报文什么是arp攻击

知攻击检测及防范ARP宋斌2011-12-01发表WX系列AC实现ARP防攻击功能的配置WX系列系列AC实现实现ARP防攻击功能的配置防攻击功能的配置一、一、组网需求:组网需求:三层交换机、WX系列AC、FITAP、交换机、便携机(安装有无线网卡)二、二、组网图:组网图:SwitchA作为网关设备,可以配置ARP源MAC地址固定攻击检查、源MAC一致性检查、主动确认等功能实现对网关设备的保护.
SwitchB作为接入设备(以WX3024为例),可以配置ARPDetection,同时配置DHCPSnooping,或者静态绑定网关或重要服务器IP和MAC,对转发的ARP进行侦听检查,对于不合法的报文进行丢弃处理.
三、三、特性介绍:特性介绍:ARP防攻击结合网关单机防御和整网防御两种防御方式,可以有效防御仿冒网关、仿冒用户和泛洪攻击等攻击行为.
从单机防御上看,源MAC地址固定攻击检查、源MAC一致性检查和主动确认等机制结合原有的ARP限速功能、接口ARP学习个数限制等功能可以有效保护网关设备.

从整网防御看,ARPDetection结合DHCPSnooping、静态绑定IP和MAC表项等手段,可以有效防御仿冒网关、仿冒用户等ARP攻击行为.
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备.

源MAC地址固定攻击检查、源MAC一致性检查和主动确认等机制可以独立存在,不依赖于其它特性.
结合DCHPSnooping安全表项的ARPDetection应用在接入设备上,依赖于通过DHCP分配地址的组网方式,且要求在接入设备上启用DHCPSnooping.
lARP主动确认功能简介使能ARP主动确认功能之后,当收到的ARP报文中的源MAC地址和对应ARP表项中的不同时,设备首先判断ARP表项刷新时间是否超过1分钟,如果没有超过1分钟,则不更新ARP表项.
否则向ARP表项对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到ARP应答报文,则忽略之前收到的ARP攻击报文;如果没有收到ARP应答报文,则向之前收到的ARP报文对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到了ARP应答报文,则根据之前收到的ARP报文更新ARP表项,否则ARP表项不会被修改.
l源MAC地址固定的ARP攻击检测功能本特性根据ARP报文的源MAC地址进行统计,在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值,则认为存在攻击,打印对应的告警信息,并对此源MAC地址对应的用户进行限制.
只对上送CPU的ARP报文进行统计.
lARP报文源MAC一致性检查功能ARP报文源MAC一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击.
在ARPDetection中也对源MAC一致性进行了检查,但这两者功能不同.
ARPDetection中的源MAC一致性检查,是在接入设备上使能ARPDetection,对上送的ARP报文进行源MAC一致性的检查.
而这里的源MAC一致性检查,是网关设备在学习ARP之前,对要被学习的ARP报文进行检查.
四、四、主要配置步骤:主要配置步骤:配置组网图中所有端口属于VLAN及SwitchA对应VLAN接口的IP地址(略).
SwitchA配置源MAC固定攻击检测.
#进入系统视图.
system-view#使能源MAC固定攻击检查,并选择过滤模式.
[switchA]arpanti-attacksource-macfilter#配置源MAC固定攻击检测保护MAC地址.
[switchA]arpanti-attacksource-macexclude-mac0000-5619-0000#配置防攻击表项老化时间.
[switchA]arpanti-attacksource-macaging-time600#配置防攻击检测阈值.
[switchA]arpanti-attacksource-macthreshold30SwitchA配置ARP主动确认功能.
#使能ARP主动确认功能.
[switchA]arpanti-attackactive-ackenableSwitchA配置ARP报文源MAC一致性检查.
#使能ARP报文源MAC一致性检查.
[switchA]arpanti-attackvalid-checkenable配置SwitchB的无线特性.
system-view[switchB]interfaceWLAN-ESS1[switchB-WLAN-ESS1]portaccessvlan10[switchB-WLAN-ESS1]quit[switchB]wlanservice-template1clear[switchB-wlan-st-1]ssidabc[switchB-wlan-st-1]bindwlan-ess1[switchB-wlan-st-1]authentication-methodopen-system[switchB-wlan-st-1]service-templateenable[switchB-wlan-st-1]quit#配置AP1提供WLAN服务.
[switchB]wlanapap1modelWA2100[switchB-wlan-ap-ap1]serial-idSZ001[switchB-wlan-ap-ap1]radio1typedot11g[switchB-wlan-ap-ap1-radio-1]service-template1[switchB-wlan-ap-ap1-radio-1]radioenable#配置AP2提供WLAN服务.
[switchB]wlanapap2modelWA2100[switchB-wlan-ap-ap2]serial-idSZ002[switchB-wlan-ap-ap2]radio1typedot11g[switchB-wlan-ap-ap2-radio-1]service-template1[switchB-wlan-ap-ap2-radio-1]radioenable[switchB-wlan-ap-ap2-radio-1]returnSwitchB配置ARPDetection特性相关功能.
#进入系统视图.
system-view#配置ARPDetection检查模式,这里启用静态IP、MAC绑定两种检查模式.
[switchB]arpdetectionmodestatic-bind[switchB]arpdetectionstatic-bind10.
1.
1.
1000f-e212-0101#进入VLAN视图.
[switchB]vlan10#VLAN内使能ARPDetection特性.
[switchB-vlan10]arpdetectionenable#显示使能ARPDetection的VLANID.
[switchB-vlan10]displayarpdetectionARPDetectionisenabledinthefollowingVLANs:10#端口状态缺省为非信任状态,上行端口设置为信任状态,下行端口按缺省设置.