ARP防攻击命令手册.docVIP

ARP防攻击命令手册 目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc270414052 1 简介 PAGEREF _Toc270414052 \h 3 HYPERLINK \l _Toc270414053 1.1 概述 PAGEREF _Toc270414053 \h 3 HYPERLINK \l _Toc270414054 1.2 ARP洪攻击和欺骗 PAGEREF _Toc270414054 \h 3 HYPERLINK \l _Toc270414055 1.2.1 ARP洪攻击简述 PAGEREF _Toc270414055 \h 3 HYPERLINK \l _Toc270414056 1.2.2 ARP防洪攻击简述 PAGEREF _Toc270414056 \h 3 HYPERLINK \l _Toc270414057 1.2.3 ARP欺骗简述 PAGEREF _Toc270414057 \h 3 HYPERLINK \l _Toc270414058 1.2.4 ARP防欺骗 PAGEREF _Toc270414058 \h 4 HYPERLINK \l _Toc270414059 2 配置ARP PAGEREF _Toc270414059 \h 5 HYPERLINK \l _Toc270414060 3 典型配置 PAGEREF _Toc270414060 \h 10 简介 概述 ARP（Address Resolution Protocol），即地址解析协议，基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。 在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。 ARP洪攻击和欺骗 ARP洪攻击简述 由于ARP协议的缺陷，通常的网络设备对ARP的请求都会做检测处理，来决定丢弃或响应，这样就给攻击者一个漏洞，只要在网内制造大量的ARP请求包来请求网关地址，网关接受到ARP请求后会做出响应，由于请求量非常大，极大的耗费了网关的CPU，导致网关工作故障，且网内物理线路上被大量的ARP垃圾报文占用，导致网络拥塞，甚至瘫痪，这是典型的ARP洪攻击。 ARP防洪攻击简述 目前对ARP防攻击的技术主要是针对攻击源做限制，网关设备设置ARP防攻击阈值，当某一时间段内网关设备接收到的ARP报文超过阈值时，即记录下该源MAC地址，对该MAC进行限制，阻断一定的时间（通常为60秒），阻断时间内不对该源所发的ARP包进行任何处理（不响应，不转发），直接丢弃，以保证网络通畅。 ARP欺骗简述 与ARP洪攻击有所区别，ARP欺骗是通过伪造IP-MAC映射来对网关或网内主机造成攻击的，但ARP欺骗同样可以造成网络瘫痪。 造成ARP欺骗攻击的原因，同样是由于ARP本身协议的缺陷，协议规定本地的ARP列表必须定时更新，当收到ARP响应包时，如果有此项列表信息则进行刷新，如果无此项列表信息，则进行记录。攻击者利用这个特点，构造大量的错误的ARP响应包，以网关为例，网关的IP-MAC是网内主机所必须的，不然无法正常通信，攻击者向往内广播大量的ARP响应包，携带错误的网关IP-MAC映射，使得网内主机接收到后更新本地ARP表，由于更新的列表信息中网关信息是错误的，所以导致网络瘫痪。 ARP防欺骗 关闭ARP学习，使用ip-mac绑定功能 一般网络设备都是默认启用ARP学习，关闭后设备将不会自动刷新ARP表，每一条信息都需要手动添加，只要是不匹配IP-MAC绑定表的报文都将被丢弃。 本设备对每个与ip-mac绑定功能冲突而丢弃的包，会产生系统日志。 由于MAC地址和IP地址的绑定关系由操作员静态手工配置。适用于信息点不多、规模不大的静态地址环境下。 发送免费报文 发送免费报文原理与欺骗原理类似，免费ARP报文就是广播正确的ARP信息，使得收到此报文的主机强制学习，以防止被欺骗。另外，免费报文还有另一个作用，就是防止网内主机IP冲突。 本设备支持ARP自定义发包和保护端口的设置，自定义发包就是可以自定义ARP报文，可以定义报文类型，发包数量和频率等信息；保护端口即为设置主动广播ARP广播报文的端口，并且可以设置免费报文内容，使之不仅仅只广播网关自己的IP-MAC，同样可以对网内任何主机进行保护