涡阳在北京做网站的名人,扬中经济,谷歌推广运营,无锡微信网站建设设备因处理大量ARP报文而导致CPU负荷过重#xff0c;同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽#xff0c;造成合法用户的ARP报文不能继续生成ARP条目#xff0c;导致用户无法正常通信。 伪造的ARP报文将错误地更新设备ARP表项#xff0c;导致…设备因处理大量ARP报文而导致CPU负荷过重同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽造成合法用户的ARP报文不能继续生成ARP条目导致用户无法正常通信。 伪造的ARP报文将错误地更新设备ARP表项导致合法用户无法正常通信。
1、ARP表项严格学习
只有网关设备主动发送的ARP请求报文 以及应答报文才能触发本设备学习ARP
其他设备主动向网关设备发送的ARP报文不处理不更新
请求报文请求的是Gateway的MAC地址那么Gateway会向UserA回应ARP应答报文。 arp learning strict
2.ARP表项固化
仿冒合法用户mac向网关设备发送ARP报文导致Gateway的ARP表中记录了错误的UserA地址映射关系造成UserA接收不到正常的数据报文。
网关设备在第一次学习到ARP以后不再允许用户更新此ARP表项或只能允许更新此ARP表项的部分信息send-ack模式通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。
收到的应答报文 MAC地址、接口和VLAN信息与arp表项一致说明此arp表项正常不需要更新
没有收到报文或报文信息与arp表项不一致,设备对请求报文(A)的源mac发送单播arp报文, 收到应答报文BA和B信息一致说明A是合法的更新ARP表现。没有收到活着
不一致则A非法。不更新ARP表现。
arp anti-attack entry-check fixed-mac/fixed-allsend-ack enable用户接入位置频繁/固定/繁变 3、ARP miss
用户户向设备发送大量目标IP地址不能解析的IP报文即路由表中存在该IP报文的目的IP对应的路由表项但设备上没有该路由表项中下一跳对应的ARP表项将导致设备触发大量的ARP Miss消息 形成ARP泛洪攻击
arp-miss speed-limit source-ip maximum 20
arp-miss speed-limit source-ip 10.10.10.2 maximum 40
4、arp表项限制 、源MAC、源IP变化形成的ARP泛洪攻击
arp-limit vlan 10 maximum 20
arp speed-limit source-mac 1-1-1 maximum 10
arp speed-limit source-ip 10.9.9.2 maximum 10
display arp learning strict
display arp-limit
display arp anti-attack configuration all
5、动态ARP检测DAIDHCP 环境
中间人攻击Man-in-the-middle attack是指攻击者与通讯的两端分别创建独立的联系并交换其所收到的数据使通讯的两端认为与对方直接对话但事实上整个会话都被攻击者完全控制。在中间人攻击中攻击者可以拦截通讯双方的通话并插入新的内容。
动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较
arp anti-attack check user-bind alarm enable
p anti-attack check user-bind enable
dhcp snooping enable
vlan 10 dhcp snoping
dhcp 服务器的接口/vlan dhcp snooping trusted user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface gigabitethernet 0/0/3 vlan 10
display arp anti-attack statistics check user-bind interface
