-limit source-ip 10.9.9.2 maximum 10
arp speed-limit source-mac 0001-0001-0001 maximum 10
arp anti-attack gateway-duplicate enable
#
arp-miss speed-limit source-ip maximum 20
#
interface Vlanif10
 ip address 10.8.8.4 255.255.255.0
#
interface Vlanif20
 ip address 10.9.9.4 255.255.255.0
#
interface Vlanif30
 ip address 10.10.10.3 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk allow-pass vlan 20
#
interface GigabitEthernet1/0/3
 port link-type trunk
 port trunk allow-pass vlan 30
#
return

学习计划

那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:

阶段一:初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?

阶段二:中级or高级网络安全工程师(看自己能力)

综合薪资区间15k~30k

7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。

零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;

Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三:顶级网络安全工程师

如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份完整版的网络安全(客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

在这里插入图片描述

如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

程序员鱼
关注
《在华为交换机上配置ARP 攻击
jiyiwangluokeji的博客
09-21 1000
如果您发现某个接口经常收到大量异常的 ARP 报文,您可以在该接口上开启动态 ARP 检测,并将连接合法设备的接口设置为信任接口,这样可以有效地止来自该接口的 ARP 攻击。- 配置 ARP 报文限速: arp speed-limit source-ip maximum [max-rate]- 进入接口视图: interface [interface-type interface-number]- 开启 ARP 攻击功能arp anti-attack enable。2. 配置动态 ARP 检测。
配置ARP安全综合功能示例
2301_76769041的博客
01-27 1092
ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够范针对ARP协议的攻击,还可以范网段扫描攻击等基于ARP协议的攻击。常见的ARP攻击如下:用户主机直接接入网关,攻击者将伪造网关的ARP报文发送给用户主机,使用户主机误以为攻击者即为网关。
ping 过程学习
weixin_42282999的博客
09-20 382
1、简述 一般我们用 ping查看网络情况,主要是检查两个指标: 第一个是看看是不是超时 第二个看看是不是延迟太高 如果超时那么肯定是网络有问题(禁 ping情况除外);如果延迟太高,网络情况肯定也是很糟糕的。 2、协议 ICMP(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。 ICMP 协议就是为了更高效的转发 IP数据报和提高交付成功的机会。 ARP协议,在一个局域网中,计算机
转:华为最新ARP
weixin_33979745的博客
10-10 260
华为最新ARP护 2008年06月16日 星期一 08:40 ARP 报文限速功能简介:为了止“中间人攻击”,设备通过开启ARP 入侵检测功能,将ARP 报文上送到CPU 处理,判断ARP 报文的合法性后进行转发或丢弃。但是,这样引入了新的问题:如果攻击者恶意构造大量ARP 报文发往交换机的某一端口,会导致CPU 负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。S390...
北京华为HCIE认证网络工程师针对ARP 攻击基本护详解
IE-lab网络实验室的博客
07-08 608
北京华为HCIE认证网络工程师针对ARP 攻击基本护详解为了避免上述ARP攻击行为造成的各种危害, ARP安全特性针对不同的攻击类型提供 了多种解决方案。 针对于ARP洪泛攻击,可以采取以下方式进行基本护: 1.通过对ARP报文进行限速,建议在网关设备上进行部署,止因大量ARP报文,导致的CPU负荷过重而造成其他业务无法处理。 2.通过在网关设备上部署ARP Miss消息限速,止因收到大量目的IP而不能正常对IP报文进行解析,触发大量ARPMiss消息,导致CPU负荷过重。 3. 通过在网
华为h3c ARP攻击御解决方案
11-05
华为H3C ARP攻击御解决ARP攻击御解决,绝对值得网络管理员学习学习。
华为综合实验配置
qq_2138259124的博客
09-30 640
实验拓扑: 实验要求: 1.配置vlan和链路聚合 2.配置ospf和rip 3.配置路由重分发 4.配置nat 实验步骤: 实现vlan间互访。 SW1: [sw1]vlan batch 10 20 30 40 //配置vlan [sw1]int Eth-Trunk 1 //进入链路聚合1 [sw1-Eth-Trunk1]port link-type trunk //开启trunk [sw1-Eth-Trunk1]port trunk allow-pass vlan all //允许所有vlan [sw
华为配置ospf,rip,单臂路由,链路聚合综合实验
m0_50749129的博客
09-30 2247
实验拓扑】 【实验要求】 1.二层交换机配置VLAN ,将接口接入对应的VLAN,配置链路聚合,接口 trunk链路 2. R2配置单臂路由,R2、R3之间配置OSPF,R3、R4、R5之间配置RIP版本2。 3.R1与R2之间配置静态路由及默认路由。 4.配置重分发,实现全网互通。 5.配置NAT,将服务器映射到外网接口G0/0/0上。 【实验步骤】 实现vlan间互访。 SW1: [sw1]vlan batch 10 20 30 40 //配置vlan [sw1]int Eth-Trunk 1 //
华为eNSP综合实验:单臂路由、DHCP、RIP、OSPF、VLAN
清风明月的博客
07-03 1536
实验华为eNSP综合实验,为某学校相关课程期末考试真题,当时没有完全理解,现在由于工作需求,重新温习相关技术,于是想到用本实验来练练手,提升一下实验操作能力。 主要涉及交换机VLAN划分、trunk口放通vlan;路由器单臂路由配置、DHCP配置、RIP配置、OSPF配置以及路由引入。
华为交换机止同网段ARP欺骗攻击配置案例
05-18
华为交换机止同网段ARP欺骗攻击配置案例
华为 HCIP 实验 - DHCP 特性与配置 _ DHCP配置
君逍遥o
07-12 665
你是公司的网络管理员,由于公司网络主机数量较多,使用静态地址分配难以管理,因此需要架设DHCP服务器。 R1路由器做DHCP服务器,R4为DHCP客户端,R2作为交换机S1下各设备的网关,由于DHCP Discover是广播报文不能穿越路由器,因此部署DHCP Relay将请求报文从R2发送到R1。S2不做任何配置,仅透明转发。 为了提升网络安全性,止其他DHCP服务器让客户端获取到错误的地址,在S1交换机上部署DHCP Snooping,要求R4可以获取到DHCP服务器1(R1)的地址,不应该获取到D
华为配置ARP中间人攻击实验
专研计算机网络,数据通信,网络安全,系统集成
04-01 1466
ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够范针对ARP协议的攻击,还可以范网段扫描攻击等基于ARP协议的攻击网络中针对ARP攻击层出不穷,中间人攻击是常见的一种ARP欺骗攻击方式。通过中间人攻击窃取合法用户的数据。为了御中间人攻击,可以在设备上部署动态ARP检测DAI(Dynamic ARP Inspection)功能
arp miss攻击_详述网络ARP安全综合功能
weixin_30268555的博客
12-24 3615
针对以上攻击ARP安全提供如下措施保证网络设备的安全性:针对第一种攻击,可配置ARP网关冲突,攻击者冒充网关窃听用户主机信息。针对第二种攻击,可配置ARP Miss消息限速,减小CPU的负担,保护目的网络的带宽资源。针对第三种攻击,可配置ARP报文限速,以保护CPU资源。组网需求如图1所示,Switch作为网关通过接口GE1/0/3连接一台服务器,通过接口GE1/0/1、GE1/0/2连接...
arp 华为 查看 路由器_华为电脑路由器 配置ARP.pdf
weixin_39823676的博客
12-22 91
Quidway Eudemon 100/100E/200/200S配置指南 网际互联分册 目 录目 录...
华为---代理ARP简介及示例配置
最新发布
lehe99的专栏
09-20 1598
当A区域的终端发送ARP广播请求,查找B区域终端的MAC地址时,连接A区域的路由器端口1收到ARP请求时(由于路由器不会转发广播包,因此ARP请求只能到达路由器,不能到达区域B),三层设备会查看ARP请求,发现IP地址属于它连接的另一个网络,因此路由器用端口1的MAC地址代替B区域终端的MAC地址,向A区域终端回复ARP应答。PC1和PC2与交换机SW连接的端口加入隔离组5后,PC1和PC2无法正常通信,现要求在端口隔离的情况下,实现VLAN 10下的PC1和PC2能够通信。
华为交换机:ARP静态绑定技术
热门推荐
迷逝
08-16 1万+
举个例子:明明这个IP地址是可以ping通的,但是ARP列表找不到。IP和MAC绑定错误,会导致无法通信。所以绑定之前需要慎重。这个命令扫描MAC码 ,这个命令只能在接口模式下才能使用。查询VLAN10接口所有IP地址分配情况。注意:一个主机MAC可静态绑定多个IP。下面这个命令是查看所有网段的ARP。这个时候我们就需要扫描MAC。命令,可以快速静态绑定。......
华为S9300系列交换机ARP护与网络安全配置
学习华为S9300的ARP护策略,用户可以从官方提供的配置指南和命令参考文档中获取详细信息,包括理解网络攻击的基本手段、掌握S9300的攻击功能以及如何定位和解决安全问题。这些资料涵盖了常见的网络攻击手段,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值