设备因处理大量ARP报文而导致CPU负荷过重,同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽,造成合法用户的ARP报文不能继续生成ARP条目,导致用户无法正常通信。
伪造的ARP报文将错误地更新设备ARP表项,导致合法用户无法正常通信。
1、ARP表项严格学习
只有网关设备主动发送的ARP请求报文?以及应答报文才能触发本设备学习ARP,
其他设备主动向网关设备发送的ARP报文,不处理,不更新
请求报文请求的是Gateway的MAC地址,那么Gateway会向UserA回应ARP应答报文。
?arp learning strict
2.ARP表项固化
仿冒合法用户mac向网关设备发送ARP报文,,导致Gateway的ARP表中记录了错误的UserA地址映射关系,造成UserA接收不到正常的数据报文。
网关设备在第一次学习到ARP以后,不再允许用户更新此ARP表项或只能允许更新此ARP表项的部分信息,send-ack模式通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。
收到的应答报文?MAC地址、接口和VLAN信息与arp表项一致,说明此arp表项正常,不需要更新
没有收到报文或报文信息与arp表项不一致,设备对请求报文(A)的源mac发送单播arp报文, 收到应答报文B,A和B信息一致,说明A是合法的,更新ARP表现。没有收到活着
不一致则A非法。不更新ARP表现。
arp anti-attack entry-check fixed-mac/fixed-allsend-ack enable用户接入位置频繁/固定/繁变
3、ARP miss
用户户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息?形成ARP泛洪攻击?
arp-miss speed-limit source-ip maximum 20
arp-miss speed-limit source-ip 10.10.10.2 maximum 40
4、arp表项限制 、源MAC、源IP变化形成的ARP泛洪攻击
arp-limit vlan 10 maximum 20
arp speed-limit source-mac 1-1-1 maximum 10
arp speed-limit source-ip 10.9.9.2 maximum 10
display arp learning strict
display arp-limit
display arp anti-attack configuration all
5、动态ARP检测(DAI)DHCP?环境
中间人攻击(Man-in-the-middle attack)是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。
动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较
arp anti-attack check user-bind alarm enable
p anti-attack check user-bind enable
dhcp snooping enable
vlan 10 dhcp snoping
dhcp 服务器的接口/vlan? ?dhcp snooping trusted
?user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface gigabitethernet 0/0/3 vlan 10
display arp anti-attack statistics check user-bind interface