ARP安全简介

ARP 安全通过过滤不信任的ARP 报文以及对某些ARP 报文进行时间戳抑制来保证网络

设备的安全性和健壮性。

网络中有很多针对ARP 表项的攻击,攻击者通过发送大量伪造的ARP 请求、应答报文

攻击网络设备,主要有ARP 缓冲区溢出攻击和ARP 拒绝服务攻击两种。

1.ARP 缓冲区溢出攻击:攻击者向设备发送大量虚假的ARP 请求报文和免费ARP 报

文,造成设备上的ARP 缓存溢出,无法缓存正常的ARP 表项,从而阻碍正常的报

文转发。

2.ARP 拒绝服务攻击:攻击者发送大量伪造的ARP 请求、应答报文或其它能够触发

ARP 处理的报文,造成设备的计算资源长期忙于ARP 处理,影响其它业务的处

理,从而阻碍正常的报文转发。

此外,还有基于ARP 协议的扫描攻击:攻击者利用工具扫描本网段主机或者跨网段进

行扫描时,S9300 在发送回应报文前,会查找ARP 表项,如果目的IP 地址对应的MAC

地址不存在,会导致S9300 的ARP 模块向上层软件发送ARP Miss 消息,要求上层软件

发送ARP 请求报文以获得目的端的MAC 地址。大量的扫描报文会导致大量的ARP Miss

消息,导致系统的资源浪费在处理ARP Miss 消息上,影响设备对其它业务的处理,形

成扫描攻击。

S9300 支持的ARP 安全特性

(一)ARP 地址欺骗

攻击者通过伪造其他用户发出的ARP 报文,篡改设备上的用户ARP 表项,造成其它合

法用户的网络中断。

S9300 可以通过以下两种方法防御此类攻击。

1. 固定MAC 地址:S9300 第一次学习到ARP 表项之后不再允许通过ARP 学习来修

改MAC 地址,直到此ARP 表项老化之后才允许更新,以保护合法用户的ARP 表

项不被修改。

2.固定MAC 地址有两种方式:Fixed-mac 和Fixed-all。Fixed-mac 方式下,不允许修

改MAC 地址,但是允许修改VLAN 和接口信息;Fixed-all 方式下,MAC、VLAN

和接口信息都不允许修改。

3.主动确认:S9300 收到一个涉及MAC 地址修改的ARP 报文时,不会立即修改ARP

表项,而是先对原ARP 表中与此MAC 地址对应的用户发一个单播确认,根据确认

结果再决定是否修改。

(二)ARP 网关冲突

指攻击者仿冒网关地址,在局域网内部发送源IP 地址是网关地址的免费ARP 报文。主

机接收到该报文后,会修改自己原来的网关地址为攻击者的地址,最终导致局域网内部

所有主机无法访问网络。

S9300 收到到与网关地址冲突的ARP 报文时,如果存在下列情况之一:

1.ARP 报文的源IP 与报文入接口的IP 地址相同;

2. ARP 报文的源IP 是内部服务器的地址;

3. VRRP(Virtual Router Redundancy Protocol)虚MAC 方式时,ARP 报文的源IP

入接口的虚拟IP 地址,但ARP 报文源MAC 不是VRRP 虚MAC。则系统生成ARP 防攻击

表项,在后续一段时间(默认3 分钟)内对收到具有相同源MAC地址的报文直接丢弃,

这样可以防止与网关地址冲突的ARP 报文在VLAN 内广播。

(三)短期内大量ARP 报文

某个源IP 地址发送大量ARP 报文,浪费设备的CPU 资源和给ARP 报文上送预留的有

限带宽。

S9300 具有针对源IP 地址的ARP 报文速率抑制的功能。在一段时间内,如果S9300 收

到某一源IP 地址的ARP 报文数目超过设定阈值,则不处理超出阈值部分的ARP 请求报

文。

(四)大量地址无法解析的IP 报文

主机通过向设备发送大量目标IP 地址不能解析的IP 报文来攻击设备。

对此类攻击,S9300 提供对ARP Miss 消息基于源IP 地址的抑制。如果一个源IP 地址向

S9300 发送了目标IP 地址不能解析的IP 报文,就会触发ARP Miss 消息,S9300 对上报

的ARP Miss 消息进行统计。如果一个源IP 地址在一定时间内不断触发ARP Miss,而

且其触发速率超过了设定的阈值,则认为此IP 地址在进行攻击。S9300 将下发ACL 规

则,在后续的一段时间内(默认为50 秒)把这个地址发出的IP 报文丢弃。

具体的配置

一、应用环境:

在以太城域网中,存在着很多针对ARP 表项的攻击,因此需要在网络的接入层或者汇

聚层配置防止对ARP 表项的攻击,以保护网络的安全性。

二、配置严格学习ARP 表项

操作步骤

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令arp learning strict,配置严格学习ARP 表项。

缺省情况下,S9300 未使能严格学习ARP 表项功能。

三、配置基于接口的ARP 表项限制

操作步骤

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令interface interface-type interface-number,进入接口视图。

这里的接口可以是GE 接口、Eth-Trunk 接口或VLANIF 接口。

步骤3 执行命令arp-limit [ vlan vlan-id [ to vlan-id2 ]] maximum

maximum,配置基于接口的

ARP 表项限制。

vlan 选项只能在GE 接口或Eth-Trunk 接口视图下配置。

四、配置防止ARP 地址欺骗

操作步骤

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令arp anti-attack entry-check { fixed-mac

fixed-all

send-ack } enable,使能ARP

地址防欺骗功能。

只能同时使能一种ARP 地址防欺骗方式。如果原来使能了另外一种方式,则新配置的

方式覆盖原来配置的方式。缺省情况下,S9300 未使能ARP 地址防欺骗功能。

五、配置防止ARP 网关冲突

操作步骤

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令arp anti-attack gateway-duplicate enable,使能ARP

网关冲突防攻击功能。

六、配置ARP 报文源抑制功能

背景信息

为防止大量的ARP 报文增加CPU 的负荷,以及占用大量的ARP 表项,可以配置ARP

报文速率抑制,将上送主控板处理的ARP 报文速率限制在一个合理的范围内。

考虑到某些特定的用户有特别的需求,对于该用户的IP 地址可以配置不同于其他IP 地

址的ARP 报文抑制速率。

操作步骤

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令arp speed-limit source-ip maximum maximum,配置ARP

报文源抑制速率。

步骤3 (可选)执行命令arp speed-limit source-ip ip-address maximum

maximum,配置指定

source-ip 用户的ARP 报文源抑制速率。

完成上述配置后,对指定了source-ip 的用户,ARP 报文源抑制速率为步骤3 中配置的

maximum 值;其它IP 地址的ARP 报文源抑制速率为步骤2 中配置的maximum 值。

如果将速率配置为0,则表示不作ARP 报文源抑制。缺省情况下,所有IP 地址的ARP

报文源抑制速率为500pps。

七、配置ARP Miss 消息源抑制功能

背景信息

为防止主机发送大量目标IP 地址不能解析的IP 报文来攻击设备,可以配置ARP Miss

源抑制功能,对攻击者的报文进行丢弃处理。

考虑到某些特定的用户有特别的需求,对于该用户的IP 地址可以配置不同于其他IP 地

址的ARP Miss 抑制速率。

操作步骤

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令arp-miss speed-limit source-ip maximum maximum,配置ARP

Miss 消息源抑

制速率。

步骤3 (可选)执行命令arp-miss speed-limit source-ip ip-address maximum

maximum,配置指

定source-ip 用户的ARP Miss 源抑制速率。

完成上述配置后,对指定了source-ip 的用户,ARP Miss 源抑制速率为步骤3 中配置的

maximum 值;其它IP 地址的ARP Miss 源抑制速率为步骤2 中配置的maximum 值。

如果将速率配置为0,则表示不作ARP Miss 源抑制。缺省情况下,所有IP 地址的ARP

Miss 源抑制速率为500pps。

八、配置对潜在的ARP 攻击行为写日志和发送告警

操作步骤

步骤1 执行命令system-view,进入系统视图。

步骤2 执行命令arp anti-attack log-trap-timer

time,配置对潜在的攻击行为写日志和发送告

警。

time 为写ARP 日志和发送告警时间间隔。缺省情况下该值为0,表示未使能写ARP 日

志和发送告警功能。

九、配置检查配置结果

前提条件

已完成ARP 防攻击配置。

操作步骤

使用命令display arp learning strict 查看ARP 表项严格学习限制。

使用命令display arp anti-attack configuration { entry-check

gateway-duplicate

log-trap-timer

arp-speed-limit

arpmiss-speed-limit

all }查看当前ARP 防攻击配

置。

使用命令display arp-limit [ interface interface-type

interface-number ] [ vlan vlan-id ]

查看接口或VLAN 下配置的ARP 表项限制数目。

使用命令display arp anti-attack gateway-duplicate item

查看当前网络中存在的网

关地址冲突攻击信息。