欢迎来到小居数码网-一家分享数码知识,生活小常识的网站,希望可以帮助到您。

当前位置:生活小常识 > 电脑知识 >
优质

arp断网攻击彻底解决的方法(arp攻击怎么解决)

数码知识

周驿栩优秀作者

原创内容 来源:小居数码网 时间:2024-03-06 22:12:01 阅读() 收藏:40 分享:69

导读:您正在阅读的是关于【电脑知识】的问题,本文由科普作家协会,生活小能手,著名生活达人等整理监督编写。本文有1379个文字,大小约为6KB,预计阅读时间4分钟。

前面我给大家剖析了了ARP故障及其解决办法,这里我以华为设备为例给各位小伙伴讲讲ARP攻击以及抵御攻击我们该做哪些防范配置。

arp攻击怎么解决

讲到攻击与防范,我觉得还是有必要先讲讲ARP安全原理。下面我从7个方面来讲讲ARP安全原理。

1.ARP报文限速

如果设备对收到的大量ARP报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。因此,在处理之前,设备需要对ARP报文进行限速,以保护CPU资源。

@根据源MAC地址或源IP地址进行ARP报文限速:当设备检测到某一个用户在短时间内发送大量的ARP报文,可以针对该用户配置基于源MAC地址或源IP地址的ARP报文限速。在1秒时间内,如果该用户的ARP报文数目超过设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文。

@针对全局和接口的ARP报文限速:设备支持在全局和接口下配置ARP报文的限速值和限速时间,当同时在全局和接口下配置ARP报文的限速值和限速时间时,设备会先按照接口进行限速,再按照全局进行限速。

2.ARP Miss消息限速

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。这种触发ARP Miss消息的IP报文(即ARP Miss报文)会被上送到主控板进行处理,设备会根据ARPMiss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求报文,这样就增加了设备CPU的负担,同时严重消耗目的网络的带宽资源。

3.ARP表项严格学习

ARP表项严格学习是指只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。

通常情况下,当UserA向Gateway发送ARP请求报文后,Gateway会向UserA回应ARP应答报文,并且添加或更新UserA对应的ARP表项。当Gateway配置ARP表项严格学习功能以后:

①对于Gateway收到UserA发送来的ARP请求报文,Gateway不添加也不更新UserA对应的ARP表项。如果该请求报文请求的是Gateway的MAC地址,那么Gateway会向UserA回应ARP应答报文。

②如果Gateway向UserB发送ARP请求报文,待收到与该请求对应的ARP应答报文后,Gateway会添加或更新UserB对应的ARP表项。

4.动态ARP监测(DAI)

是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。

5.ARP表项固化功能

网关设备在第一次学习到ARP以后,不再允许用户更新此ARP表项或只能允许更新此ARP表项的部分信息,或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。

6.ARP防止网关冲突

攻击者B将伪造网关的ARP报文发送给用户A,使用户A误以为攻击者即为网关。用户A的ARP表中会记录错误的网关地址映射关系,使得用户A跟网关的正常数据通信中断。如图所示:

7.发送免费ARP报文

Attacker仿冒网关向User发送了伪造的ARP报文,导致User的ARP表中记录了错误的网关地址映射关系,从而正常的数据不能被网关接收。为了避免上述危害,可以在网关设备上部署发送免费ARP报文功能,定期更新用户的ARP表项,使得用户ARP表项中记录的是正确的网关MAC地址。

从7个方面讲解了ARP安全原理,接着我再讲讲ARP攻击以及如何防范。

ARP攻击主要有ARP泛洪攻击和ARP欺骗攻击两种;

ARP泛洪攻击主要是攻击者发送大量的ARP报文导致ARP表项溢出和ARP Miss。

如果出现ARP表项溢出我们该如何防范呢?

a)网关设备配置ARP表项严格学习功能

配置1:arp speed-limit source-ip/mac maximum[全局]

b)配置接口限制学习ARP的数目

配置2:arp anti-attack rate-limit enable[接口]

arp anti-attack rate-limit [packet-number] [ interval-value ]

如果出现ARP Miss我们该如何防范呢?

攻击者向设备发送大量不能解析的目的ip地址,配置miss消息限速(全局和源地址)

配置1:[huawei]arp-miss speed-limit source-ip

配置2:[huawei]arp-miss anti-attack rate-limit enable

[huawei] arp-miss anti-attack rate-limit packet-number [ interval-value ]

ARP欺骗攻击主要有中间人攻击、仿冒网关攻击、欺骗网关攻击。

①中间人攻击:仿冒user向user发送ARP报文

配置动态arp检测:arp anti-attack check user-bind enable[接口或者vlan视图下]

②仿冒网关攻击:仿冒网关向user发送ARP报文

配置防网关冲突:arp anti-attack gateway-duplicate enable[全局]

配置发送免费arp:arp gratuitous-arp send enable[ vlanif 接口下]

③欺骗网关攻击:仿冒user向网关发送ARP报文

配置arp表项固化:arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable[全局]

以上内容就是针对ARP攻击与防范的一点拙见,希望对各位有所帮助。

上面就是小居数码小编今天给大家介绍的关于(arp攻击怎么解决)的全部内容,希望可以帮助到你,想了解更多关于数码知识的问题,欢迎关注我们,并收藏,转发,分享。

94%的朋友还想知道的:

(529)个朋友认为回复得到帮助。

部分文章信息来源于以及网友投稿,转载请说明出处。

本文标题:arp断网攻击彻底解决的方法(arp攻击怎么解决):http://sjzlt.cn/diannao/121674.html

猜你喜欢