华为交换机防ARP攻配置手册.docVIP

? ARP防攻击配置 下表列出了本章所包含的内容。 如果您需要…… 请阅读…… 了解ARP地址欺骗防攻击的原理和配置 HYPERLINK /service/document_center/ip_network_product/switches/s9500/s9500/configure/operation_manual/s9500_om(release_1648_v1.23)/02-ip_cm/200812/623779_30005_0.htm \l _Ref170270622#_Ref170270622 ARP地址欺骗防攻击 了解ARP网关冲突防攻击的原理和配置 HYPERLINK /service/document_center/ip_network_product/switches/s9500/s9500/configure/operation_manual/s9500_om(release_1648_v1.23)/02-ip_cm/200812/623779_30005_0.htm \l _Ref156809667#_Ref156809667 ARP网关冲突防攻击配置 了解ARP报文防攻击的原理和配置 HYPERLINK /service/document_center/ip_network_product/switches/s9500/s9500/configure/operation_manual/s9500_om(release_1648_v1.23)/02-ip_cm/200812/623779_30005_0.htm \l _Ref156809688#_Ref156809688 ARP报文防攻击配置 了解ARP协议防攻击综合配置举例 HYPERLINK /service/document_center/ip_network_product/switches/s9500/s9500/configure/operation_manual/s9500_om(release_1648_v1.23)/02-ip_cm/200812/623779_30005_0.htm \l _Ref170270645#_Ref170270645 ARP防攻击配置举例 ? 3.1? ARP地址欺骗防攻击 3.1.1? ARP地址欺骗防攻击简介 ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。 ?????????????? 对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便； ?????????????? 对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。 图3-1 ARP地址欺骗攻击示意图 如 HYPERLINK /service/document_center/ip_network_product/switches/s9500/s9500/configure/operation_manual/s9500_om(release_1648_v1.23)/02-ip_cm/200812/623779_30005_0.htm \l _Ref143498960#_Ref143498960 图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。 对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。 1. 固定MAC地址 对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改，直到此ARP表项老化之后才允许此ARP表项更新MAC地址，以此来确保合法用户的ARP表项不被修改。 固定MAC有两种方式：Fixed-mac和Fixed-all。 ?????????????? Fixed-mac方式；不允许通过ARP学习对MAC地址进行修改，但允许对VLAN和端口信息进行修改。这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。当链路切换时，ARP表项中的端口信息可以快速改变。 ?????????????? Fixed-all方式；对动态ARP和已解析的短静态ARP、MAC、VLAN和端口信息均不允许修改。 这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。 2. 主动确认（Send-ack） 交换机收到一个涉及MAC地址修改的ARP报文时，不会立即修改原ARP表项，而是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认： ????????????