2022ARP安全技術(shù)白皮書

ARP安全技術(shù)白皮書目錄目錄文檔版本()文檔版本()ii目錄ARP安全 1-11.1介紹 1-1原理描述 1-3ARP報文限速 1-3ARPMiss消息限速 1-5免費(fèi)ARP報文主動丟棄 1-7ARP表項(xiàng)嚴(yán)格學(xué)習(xí) 1-7ARP表項(xiàng)限制 1-8ARP表項(xiàng)固化 1-9動態(tài)ARP檢測 ARP防網(wǎng)關(guān)沖突 1-12發(fā)送免費(fèi)ARP報文 1-13ARP報文合法性檢查 1-14DHCP觸發(fā)ARP學(xué)習(xí) 1-14VPLS網(wǎng)絡(luò)中ARP代理 1-151.3應(yīng)用 1-15ARP安全綜合功能典型應(yīng)用 1-15防止ARP中間人攻擊典型應(yīng)用 1-17故障處理案例 1-19合法用戶的ARP表項(xiàng)被修改導(dǎo)致合法用戶的網(wǎng)絡(luò)服務(wù)突然中斷的故障處理案例 1-19ARP報文攻擊導(dǎo)致用戶流量中斷的故障處理案例 1-22參考標(biāo)準(zhǔn)和協(xié)議 1-25技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-1文檔版本1-1文檔版本()1ARP安全關(guān)于本章介紹應(yīng)用介紹定義ARP（AddressResolutionProtocol）安全是針對ARP攻擊的一種安全特性，它通過一系列對ARP表項(xiàng)學(xué)習(xí)和ARP報文處理的限制、檢查等措施來保證網(wǎng)絡(luò)設(shè)備的安全性。ARP安全特性不僅能夠防范針對ARP協(xié)議的攻擊，還可以防范網(wǎng)段掃描攻擊等基于ARP協(xié)議的攻擊。目的ARP協(xié)議有簡單、易用的優(yōu)點(diǎn)，但是也因?yàn)槠錄]有任何安全機(jī)制，容易被攻擊者利用。在網(wǎng)絡(luò)中，常見的ARP攻擊方式主要包括：APDnalofSec?設(shè)備處理ARP報文和維護(hù)ARP表項(xiàng)都需要消耗系統(tǒng)資源，同時為了滿足ARP表項(xiàng)查詢效率的要求，一般設(shè)備都會對ARP表項(xiàng)規(guī)模有規(guī)格限制。攻擊者就利用這一點(diǎn)，通過偽造大量源IP地址變化的ARP報文，使得設(shè)備ARP表項(xiàng)資源被無效的ARP條目耗盡，合法用戶的ARP報文不能繼續(xù)生成ARP條目，導(dǎo)致正常通信中斷。?攻擊者利用工具掃描本網(wǎng)段主機(jī)或者進(jìn)行跨網(wǎng)段掃描時，會向設(shè)備發(fā)送大量目標(biāo)IP地址不能解析的IP報文，導(dǎo)致設(shè)備觸發(fā)大量ARPMiss消息，生成并1ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-2文檔版本()1-2文檔版本()下發(fā)大量臨時ARP表項(xiàng)，并廣播大量ARP請求報文以對目標(biāo)IP地址進(jìn)行解析，從而造成CPU負(fù)荷過重，這也是泛洪攻擊的一種。ARP欺騙攻擊，是指攻擊者通過發(fā)送偽造的ARP他用戶主機(jī)的ARPARP攻擊行為存在以下危害：利用ARP為了避免上述ARP攻擊行為造成的各種危害，ARP安全特性針對不同的攻擊類型提供了多種解決方案，具體如表1-1所示：表1-1ARP安全針對不同攻擊類型的解決方案攻擊類型防攻擊功能部署設(shè)備ARP泛洪ARP報文限速建議在網(wǎng)關(guān)設(shè)備上部署本功能ARPMiss消息限速建議在網(wǎng)關(guān)設(shè)備上部署本功能免費(fèi)ARP報文主動丟棄建議在網(wǎng)關(guān)設(shè)備上部署本功能ARP表項(xiàng)嚴(yán)格學(xué)習(xí)建議在網(wǎng)關(guān)設(shè)備上部署本功能ARP表項(xiàng)限制建議在網(wǎng)關(guān)設(shè)備上部署本功能ARP欺騙ARP表項(xiàng)固化建議在網(wǎng)關(guān)設(shè)備上部署本功能動態(tài)ARP檢測建議在接入設(shè)備上部署本功能說明DHCPARP要在網(wǎng)關(guān)設(shè)備上部署本功能。ARP防網(wǎng)關(guān)沖突建議在網(wǎng)關(guān)設(shè)備上部署本功能免費(fèi)ARP報文主動丟棄建議在網(wǎng)關(guān)設(shè)備上部署本功能發(fā)送免費(fèi)ARP報文建議在網(wǎng)關(guān)設(shè)備上部署本功能ARP報文合法性檢查建議在網(wǎng)關(guān)設(shè)備或接入設(shè)備上部署本功能ARP表項(xiàng)嚴(yán)格學(xué)習(xí)建議在網(wǎng)關(guān)設(shè)備上部署本功能DHCP觸發(fā)ARP學(xué)習(xí)建議在網(wǎng)關(guān)設(shè)備上部署本功能VPLS網(wǎng)絡(luò)中ARP代理建議在PE設(shè)備上部署本功能技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-3文檔版本()1-3文檔版本()受益原理描述ARPARPMissARPARPARPARPARP檢測ARPARP報文ARPDHCPARP學(xué)習(xí)VPLS網(wǎng)絡(luò)中ARP代理ARP報文限速如果設(shè)備對收到的大量ARP報文全部進(jìn)行處理，可能導(dǎo)致CPU負(fù)荷過重而無法處理其他業(yè)務(wù)。因此，在處理之前，設(shè)備需要對ARP報文進(jìn)行限速，以保護(hù)CPU資源。設(shè)備提供了如下幾類針對ARP報文的限速功能：MACIPARP報文限速ARPMACARPPAPP報文。?根據(jù)源MAC地址進(jìn)行ARP報文限速：如果指定MAC地址，則針對指定源MAC地址的ARP報文根據(jù)限速值進(jìn)行限速；如果不指定MAC地址，則針對每一個源MAC地址的ARP報文根據(jù)限速值進(jìn)行限速?？梢允褂萌缦旅钆渲酶鶕?jù)源MAC地址進(jìn)行ARP報文限速：MACARPMAC100個ARP[Quidway]arpspeed-limitsource-macmaximum1001ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-4文檔版本()1-4文檔版本()MAC0-0-1ARPMAC地址的50個ARP報文通過。[Quidway]arpspeed-limitsource-mac0-0-1maximum50?IP地址進(jìn)行ARPIPIP地址ARPIPARP可以使用如下命令配置根據(jù)源IP地址進(jìn)行ARP報文限速：IPARPIP地址的100個ARP報文通過。[Quidway]arpspeed-limitsource-ipmaximum100IP10.0.0.1ARPIP地址的50個ARP報文通過。[Quidway]arpspeed-limitsource-ip10.0.0.1maximum50SuperVLANVLANIFARP當(dāng)設(shè)備的VLANIF接口接收到觸發(fā)ARPMissIPARPMiss消息1.2.2ARPMiss）VLANIF接口上啟用ARPIPIPARP條ARPSuperVLANVLANIF接口進(jìn)行ARPARPSubVLANSuperVLAN下SubVLAN，那么設(shè)備將產(chǎn)生大量的ARP請求報文。為了避免CPU因ARPSuperVLAN的VLANIF接ARP報文限速功能，以對該場景下設(shè)備發(fā)送的ARP可以使用如下命令在全局下配置SuperVLAN的VLANIF接口下ARP請求報文的廣播發(fā)送限制速率為500pps：[Quidway]arpspeed-limitflood-rate500針對全局、VLANARP報文限速設(shè)備支持在全局、VLAN和接口下配置ARP報文的限速值和限速時間，有效順序?yàn)榻涌趦?yōu)先，VLAN其次，最后為全局。ARP報文的時間段。如果設(shè)備的某個接口在ARP報文限速時間內(nèi)接收到的APPARP（ARPARP?針對全局的ARP報文限速：在設(shè)備出現(xiàn)ARP攻擊時，限制全局處理的ARP報文數(shù)量。?針對VLAN的ARP報文限速：在某個VLAN內(nèi)的所有接口出現(xiàn)ARP攻擊時，限制處理收到的該VLAN內(nèi)的ARP報文數(shù)量，配置本功能可以保證不影響其他VLAN內(nèi)所有接口的ARP學(xué)習(xí)。?針對接口的ARP報文限速：在某個接口出現(xiàn)ARP攻擊時，限制處理該接口收到的ARP報文數(shù)量，配置本功能可以保證不影響其他接口的ARP學(xué)習(xí)?？梢允褂萌缦旅钆渲冕槍θ帧LAN和接口的ARP報文限速：200ARP技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-5文檔版本()1-5文檔版本()[Quidway]arpanti-attackrate-limitenable[Quidway]arpanti-attackrate-limit200200個VLAN100的ARP[Quidway]vlan100[Quidway-vlan100]arpanti-attackrate-limitenable[Quidway-vlan100]arpanti-attackrate-limit200GE1/0/110200ARPARP報60ARP[Quidway]interfacegigabitethernet1/0/1[Quidway-GigabitEthernet1/0/1]arpanti-attackrate-limitenable[Quidway-GigabitEthernet1/0/1]arpanti-attackrate-limit20010blocktimer60ARPMiss消息限速IPIPIPARP表項(xiàng)PMss消息。這種觸發(fā)PMssPARPMissARP表項(xiàng)并ARP請求報文，這樣就增加了CPUIPARPMiss消息的IPARPMiss消息限速當(dāng)設(shè)備檢測到某一源IP地址的IP報文在1秒內(nèi)觸發(fā)的ARPMiss消息數(shù)量超過了ARPMiss消息限速值，就認(rèn)為此源IP地址存在攻擊。ARPMissblockARPMiss消息，即丟棄觸發(fā)這些ARPMiss消息的ARPMissACLIP地址的后續(xù)所有ARPMissnone-block方ARPMiss觸發(fā)這些ARPMissARPMissIPIPARPMissIPIP地址的ARPMiss可以使用如下命令配置根據(jù)源IP地址進(jìn)行ARPMiss消息限速：ARPMissIP50個ARPMiss[Quidway]arp-missspeed-limitsource-ipmaximum50IP10.0.0.1ARPMissIP100ARPMissIPIP50個ARPMiss消息。[Quidway]arp-missspeed-limitsource-ipmaximum50[Quidway]arp-missspeed-limitsource-ip10.0.0.1maximum1001ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-6文檔版本()1-6文檔版本()針對全局、VLANARPMiss消息限速設(shè)備支持在全局、VLAN和接口下配置ARPMiss消息限速，有效順序?yàn)榻涌趦?yōu)先，VLAN其次，最后為全局。?ARPMissIPIP攻擊時，限制全局處理的ARPMiss?針對VLAN的ARPMiss消息限速：在某個VLANIP報文攻擊時，限制處理該VLAN內(nèi)報文觸發(fā)的ARPMissVLANIP?ARPMissIPARPMissIP可以使用如下命令配置針對全局、VLAN和接口的ARPMiss消息限速：200ARPMiss消息。[Quidway]arp-missanti-attackrate-limitenable[Quidway]arp-missanti-attackrate-limit200200VLAN100IPARPMiss消息。[Quidway]vlan100[Quidway-vlan100]arp-missanti-attackrate-limitenable[Quidway-vlan100]arp-missanti-attackrate-limit20010200GE1/0/1IP報文ARPMiss[Quidway]interfacegigabitethernet1/0/1[Quidway-GigabitEthernet1/0/1]arp-missanti-attackrate-limitenable[Quidway-GigabitEthernet1/0/1]arp-missanti-attackrate-limit20010ARPARPMiss消息的觸發(fā)頻率當(dāng)IP報文觸發(fā)ARPMiss消息時，設(shè)備會根據(jù)ARPMiss消息生成臨時ARP表項(xiàng)，并且向目的網(wǎng)段發(fā)送ARP請求報文。?在臨時ARP表項(xiàng)老化時間范圍內(nèi)，?設(shè)備收到ARP應(yīng)答報文前，匹配臨時ARP表項(xiàng)的IP報文將被丟棄并且不會觸發(fā)ARPMiss消息。?設(shè)備收到ARP應(yīng)答報文后，則生成正確的ARP表項(xiàng)來替換臨時ARP表項(xiàng)。?ARPIPARPARPMissARP表當(dāng)判斷設(shè)備受到攻擊時，可以增大臨時ARP表項(xiàng)的老化時間，減小設(shè)備ARPMiss消息的觸發(fā)頻率，從而減小攻擊對設(shè)備的影響?？梢允褂萌缦旅钆渲媒涌赩LANIF10的臨時ARP表項(xiàng)超時時間為10秒：[Quidway]interfacevlanif10[Quidway-Vlanif10]arp-fakeexpire-time10技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-7文檔版本()1-7文檔版本()ARP報文主動丟棄免費(fèi)ARPARPIPIPIPMACMAC地址，目的MACARPIP他所有用戶主機(jī)的ARP發(fā)送免費(fèi)ARP由于發(fā)送免費(fèi)ARP報文的用戶主機(jī)并不需要經(jīng)過身份驗(yàn)證，任何一個用戶主機(jī)都可以發(fā)送免費(fèi)ARP報文，這樣就引入了兩個問題：ARPCPU負(fù)荷過重，從而不能正常處理合法的ARPARPARP表參考以上問題描述，在確認(rèn)攻擊來自免費(fèi)ARP報文之后，可以在網(wǎng)關(guān)設(shè)備上使能免費(fèi)ARP報文主動丟棄功能，使網(wǎng)關(guān)設(shè)備直接丟棄免費(fèi)ARP報文。（ARP可以使用如下命令使能免費(fèi)ARP報文主動丟棄功能：全局使能免費(fèi)ARP[Quidway]arpanti-attackgratuitous-arpdropVLANIF10下使能免費(fèi)ARP[Quidway]interfacevlanif10[Quidway-Vlanif10]arpanti-attackgratuitous-arpdropARP表項(xiàng)嚴(yán)格學(xué)習(xí)如果大量用戶在同一時間段內(nèi)向設(shè)備發(fā)送大量ARP報文，或者攻擊者偽造正常用戶的ARP報文發(fā)送給設(shè)備，則會造成下面的危害：ARPCPU負(fù)荷過重，同時設(shè)備學(xué)習(xí)大量的ARP可能導(dǎo)致設(shè)備ARPARP條目耗盡，造成合法用戶的ARP不能繼續(xù)生成ARPARPARPARP1ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-8文檔版本()1-8文檔版本()ARP表項(xiàng)嚴(yán)格學(xué)習(xí)是指只有本設(shè)備主動發(fā)送的ARP請求報文的應(yīng)答報文才能觸發(fā)本設(shè)備學(xué)習(xí)ARP，其他設(shè)備主動向本設(shè)備發(fā)送的ARP報文不能觸發(fā)本設(shè)備學(xué)習(xí)ARP，這樣，可以拒絕大部分的ARP報文攻擊。圖1-1ARP表項(xiàng)嚴(yán)格學(xué)習(xí)UserAUserAGatewayInternetUserBUserA發(fā)送的ARP請求，Gateway僅作應(yīng)答，不學(xué)習(xí)UserC

GatewayARP請求，如1-1UserA向Gateway發(fā)送ARPGateway會UserA回應(yīng)ARPUserAARPGateway配置ARP對于GatewayUserA發(fā)送來的ARPGateway對應(yīng)的ARP表項(xiàng)。如果該請求報文請求的是GatewayMACUserAARP如果GatewayUserBARPARP會添加或更新UserB對應(yīng)的ARP可以使用如下命令使能ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能：全局使能ARP[Quidway]arplearningstrict使能接口VLANIF10ARP[Quidway]interfacevlanif10[Quidway-Vlanif10]arplearningstrictforce-enableARP表項(xiàng)限制ARPARPARP表項(xiàng)數(shù)目規(guī)格與全局的ARPARPARPARPARP攻擊時不會導(dǎo)致整個設(shè)備的ARP可以使用如下命令配置ARP表項(xiàng)限制功能：配置接口VLANIF1020個動態(tài)ARP技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-9文檔版本()1-9文檔版本()[Quidway]interfacevlanif10[Quidway-Vlanif10]arp-limitmaximum20配置接口GE1/0/120個VLAN10ARP[Quidway]interfacegigabitethernet1/0/1[Quidway-GigabitEthernet1/0/1]arp-limitvlan10maximum20ARP表項(xiàng)固化如1-2AttackerUserA向GatewayARP報文，導(dǎo)致GatewayARP表中記錄了錯誤的UserAUserA圖1-2欺騙網(wǎng)關(guān)攻擊示意圖為了防御這種欺騙網(wǎng)關(guān)攻擊，可以在網(wǎng)關(guān)設(shè)備上部署ARP表項(xiàng)固化功能。網(wǎng)關(guān)設(shè)備在第一次學(xué)習(xí)到ARP以后，不再允許用戶更新此ARP表項(xiàng)或只能更新此ARP表項(xiàng)的部分信息，或者通過發(fā)送單播ARP請求報文的方式對更新ARP條目的報文進(jìn)行合法性確認(rèn)。設(shè)備提供的三種ARP表項(xiàng)固化模式，如表1-2所示。1ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-10文檔版本1-10文檔版本()表1-2ARP表項(xiàng)固化模式介紹固化模式功能fixed-all模式如果設(shè)備收到的ARP報文中的MAC地址、接口或VLAN信息和ARP表中的信息不匹配，則直接丟棄該ARP報文。此模式適用于靜態(tài)配置IP地址，沒有冗余鏈路的網(wǎng)絡(luò)。fixed-mac模式ARPMAC地址與ARPMAC地址不匹配，則直接丟棄該ARPVLAN信息與ARP匹配，則可以更新對應(yīng)ARP條目中的接口和VLANsend-ack模式ARPAARPMACVLANARPARP表項(xiàng)現(xiàn)有MAC播的ARP3秒內(nèi)設(shè)備收到ARP應(yīng)答報文BIPMACVLAN信息與ARP應(yīng)答報文B的一致，則認(rèn)為ARPA不更新該ARP3秒內(nèi)設(shè)備未收到ARP應(yīng)答報文B與當(dāng)前ARPMAC地址VLANARPAMAC發(fā)送一個單播ARP3秒內(nèi)收到ARP應(yīng)答報文CARP報文AARP應(yīng)答報文CIPMAC地VLANARP條目ARPAARPARPA來更新該ARP3ARPARP報文A與收到的ARP應(yīng)答報文C的源IP地MAC地址、接口和VLANARPAARP報文A，ARP此模式適用于動態(tài)分配IP地址，有冗余鏈路的網(wǎng)絡(luò)?？梢允褂萌缦旅钆渲肁RP表項(xiàng)固化功能：ARPfixed-mac模式。[Quidway]arpanti-attackentry-checkfixed-macenableVLANIF10ARPsend-ack模式。[Quidway]interfacevlanif10[Quidway-Vlanif10]arpanti-attackentry-checksend-ackenable技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-11文檔版本()1-11文檔版本()ARP檢測網(wǎng)絡(luò)中針對ARP的攻擊層出不窮，中間人攻擊是常見的ARP欺騙攻擊方式之一。圖1-3中間人攻擊如圖1-3所示，是中間人攻擊的一個場景。攻擊者主動向UserA發(fā)送偽造UserB的ARP報文，導(dǎo)致UserA的ARP表中記錄了錯誤的UserB地址映射關(guān)系，攻擊者可以輕易獲取到UserA原本要發(fā)往UserB的數(shù)據(jù)；同樣，攻擊者也可以輕易獲取到UserB原本要發(fā)往UserA的數(shù)據(jù)。這樣，UserA與UserB間的信息安全無法得到保障。為了防御中間人攻擊，可以在Switch上部署動態(tài)ARP檢測功能。動態(tài)ARPDAI（DynamicARPInspection）DHCPSnoopingARPARPIPMAC、VLANDHCPSnoopingARP報文的用戶是合法用戶，允許此用戶的ARPARPARPDHCPSnoopingDHCPSnoopingDHCPDHCPSnoopingIPDHCPSnoopingDHCPSnooping綁定表。關(guān)于DHCPSnooping的詳細(xì)介紹，請參見DHCPSnooping技術(shù)白皮書中的描述。1ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-12文檔版本()1-12文檔版本()Switch上部署動態(tài)ARPSwitchSwitch會根據(jù)DHCPSnooping綁定表檢測到這種攻擊行為，對該ARP報Switch上同時使能了動態(tài)ARP報文因不匹配DHCPSnoopingSwitch可以使用如下命令配置動態(tài)ARP檢測功能：全局下使能動態(tài)ARP[Quidway]arpanti-attackcheckuser-bindenableVLAN100下使能動態(tài)ARP[Quidway]vlan100[Quidway-vlan100]arpanti-attackcheckuser-bindenableGE1/0/1ARPARP警功能，并指定動態(tài)ARP200。[Quidway]interfacegigabitethernet1/0/1[Quidway-GigabitEthernet1/0/1]arpanti-attackcheckuser-bindenable[Quidway-GigabitEthernet1/0/1]arpanti-attackcheckuser-bindalarmenable[Quidway-GigabitEthernet1/0/1]arpanti-attackcheckuser-bindalarmthreshold200ARP防網(wǎng)關(guān)沖突如1-4Attacker將偽造網(wǎng)關(guān)的ARP和UserBUserAUserBUserA和UserB的ARP者，攻擊者可輕易竊聽到UserA和UserB圖1-4ARP網(wǎng)關(guān)沖突為了防范攻擊者仿冒網(wǎng)關(guān)，可以在網(wǎng)關(guān)設(shè)備上使能ARP防網(wǎng)關(guān)沖突功能。當(dāng)設(shè)備收到的ARP報文存在下列情況之一：技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-13文檔版本()1-13文檔版本()ARPIPVLANIFIPARPIPIP地址，但ARPMACVRRP虛MACVRRPVRRPMAC，VRRPMACID生成，格式為：00-00-5E-00-01-{VRID}(VRRP)ARPVRRPMAC地址，而不是接口的MAC地址。設(shè)備就認(rèn)為該ARP報文是與網(wǎng)關(guān)地址沖突的ARPARPVLANMAC地址的ARP報ARP報文在VLAN可以使用如下命令全局使能ARP防網(wǎng)關(guān)沖突攻擊功能：[Quidway]arpanti-attackgateway-duplicateenable此時，還可以在設(shè)備上使能發(fā)送免費(fèi)ARP報文功能，通過廣播發(fā)送正確的免費(fèi)ARP報文到所有用戶，迅速將已經(jīng)被攻擊的用戶記錄的錯誤網(wǎng)關(guān)地址映射關(guān)系修改正確。ARP報文如圖1-5所示，Attacker仿冒網(wǎng)關(guān)向UserA發(fā)送了偽造的ARP報文，導(dǎo)致UserA的ARP表中記錄了錯誤的網(wǎng)關(guān)地址映射關(guān)系，從而正常的數(shù)據(jù)不能被網(wǎng)關(guān)接收。圖1-5仿冒網(wǎng)關(guān)攻擊1ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-14文檔版本1-14文檔版本()為了避免上述危害，可以在網(wǎng)關(guān)設(shè)備上部署發(fā)送免費(fèi)ARP報文功能，定期更新用戶的ARP表項(xiàng)，使得用戶ARP表項(xiàng)中記錄的是正確的網(wǎng)關(guān)MAC地址。可以使用如下命令配置發(fā)送免費(fèi)ARP報文功能：ARPARP100秒。[Quidway]arpgratuitous-arpsendenable[Quidway]arpgratuitous-arpsendinterval100VLANIF10ARPARP報文的時間間隔為100秒。[Quidway]interfacevlanif10[Quidway-Vlanif10]arpanti-attackgratuitous-arpdrop[Quidway-Vlanif10]arpgratuitous-arpsendinterval100ARP報文合法性檢查ARP報文合法性檢查功能可以部署在接入設(shè)備或網(wǎng)關(guān)設(shè)備上，用來對MAC地址和IP地址不合法的報文進(jìn)行過濾。設(shè)備支持以下三種可以任意組合的檢查。MAC地址檢查：設(shè)備會檢查ARPMACMACMAC地址檢查：設(shè)備會檢查ARP應(yīng)答報文中的目的MACMACIP地址檢查：設(shè)備會檢查ARPIP1IP地址都是不合法的，需要丟棄。對于ARPIPIP地址都進(jìn)行檢查；對于ARPIP可以使用如下命令使能ARP報文合法性檢查功能，并指定ARP報文合法性檢查時檢查源MAC地址和目的MAC地址：[Quidway]arpanti-attackpacket-checksender-macdst-macDHCPARP學(xué)習(xí)DHCP用戶場景下，當(dāng)DHCPARPDHCPARPDHCP服務(wù)IPVLANIF接口上收到的DHCPACK報文直ARPDHCPSnooping可以使用如下命令在接口VLANIF10下使能DHCP觸發(fā)ARP學(xué)習(xí)功能：[Quidway]dhcpenable[Quidway]dhcpsnoopingenable[Quidway]interfacevlanif10[Quidway-Vlanif10]arplearningdhcp-trigger網(wǎng)關(guān)設(shè)備上還可同時部署動態(tài)ARP檢測功能，防止DHCP用戶的ARP表項(xiàng)被偽造的ARP報文惡意修改。技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-15文檔版本()1-15文檔版本()VPLSARP代理在VPLS網(wǎng)絡(luò)中，為了防止PW（PseudoWire）側(cè)的偽造ARP報文被廣播到AC（AttachmentCircuit）側(cè)形成ARP欺騙攻擊，可以在PE設(shè)備上部署VPLS網(wǎng)絡(luò)中的ARP代理功能，以及VPLS網(wǎng)絡(luò)中的DHCPSnooping功能。部署上述功能后，PW側(cè)的ARP報文將會被上送到主控板進(jìn)行處理：ARPIP地址在DHCPSnooping在，則設(shè)備根據(jù)DHCPSnooping綁定表組裝ARP應(yīng)答報文直接回應(yīng)PW側(cè)的請求方。如果不是ARP請求報文，或者ARPIP地址不在DHCPSnooping綁定表中，則報文被正常轉(zhuǎn)發(fā)?？梢允褂萌缦旅钍鼓茉O(shè)備在VPLS網(wǎng)絡(luò)中的ARP代理功能：[Quidway]dhcpenable[Quidway]dhcpsnoopingenable[Quidway]dhcpsnoopingover-vplsenable[Quidway]arpover-vplsenable應(yīng)用

ARPARPARP安全綜合功能典型應(yīng)用如1-6SwitchGE1/0/3GE1/0/1GE1/0/2VLAN10和VLAN20下的四個用戶。網(wǎng)絡(luò)中存在以下ARP威脅：SwitchARP報文、偽造的免費(fèi)ARP報文進(jìn)行ARPSwitch的ARPIPIP報文進(jìn)行ARPSwitch的CPU負(fù)荷過重。用戶User1IPMAC地址固定的ARPARPSwitch的ARP表資源被耗盡以及CPU用戶User3IPARP報文進(jìn)行ARP泛洪攻擊，造成Switch的CPU繁忙，影響到正常業(yè)務(wù)的處理。管理員希望能夠防止上述ARP攻擊行為，為用戶提供更安全的網(wǎng)絡(luò)環(huán)境和更穩(wěn)定的網(wǎng)絡(luò)服務(wù)。采用如下思路在Switch上進(jìn)行配置：配置ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能以及ARP表項(xiàng)固化功能，實(shí)現(xiàn)防止偽造的ARP報文錯誤地更新Switch的ARP表項(xiàng)。1ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-16文檔版本()1-16文檔版本()ARPARP更新設(shè)備ARPARPMissIP地址不可達(dá)的報文觸發(fā)大量ARPMiss消息，形成ARP泛洪攻擊。同時需要保證Switch類報文，避免因丟棄服務(wù)器發(fā)出的大量此類報文而造成網(wǎng)絡(luò)無法正常通信。ARPMACARPUser1IPMACARPARPSwitchARPCPU繁忙。ARPUser3IP地址ARP報文形成的ARP泛洪攻擊，避免Switch的CPU圖1-6配置ARP安全功能組網(wǎng)圖#Switch的配置文件#sysname#vlanbatch1020#arplearning#arp-missspeed-limitsource-ip10.10.10.2maximum40arpspeed-limitsource-ip9.9.9.2maximum10arpspeed-limitsource-mac0001-0001-0001maximum10arpanti-attackentry-checkfixed-macenable技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-17文檔版本()1-17文檔版本()arpanti-attackgratuitous-arpdrop#arp-missspeed-limitsource-ipmaximum20#interfaceVlanif10ipaddress8.8.8.4255.255.255.0#interfaceVlanif20ipaddress9.9.9.4255.255.255.0#interfaceVlanif30ipaddress10.10.10.3255.255.255.0#interfaceGigabitEthernet1/0/1portlink-typetrunkporttrunkallow-passvlan10arp-limitvlan1020#interfaceGigabitEthernet1/0/2portlink-typetrunkporttrunkallow-passvlan20#interfaceGigabitEthernet1/0/3portlink-typetrunkporttrunkallow-passvlan30#returnARP中間人攻擊典型應(yīng)用如1-7SwitchAGE2/0/1連接DHCPServer，通過接口GE1/0/1、GE1/0/2DHCPUserA和UserB，通過接口GE1/0/3IPUserC。SwitchA的接口GE1/0/1GE1/0/2GE1/0/3GE2/0/1管理員希望能夠防止ARP中間人攻擊，避免合法用戶的數(shù)據(jù)被中間人竊取，同時希望能夠了解當(dāng)前ARP中間人攻擊的頻率和范圍。采用如下思路在SwitchA上進(jìn)行配置：ARPSwitchAARPIPMACVLANDHCPSnooping防止ARPARPSwitchADHCPSnoopingARP丟棄計數(shù)來了解當(dāng)前ARPDHCPSnoopingDHCPSnoopingARP檢測功能生效。1ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-18文檔版本()1-18文檔版本()圖1-7配置防止ARP中間人攻擊組網(wǎng)圖SwitchBDHCPServerDHCPServerGE2/0/1SwitchAGE1/0/1GE1/0/2 GE1/0/3UserADHCPClient

UserBDHCPClient

UserCIP:10.0.0.2/24MAC:1-1-1VLANID:10#SwitchA的配置文件#sysnameSwitchA#vlanbatch#dhcp#dhcpsnoopingenableuser-bindstaticip-address10.0.0.2mac-address0001-0001-0001interfaceGigabitEthernet1/0/3vlan10#vlan10dhcpsnoopingenable#interfaceGigabitEthernet1/0/1portlink-typeaccessportdefaultvlan10arpanti-attackcheckuser-bindenablearpanti-attackcheckuser-bindalarmenable#interfaceGigabitEthernet1/0/2portlink-typeaccessportdefaultvlan10arpanti-attackcheckuser-bindenablearpanti-attackcheckuser-bindalarmenable#interfaceGigabitEthernet1/0/3技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-19文檔版本()1-19文檔版本()portlink-typeaccessportdefaultvlan10arpanti-attackcheckuser-bindenablearpanti-attackcheckuser-bindalarmenable#interfaceGigabitEthernet2/0/1portlink-typetrunkporttrunkallow-passvlan10arpanti-attackcheckuser-bindenablearpanti-attackcheckuser-bindalarmenabledhcpsnoopingtrusted#return故障處理案例合法用戶的ARPARPARP的故障處理案例常見原因本類故障的常見原因主要包括：攻擊者偽造合法用戶的ARP報文修改合法用戶的ARP表項(xiàng)故障診斷流程合法用戶的網(wǎng)絡(luò)服務(wù)突然中斷，初步排查不是鏈路連接或路由問題。可能是攻擊者通過偽造其他用戶的ARP報文，篡改網(wǎng)關(guān)設(shè)備上的用戶ARP表項(xiàng)，造成其他合法用戶的網(wǎng)絡(luò)服務(wù)中斷。以下描述基于ARP表項(xiàng)被修改的處理流程。詳細(xì)處理流程如圖1-8所示。1ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-20文檔版本1-20文檔版本()用戶的ARP表項(xiàng)被篡改是否配置了ARP表項(xiàng)固化？否用戶的ARP表項(xiàng)被篡改是否配置了ARP表項(xiàng)固化？否配置ARP問題是否是是MAC是否被修改？否是否設(shè)備是否發(fā)出請求？是是是否收到用戶ARP應(yīng)答？否是 ARP應(yīng)答是否被CPCAR機(jī)制丟棄？是 設(shè)備和正常？否否問題是否解決？否是否問題是否解決？是結(jié)束結(jié)束排查連接故障適當(dāng)放大cir值send-ack模式fixed-all模式檢查ARP表項(xiàng)固化模式fixed-mac模式尋求技術(shù)支持尋求技術(shù)支持

請保存以下步驟的執(zhí)行結(jié)果，以便在故障無法解決時快速收集和反饋信息。操作步驟步驟1在交換機(jī)上執(zhí)行命令displayarpanti-attackconfigurationentry-check查看ARP表項(xiàng)固化功能是否使能。技術(shù)白皮書-ARP安全技術(shù)白皮書-ARP安全1ARP安全1-21文檔版本1-21文檔版本()ARPARPanti-attackentry-checkmode:disabled執(zhí)行令arpanti-attackentry-check {fixed-mac|fixed-all|send-ack}enable命令，使能功。在使能該功能前需要執(zhí)行resetarpinterfacevlanifvlan-id命令清除用戶所在接口下的已學(xué)到的攻擊者ARP表項(xiàng)。ARPsend-ack。ARPfixed-mac。ARPfixed-all4。2send-ack通過端口鏡像抓取接入用戶的接口上的報文，查看是否有對應(yīng)的ARP交互過程。如果交換機(jī)沒有發(fā)出ARP4。ARPARP如果收到用戶的ARP應(yīng)答，執(zhí)行displaycpu-defendstatisticspacket-typearp-replyARPReplyARPReply報文的“Drop”計數(shù)不斷增加，可能是被CPCAR機(jī)制丟棄了?？梢酝ㄟ^carcir值。4。3displayarpall|includeip-address查看用戶的ARP如果是接口或VLANfixed-macMAC地址被修改，則執(zhí)行步驟4。4----結(jié)束相關(guān)告警與日志相關(guān)告警

1.3.6.1.4.1.2011.5.25.165.2.2.2.2相關(guān)日志無1ARP安全技術(shù)白皮書1ARP安全技術(shù)白皮書-ARP安全1-22文檔版本()1-22文檔版本()ARP報文攻擊導(dǎo)致用戶流量中斷的故障處理案例常見原因本類故障的常見原因主要包括：ARPARP報文還會送到CPUCPU

交換機(jī)的ARP請求報文在上送CPUCPCARARPARPCPCAR詳細(xì)處理流程如圖1-9所示。技術(shù)白皮書-ARP安