ARP網(wǎng)絡(luò)攻擊防范技術(shù)白皮書

1、ARP網(wǎng)絡(luò)攻擊防范技術(shù)白皮書關(guān)鍵詞：ARP，仿冒網(wǎng)關(guān)，欺騙網(wǎng)關(guān)，欺騙其他用戶，泛洪攻擊摘要：本文針對目前常見的ARP攻擊，介紹了H3C網(wǎng)絡(luò)設(shè)備所能提供的防范ARP攻擊的方法以及典型組網(wǎng)應(yīng)用?？s略語：縮略語英文全名中文解釋ARPAddress Resolution Protocol地址解析協(xié)議DHCPDynamic Host Configuration Protocol動態(tài)主機(jī)配置協(xié)議MACMedia Access Control媒體訪問控制iMCIntelligent Management Center開放智能管理中樞目 錄 HYPERLINK l _bookmark0 概述 HYPERLIN

2、K l _bookmark0 3 HYPERLINK l _bookmark0 產(chǎn)生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 ARP工作機(jī)制 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 ARP攻擊類型介紹 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark3 ARP攻擊的危害 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 H3C解決方案 HYPERLINK l _bookmark4 7 HYP

3、ERLINK l _bookmark5 ARP攻擊防范技術(shù)介紹 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 接入設(shè)備攻擊防范介紹 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 ARP Detection功能 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark6 ARP網(wǎng)關(guān)保護(hù)功能 HYPERLINK l _bookmark6 10 HYPERLINK l _bookmark6 ARP過濾保護(hù)功能 HYPERLINK l _bookmark6 10 HY

4、PERLINK l _bookmark6 ARP報文限速功能 HYPERLINK l _bookmark6 10 HYPERLINK l _bookmark7 網(wǎng)關(guān)設(shè)備攻擊防范介紹 HYPERLINK l _bookmark7 11 HYPERLINK l _bookmark7 授權(quán)ARP功能 HYPERLINK l _bookmark7 11 HYPERLINK l _bookmark8 ARP自動掃描和固化功能 HYPERLINK l _bookmark8 12 HYPERLINK l _bookmark8 配置靜態(tài)ARP表項 HYPERLINK l _bookmark8 12 HYPER

5、LINK l _bookmark8 ARP主動確認(rèn)功能 HYPERLINK l _bookmark8 12 HYPERLINK l _bookmark9 ARP報文源MAC一致性檢查功能 HYPERLINK l _bookmark9 13 HYPERLINK l _bookmark10 源MAC地址固定的ARP攻擊檢測功能 HYPERLINK l _bookmark10 14 HYPERLINK l _bookmark10 限制接口學(xué)習(xí)動態(tài)ARP表項的最大數(shù)目 HYPERLINK l _bookmark10 14 HYPERLINK l _bookmark10 ARP防IP報文攻擊功能 HYP

6、ERLINK l _bookmark10 14 HYPERLINK l _bookmark11 典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark11 15 HYPERLINK l _bookmark11 監(jiān)控方式 HYPERLINK l _bookmark11 15 HYPERLINK l _bookmark12 認(rèn)證方式 HYPERLINK l _bookmark12 16 HYPERLINK l _bookmark13 網(wǎng)吧解決方案 HYPERLINK l _bookmark13 17 HYPERLINK l _bookmark13 參考文獻(xiàn) HYPERLINK l _bookma

7、rk13 17概述產(chǎn)生背景ARP工作機(jī)制ARP協(xié)議是以太網(wǎng)等數(shù)據(jù)鏈路層的基礎(chǔ)協(xié)議，負(fù)責(zé)完成IP地址到硬件地址的映射。工作過程簡述如下：當(dāng)主機(jī)或者網(wǎng)絡(luò)設(shè)備需要解析一個 IP 地址對應(yīng)的 MAC 地址時，會廣播發(fā)送ARP 請求報文。主機(jī)或者網(wǎng)絡(luò)設(shè)備接收到 ARP 請求后，會進(jìn)行應(yīng)答。同時，根據(jù)請求發(fā)送者的 IP 地址和MAC 地址的對應(yīng)關(guān)系建立 ARP 表項。發(fā)起請求的主機(jī)或者網(wǎng)絡(luò)設(shè)備接收到應(yīng)答后，同樣會將應(yīng)答報文中發(fā)送者的IP 地址和 MAC 地址的映射關(guān)系記錄下來，生成 ARP 表項。ARP攻擊類型介紹從ARP工作機(jī)制可以看出，ARP協(xié)議簡單易用，但是卻沒有任何安全機(jī)制，攻擊者可以發(fā)送偽造AR

8、P報文對網(wǎng)絡(luò)進(jìn)行攻擊。偽造ARP報文具有如下特點：偽造的 ARP 報文中源 MAC 地址/目的 MAC 地址和以太網(wǎng)幀封裝中的源 MAC地址/目的 MAC 地址不一致。偽造的 ARP 報文中源 IP 地址和源 MAC 地址的映射關(guān)系不是合法用戶真實的映射關(guān)系。目前主要的ARP攻擊方式有如下幾類：仿冒網(wǎng)關(guān)攻擊仿冒用戶攻擊（欺騙網(wǎng)關(guān)或者其他主機(jī)）泛洪攻擊仿冒網(wǎng)關(guān)攻擊如 HYPERLINK l _bookmark1 圖1所示，因為主機(jī)A仿冒網(wǎng)關(guān)向主機(jī)B發(fā)送了偽造的網(wǎng)關(guān)ARP報文，導(dǎo)致主機(jī)B 的ARP表中記錄了錯誤的網(wǎng)關(guān)地址映射關(guān)系，從而正常的數(shù)據(jù)不能被網(wǎng)關(guān)接收。IP地址MAC地址10.10.10.1

9、1-1-1IP地址MAC地址Type10.10.10.11-1-1DynamicARP表項更新為IP地址MAC地址10.10.10.22-2-2IP地址MAC地址10.10.10.33-3-3正常數(shù)據(jù)通信被阻斷網(wǎng)關(guān)的MAC為2-2-2IP地址MAC地址Type10.10.10.12-2-2DynamicAB主機(jī)A發(fā)送的仿冒網(wǎng)關(guān)ARP報文主機(jī)B發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)圖1 仿冒網(wǎng)關(guān)攻擊示意圖仿冒網(wǎng)關(guān)攻擊是一種比較常見的攻擊方式，如果攻擊源發(fā)送的是廣播ARP報文，或者根據(jù)其自身所掌握的局域網(wǎng)內(nèi)主機(jī)的信息依次地發(fā)送攻擊報文，就可能會導(dǎo)致整個局域網(wǎng)通信的中斷，是ARP攻擊中影響較為嚴(yán)重的一種。仿冒用戶攻擊欺騙

10、網(wǎng)關(guān)如 HYPERLINK l _bookmark2 圖2所示，主機(jī)A仿冒主機(jī)B向網(wǎng)關(guān)發(fā)送了偽造的ARP報文，導(dǎo)致網(wǎng)關(guān)的ARP表中記錄了錯誤的主機(jī)B地址映射關(guān)系，從而正常的數(shù)據(jù)報文不能正確地被主機(jī)B接收。圖2 欺騙網(wǎng)關(guān)攻擊示意圖欺騙其他用戶如 HYPERLINK l _bookmark3 圖3所示，主機(jī)A仿冒主機(jī)B向主機(jī)C發(fā)送了偽造的ARP報文，導(dǎo)致主機(jī)C的ARP 表中記錄了錯誤的主機(jī)B地址映射關(guān)系，從而正常的數(shù)據(jù)報文不能正確地被主機(jī)B 接收。BMAC5-5-5圖3 欺騙其他用戶攻擊示意圖ARP泛洪攻擊網(wǎng)絡(luò)設(shè)備在處理ARP報文時需要占用系統(tǒng)資源，同時因為系統(tǒng)內(nèi)存和查找ARP表效率的要求，一般網(wǎng)

11、絡(luò)設(shè)備會限制ARP表的大小。攻擊者就利用這一點，通過偽造大量源IP地址變化的ARP報文，使設(shè)備ARP表溢出，合法用戶的ARP報文不能生成有效的ARP表項，導(dǎo)致正常通信中斷。另外，通過向設(shè)備發(fā)送大量目標(biāo)IP地址不能解析的IP報文，使設(shè)備反復(fù)地對目標(biāo)IP 地址進(jìn)行解析，導(dǎo)致CPU負(fù)荷過重，也是泛洪攻擊的一種。ARP攻擊的危害ARP攻擊是一種非常惡劣的網(wǎng)絡(luò)攻擊行為：會造成網(wǎng)絡(luò)不穩(wěn)定，引發(fā)用戶無法上網(wǎng)或者企業(yè)斷網(wǎng)導(dǎo)致重大生產(chǎn)事故。利用 ARP 攻擊可進(jìn)一步實施攻擊，非法獲取游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的帳號和口令，使被攻擊者造成利益上的重大損失。H3C解決方案圖4 網(wǎng)絡(luò)設(shè)備角色示意簡圖針對上述網(wǎng)絡(luò)中常見

12、的ARP攻擊行為，H3C提出了較為完整的解決方案，可以徹底解決客戶網(wǎng)絡(luò)受到ARP攻擊的問題。如 HYPERLINK l _bookmark4 圖4所示，ARP攻擊防范技術(shù)的思路是以設(shè)備角色為線索，通過分析二三層網(wǎng)絡(luò)設(shè)備可能會面對哪些類型的攻擊，從而提供有效的防范措施。攻擊源一般來自于主機(jī)側(cè)，因此接入交換機(jī)在ARP攻擊防范中是一個關(guān)鍵的控制點。針對攻擊的特點，接入交換機(jī)上的防范主要從兩個方面考慮：建立正確的 ARP 映射關(guān)系、檢測并過濾偽造的 ARP 報文，保證經(jīng)過其轉(zhuǎn)發(fā)的 ARP 報文正確合法。抑制短時間內(nèi)大量 ARP 報文的沖擊。由于防范措施部署在接入側(cè)，因此無需在網(wǎng)關(guān)上部署，可以減輕網(wǎng)關(guān)負(fù)

13、擔(dān)。如果接入交換機(jī)上不支持ARP攻擊防范功能，或者主機(jī)直接接入網(wǎng)關(guān)，則需要在網(wǎng)關(guān)上部署防范措施，部署思路從兩個方面考慮：建立正確的 ARP 表項，防止攻擊者修改。抑制短時間內(nèi)大量 ARP 報文或者需觸發(fā) ARP 解析的 IP 報文的沖擊。直接在網(wǎng)關(guān)上進(jìn)行部署對接入交換機(jī)的依賴較小，可以較好的支持現(xiàn)有網(wǎng)絡(luò)，有效地保護(hù)用戶投資。實際應(yīng)用時，建議分析網(wǎng)絡(luò)的實際場景，選擇合適的攻擊防范技術(shù)。ARP攻擊防范技術(shù)介紹接入設(shè)備攻擊防范介紹接入設(shè)備可能受到的攻擊類型為仿冒網(wǎng)關(guān)、仿冒用戶和泛洪攻擊。針對這三種攻擊可以采用的防范措施為：針對仿冒網(wǎng)關(guān)攻擊對ARP報文的合法性進(jìn)行檢查，如果合法則進(jìn)行后續(xù)處理，如果非法

14、則丟棄報文。ARP Detection 功能ARP 過濾保護(hù)功能ARP 網(wǎng)關(guān)保護(hù)功能針對仿冒用戶攻擊對ARP報文的合法性進(jìn)行檢查，如果合法則進(jìn)行后續(xù)處理，如果非法則丟棄報文。ARP Detection 功能ARP 過濾保護(hù)功能針對ARP泛洪攻擊ARP 報文限速功能ARP Detection功能某VLAN內(nèi)開啟ARP Detection功能后，該VLAN內(nèi)所有端口接收到的ARP（請求與應(yīng)答）報文將被重定向到CPU進(jìn)行報文的用戶合法性檢查和報文有效性檢查：如果認(rèn)為該ARP報文合法，則進(jìn)行轉(zhuǎn)發(fā)；否則直接丟棄。目前包括三個功能：ARP 報文有效性檢查用戶合法性檢查ARP 報文強制轉(zhuǎn)發(fā)ARP報文有效性檢

15、查對于ARP信任端口，不進(jìn)行報文有效性檢查；對于ARP非信任端口，需要根據(jù)配置對MAC地址和IP地址不合法的報文進(jìn)行過濾?？梢赃x擇配置源MAC地址、目的MAC地址或IP地址檢查模式。對于源 MAC 地址的檢查模式，會檢查 ARP 報文中的源 MAC 地址和以太網(wǎng)報文頭中的源 MAC 地址是否一致，一致認(rèn)為有效，否則丟棄。對于目的 MAC 地址的檢查模式（只針對 ARP 應(yīng)答報文），會檢查 ARP 應(yīng)答報文中的目的 MAC 地址是否為全 0 或者全 1，是否和以太網(wǎng)報文頭中的目的 MAC 地址一致。全 0、全 1、不一致的報文都是無效的，無效的報文需要被丟棄。對于 IP 地址檢查模式，會檢查 A

16、RP 報文中的源 IP 和目的 IP 地址，全 0、全1、或者組播 IP 地址都是不合法的，需要丟棄。對于 ARP 應(yīng)答報文，源 IP 和目的 IP 地址都進(jìn)行檢查；對于 ARP 請求報文，只檢查源 IP 地址。用戶合法性檢查對于ARP信任端口，不進(jìn)行用戶合法性檢查；對于ARP非信任端口，需要進(jìn)行用戶合法性檢查，以防止仿冒用戶的攻擊。用戶合法性檢查是根據(jù)ARP報文中源IP地址和源MAC地址檢查用戶是否是所屬VLAN所在端口上的合法用戶，包括基于IP Source Guard靜態(tài)綁定表項的檢查、基于DHCP Snooping安全表項的檢查、基于802.1X安全表項的檢查和OUI MAC地址的檢查

17、。首先進(jìn)行基于 IP Source Guard 靜態(tài)綁定表項檢查。如果找到了對應(yīng)源 IP 地址和源 MAC 地址的靜態(tài)綁定表項，認(rèn)為該 ARP 報文合法，進(jìn)行轉(zhuǎn)發(fā)。如果找到了對應(yīng)源 IP 地址的靜態(tài)綁定表項但源 MAC 地址不符，認(rèn)為該 ARP 報文非法，進(jìn)行丟棄。如果沒有找到對應(yīng)源 IP 地址的靜態(tài)綁定表項，繼續(xù)進(jìn)行DHCP Snooping 安全表項、802.1X 安全表項和 OUI MAC 地址檢查。在基于 IP Source Guard 靜態(tài)綁定表項檢查之后進(jìn)行基于 DHCP Snooping 安全表項、802.1X 安全表項和 OUI MAC 地址檢查，只要符合三者中任何一個，就認(rèn)為

18、該 ARP 報文合法，進(jìn)行轉(zhuǎn)發(fā)。其中，OUI MAC 地址檢查指的是，只要 ARP 報文的源 MAC 地址為 OUI MAC 地址，并且使能了 Voice VLAN 功能，就認(rèn)為是合法報文，檢查通過。如果所有檢查都沒有找到匹配的表項，則認(rèn)為是非法報文，直接丟棄。ARP報文強制轉(zhuǎn)發(fā)ARP報文強制轉(zhuǎn)發(fā)功能是將ARP非信任端口接收到的已經(jīng)通過用戶合法性檢查的ARP報文，按照一定的規(guī)則進(jìn)行轉(zhuǎn)發(fā)的防攻擊功能，此功能不對ARP信任端口接收到的通過用戶合法性檢查的ARP報文進(jìn)行限制。對于從ARP非信任端口收到的已經(jīng)通過用戶合法性檢查的合法ARP報文的處理過程如下：對于 ARP 請求報文，通過信任端口進(jìn)行轉(zhuǎn)發(fā)

19、。對于 ARP 應(yīng)答報文，首先按照報文中的以太網(wǎng)目的 MAC 地址進(jìn)行轉(zhuǎn)發(fā)，若在 MAC 地址表中沒有查到目的 MAC 地址對應(yīng)的表項，則將此 ARP 應(yīng)答報文通過信任端口進(jìn)行轉(zhuǎn)發(fā)。ARP網(wǎng)關(guān)保護(hù)功能在設(shè)備不與網(wǎng)關(guān)相連的端口上配置此功能，可以防止仿冒網(wǎng)關(guān)攻擊。在端口配置此功能后，當(dāng)端口收到ARP報文時，將檢查ARP報文的源IP地址是否和配置的被保護(hù)網(wǎng)關(guān)的IP地址相同。如果相同，則認(rèn)為此報文非法，將其丟棄；否則，認(rèn)為此報文合法，繼續(xù)進(jìn)行后續(xù)處理。ARP過濾保護(hù)功能本功能用來限制端口下允許通過的ARP報文，可以防止仿冒網(wǎng)關(guān)和仿冒用戶的攻擊。在端口配置此功能后，當(dāng)端口收到ARP報文時，將檢查ARP報

20、文的源IP地址和源MAC地址是否和允許通過的IP地址和MAC地址相同：如果相同，則認(rèn)為此報文合法，繼續(xù)進(jìn)行后續(xù)處理。如果不相同，則認(rèn)為此報文非法，將其丟棄。ARP報文限速功能ARP報文限速功能是指對上送CPU的ARP報文進(jìn)行限速，可以防止大量ARP報文對CPU進(jìn)行沖擊。例如，在配置了ARP Detection功能后，設(shè)備會將收到的ARP報文重定向到CPU進(jìn)行檢查，這樣引入了新的問題：如果攻擊者惡意構(gòu)造大量ARP 報文發(fā)往設(shè)備，會導(dǎo)致設(shè)備的CPU負(fù)擔(dān)過重，從而造成其他功能無法正常運行甚至設(shè)備癱瘓，這個時候可以啟用ARP報文限速功能來控制上送CPU的ARP報文的速率。推薦用戶在配置了ARP Det

21、ection或者發(fā)現(xiàn)有ARP泛洪攻擊的情況下，使用ARP報文限速功能。網(wǎng)關(guān)設(shè)備攻擊防范介紹網(wǎng)關(guān)設(shè)備可能受到的攻擊類型為仿冒用戶和泛洪攻擊。針對這兩種攻擊可以采用的防范措施為：針對仿冒用戶攻擊通過合法方式建立正確的 ARP 表項，并阻止攻擊者修改授權(quán) ARP 功能ARP 自動掃描和固化功能配置靜態(tài) ARP 表項動態(tài)學(xué)習(xí) ARP 表項前進(jìn)行確認(rèn)，保證學(xué)習(xí)到的是真實、正確的映射關(guān)系A(chǔ)RP 主動確認(rèn)功能ARP 報文源MAC 一致性檢查功能針對ARP泛洪攻擊源 MAC 地址固定的 ARP 攻擊檢測功能限制接口學(xué)習(xí)動態(tài) ARP 表項的最大數(shù)目ARP 防 IP 報文攻擊功能授權(quán)ARP功能授權(quán)ARP功能是指根

22、據(jù)DHCP服務(wù)器生成的租約或者DHCP中繼生成的安全表項同步生成ARP表項。適用于采用DHCP協(xié)議動態(tài)分配主機(jī)IP地址的網(wǎng)絡(luò)環(huán)境。使能接口的授權(quán)ARP功能后：只有靜態(tài) ARP 表項才可以覆蓋授權(quán) ARP 表項，授權(quán) ARP 表項不會被被偽造的 ARP 報文動態(tài)改寫（即動態(tài) ARP 表項不能覆蓋授權(quán) ARP 表項），因此保證了表項的正確性。如果發(fā)送者冒用其它合法主機(jī)的 IP 地址發(fā)送 ARP 請求，因為 MAC 地址不是網(wǎng)關(guān)所記錄的授權(quán) ARP 表項中的合法 MAC 地址，偽造的 ARP 請求將不能得到應(yīng)答，從而限制冒用合法 IP 地址的主機(jī)上網(wǎng)。禁止該接口學(xué)習(xí)動態(tài) ARP 表項，可以防止用戶仿

23、冒其他用戶的 IP 地址或MAC 地址對網(wǎng)絡(luò)進(jìn)行攻擊，保證只有合法的用戶才能使用網(wǎng)絡(luò)資源，增加了網(wǎng)絡(luò)的安全性。接口下授權(quán) ARP 表項的老化探測功能，可以檢測用戶的非正常下線，及時刪除對應(yīng)的授權(quán) ARP 表項。ARP自動掃描和固化功能ARP自動掃描功能一般與ARP固化功能配合使用：啟用 ARP 自動掃描功能后，設(shè)備會對局域網(wǎng)內(nèi)的鄰居自動進(jìn)行掃描（向鄰居發(fā)送 ARP 請求報文，獲取鄰居的 MAC 地址，從而建立動態(tài) ARP 表項）。ARP 固化功能用來將當(dāng)前的 ARP 動態(tài)表項（包括 ARP 自動掃描生成的動態(tài)ARP 表項）轉(zhuǎn)換為靜態(tài) ARP 表項。通過對動態(tài) ARP 表項的固化，可以有效的防止

24、攻擊者修改 ARP 表項。推薦在網(wǎng)吧這種環(huán)境穩(wěn)定的小型網(wǎng)絡(luò)中使用這兩個功能。配置靜態(tài)ARP表項對于網(wǎng)絡(luò)中重要的服務(wù)器等設(shè)備，可以將其IP地址和MAC地址的映射關(guān)系配置為靜態(tài)ARP表項。這種靜態(tài)映射關(guān)系不但不能被偽造的ARP報文動態(tài)改寫，而且同樣會限制對非法ARP請求的應(yīng)答，從而保護(hù)服務(wù)器不受到攻擊。配置靜態(tài)ARP表項雖然可以保護(hù)ARP表不被改寫，但是配置工作量大，不適用于主機(jī)IP地址可能發(fā)生更改的網(wǎng)絡(luò)環(huán)境，建議在比較小的網(wǎng)絡(luò)里使用。ARP主動確認(rèn)功能ARP的主動確認(rèn)功能主要應(yīng)用于網(wǎng)關(guān)設(shè)備上，防止攻擊者仿冒用戶欺騙網(wǎng)關(guān)設(shè)備。未啟用ARP主動確認(rèn)功能時，設(shè)備收到一個ARP報文的處理過程如下：如果設(shè)

25、備的 ARP 表中沒有與此 ARP 報文源 IP 地址對應(yīng)的 ARP 表項，設(shè)備會根據(jù) ARP 報文中攜帶的源 IP 地址、源 MAC 地址信息新建 ARP 表項。如果設(shè)備的 ARP 表中存在與此 ARP 報文源 IP 地址對應(yīng)的 ARP 表項，設(shè)備會根據(jù) ARP 報文中攜帶的源 IP 地址、源 MAC 地址信息更新對應(yīng)的 ARP 表項。啟用ARP主動確認(rèn)功能后，設(shè)備在新建或更新ARP表項前需進(jìn)行主動確認(rèn)，防止產(chǎn)生錯誤的ARP表項。下面將詳細(xì)介紹其工作原理。新建ARP表項前的主動確認(rèn)設(shè)備收到一個ARP報文，若當(dāng)前設(shè)備ARP表中沒有與此ARP報文源IP地址對應(yīng)的ARP表項，設(shè)備會首先驗證該ARP

26、報文的真實性。設(shè)備會采用收到的ARP報文的源IP地址發(fā)送一個廣播ARP請求報文，如果在隨后的3秒內(nèi)收到ARP應(yīng)答報文，將對前期收到的ARP報文與此次收到的ARP應(yīng)答報文進(jìn)行比較（比較內(nèi)容包括：源IP地址、源MAC地址、報文接收端口）。如果兩個報文一致，則認(rèn)為收到的 ARP 報文為真實報文，并根據(jù)此報文在ARP 表中新建對應(yīng)的表項。如果兩個報文不一致，則認(rèn)為收到的 ARP 報文為攻擊報文，設(shè)備會忽略之前收到 ARP 報文，ARP 表中不會新建對應(yīng)的表項。更新ARP表項前的主動確認(rèn)設(shè)備收到一個ARP報文（報文A），若當(dāng)前設(shè)備ARP表中已有與報文A源IP地址對應(yīng)的ARP表項，但報文A攜帶的源MAC地

27、址和現(xiàn)有ARP表項中的MAC地址不相同，設(shè)備就需要判斷當(dāng)前ARP表項的正確性以及報文A的真實性。確定是否啟動 ARP 表項正確性檢查為了避免短時間內(nèi)多次收到來自同一源IP地址的ARP報文導(dǎo)致的ARP表項頻繁更新，設(shè)備會首先判斷該ARP表項的刷新時間是否超過1分鐘。如果沒有超過 1 分鐘，則設(shè)備不會對 ARP 表項進(jìn)行更新。如果已經(jīng)超過 1 分鐘，設(shè)備將啟動當(dāng)前 ARP 表項的正確性檢查。啟動 ARP 表項的正確性檢查設(shè)備會向ARP表項對應(yīng)的源發(fā)送一個單播ARP請求報文（報文的目的IP地址、目的MAC地址采用ARP表項中的IP地址、MAC地址）。如果在隨后的5秒內(nèi)收到ARP應(yīng)答報文（報文B），將

28、比較當(dāng)前ARP表項中的IP地址、MAC地址與報文B的源IP地址、源MAC地址是否一致。如果一致，則認(rèn)為報文 A 為攻擊報文、ARP 表項不會更新。如果不一致，設(shè)備將啟動報文 A 的真實性檢查。啟動報文 A 的真實性檢查設(shè)備會向報文A對應(yīng)的源發(fā)送一個單播ARP請求報文（報文的目的IP地址、目的MAC地址采用報文A的源IP地址、源MAC地址）。如果在隨后的5秒內(nèi)收到ARP應(yīng)答報文（報文C），將比較報文A與報文C的源IP地址、源MAC地址是否一致。如果一致，則認(rèn)為報文 A 為真實報文，并根據(jù)報文 A 更新 ARP 表中對應(yīng)表項。如果不一致，則認(rèn)為報文 A 為攻擊報文，設(shè)備會忽略收到的報文 A，ARP

29、 表項不會更新。ARP報文源MAC一致性檢查功能ARP報文源MAC一致性檢查功能可以用來防御以太網(wǎng)數(shù)據(jù)幀首部中的源MAC地址和ARP報文中的源MAC地址不同的ARP攻擊。配置本功能后，網(wǎng)關(guān)設(shè)備在進(jìn)行ARP學(xué)習(xí)前將對ARP報文進(jìn)行檢查。如果以太網(wǎng)數(shù)據(jù)幀首部中的源MAC地址和ARP報文中的源MAC地址不同，則認(rèn)為是攻擊報文， 將其丟棄；否則，繼續(xù)進(jìn)行ARP學(xué)習(xí)。源MAC地址固定的ARP攻擊檢測功能當(dāng)網(wǎng)關(guān)設(shè)備在短時間內(nèi)收到同一個源發(fā)送的大量ARP報文時，就認(rèn)定為發(fā)生了源MAC地址固定ARP攻擊。源MAC地址固定的ARP攻擊檢測功能根據(jù)ARP報文的源MAC地址進(jìn)行統(tǒng)計，在5秒內(nèi)，如果收到同一源MAC地

30、址的ARP報文超過一定的閾值，則認(rèn)為存在攻擊，系統(tǒng)會將此MAC地址添加到攻擊檢測表項中。在該攻擊檢測表項老化之前，如果設(shè)置的檢查模式為過濾模式，則會打印告警信息并且將該源MAC地址發(fā)送的ARP報文過濾掉；如果設(shè)置的模式為監(jiān)控模式，則只打印告警信息，不會將該源MAC地址發(fā)送的ARP報文過濾掉。對于網(wǎng)關(guān)或一些重要的服務(wù)器，可能會發(fā)送大量ARP報文，為了使這些ARP報文不被過濾掉，可以將這類設(shè)備的MAC地址配置成保護(hù)MAC，這樣，即使該MAC存在攻擊也不會被檢測過濾。限制接口學(xué)習(xí)動態(tài)ARP表項的最大數(shù)目當(dāng)指定接口下的動態(tài)ARP表項達(dá)到允許學(xué)習(xí)的最大數(shù)目后，將不允許新增動態(tài)學(xué)習(xí)表項，以保證當(dāng)一個接口所

31、接入的某一臺主機(jī)發(fā)起ARP攻擊時不會導(dǎo)致整個設(shè)備的ARP表資源都被耗盡。當(dāng)配置接口學(xué)習(xí)動態(tài)ARP表項的最大數(shù)目為0時，表示禁止接口學(xué)習(xí)動態(tài)ARP表項。ARP防IP報文攻擊功能如果網(wǎng)絡(luò)中有主機(jī)通過向設(shè)備發(fā)送大量目標(biāo)IP地址不能解析的IP報文來攻擊設(shè)備， 則會造成下面的危害：設(shè)備向目的網(wǎng)段發(fā)送大量 ARP 請求報文，加重目的網(wǎng)段的負(fù)載。設(shè)備會試圖反復(fù)地對目標(biāo) IP 地址進(jìn)行解析，增加了 CPU 的負(fù)擔(dān)。為避免這種IP報文攻擊所帶來的危害，設(shè)備提供了下列兩個功能：如果發(fā)送攻擊報文的源是固定的，可以采用 ARP 源抑制功能。開啟該功能后，如果網(wǎng)絡(luò)中某主機(jī)向設(shè)備某端口連續(xù)發(fā)送目標(biāo) IP 地址不能解析的 IP 報文，當(dāng)每 5 秒內(nèi)由此主機(jī)發(fā)出 IP 報文觸發(fā)的 ARP 請求報文的流量超過設(shè)置的閾值，那么對于由此主機(jī)發(fā)出的 IP 報文，設(shè)備不允許其觸發(fā) ARP 請求， 直至 5 秒后再處理，從而避免了惡意攻擊所造成的危害。如果發(fā)送攻擊報文的源不固定，可以采用 ARP 黑洞路由功能。開啟該功能后，一旦接收到目標(biāo) IP 地址不能解析的 IP 報文，設(shè)備立即產(chǎn)生一個黑洞路由，使得設(shè)備在一段時間內(nèi)將去往該地址的報文直接丟棄。等待黑洞路由老化時間過后，如有報文觸發(fā)則再次發(fā)起解析，如果解析成功則進(jìn)行轉(zhuǎn)發(fā)，否則仍然產(chǎn)生一個黑洞路由將