- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-ARP攻擊防禦命令
本章節下載: 11-ARP攻擊防禦命令 (172.75 KB)
1.1.1 arp resolving-route enable
1.1.2 arp source-suppression enable
1.1.3 arp source-suppression limit
1.1.4 display arp source-suppression
1.3.2 arp source-mac aging-time
1.3.3 arp source-mac exclude-mac
1.3.4 arp source-mac threshold
1.6.4 arp restricted-forwarding enable
1.6.6 display arp detection statistics
1.6.7 reset arp detection statistics
arp resolving-route enable命令用來開啟ARP黑洞路由功能。
undo arp resolving-route enable命令用來關閉ARP黑洞路由功能。
【命令】
arp resolving-route enable
undo arp resolving-route enable
【缺省情況】
ARP黑洞路由功能處於使能狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
建議在網關設備上配置本功能。
如果網絡中有主機通過向設備發送大量目標IP地址不能解析的IP報文來攻擊設備,則會造成下麵的危害:
· 設備向目的網段發送大量ARP請求報文,加重目的網段的負載。
· 設備會試圖反複地對目標IP地址進行解析,增加了CPU的負擔。
如果發送攻擊報文的源不固定,可以采用ARP黑洞路由功能。開啟該功能後,一旦接收到目標IP地址不能解析的IP報文,設備立即產生一個黑洞路由,使得設備在一段時間內將去往該地址的報文直接丟棄。等待黑洞路由老化時間過後,如有報文觸發則再次發起解析,如果解析成功則進行轉發,否則仍然產生一個黑洞路由將去往該地址的報文丟棄。這種方式能夠有效地防止IP報文的攻擊,減輕CPU的負擔。
【舉例】
# 開啟ARP黑洞路由功能。
<Sysname> system-view
[Sysname] arp resolving-route enable
arp source-suppression enable命令用來使能ARP源地址抑製功能。
undo arp source-suppression enable命令用來恢複缺省情況。
【命令】
arp source-suppression enable
undo arp source-suppression enable
【缺省情況】
ARP源地址抑製功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
建議在網關設備上配置本功能。
【舉例】
# 使能ARP源地址抑製功能。
<Sysname> system-view
[Sysname] arp source-suppression enable
【相關命令】
· display arp source-suppression
arp source-suppression limit命令用來配置ARP源抑製的閾值。
undo arp source-suppression limit命令用來恢複缺省情況。
【命令】
arp source-suppression limit limit-value
undo arp source-suppression limit
【缺省情況】
ARP源抑製的閾值為10。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
limit-value:ARP源抑製的閾值,即設備在5秒間隔內可以處理的源IP相同,但目的IP地址不能解析的IP報文的最大數目,取值範圍為2~1024。
【使用指導】
如果網絡中每5秒內從某IP地址向設備某接口發送目的IP地址不能解析的IP報文超過了設置的閾值,則設備將不再處理由此IP地址發出的IP報文直至該5秒結束,從而避免了惡意攻擊所造成的危害。
【舉例】
# 配置ARP源抑製的閾值為100。
<Sysname> system-view
[Sysname] arp source-suppression limit 100
【相關命令】
· display arp source-suppression
display arp source-suppression命令用來顯示當前ARP源抑製的配置信息。
【命令】
display arp source-suppression
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示當前ARP源抑製的配置信息。
<Sysname> display arp source-suppression
ARP source suppression is enabled
Current suppression limit: 100
表1-1 display arp source-suppression顯示信息描述表
|
字段 |
描述 |
|
ARP source suppression is enabled |
ARP源地址抑製功能處於使能狀態 |
|
Current suppression limit |
設備在5秒時間間隔內可以接收到的源IP相同,但目的IP地址不能解析的IP報文的最大數目 |
arp rate-limit命令用來開啟ARP報文限速功能,並配置限速速率,超過限速部分的報文被丟棄。
undo arp rate-limit pps命令用來將ARP報文限速的速率恢複為缺省值。
undo arp rate-limit命令用來關閉ARP報文限速功能。
【命令】
arp rate-limit [ pps ]
undo arp rate-limit [ pps ]
【缺省情況】
ARP報文限速功能處於開啟狀態,限速速率為100pps。
【視圖】
以太網接口視圖/聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
pps:ARP限速速率,取值範圍為5~200,單位為包每秒(pps)。
【舉例】
# 配置以太網接口Ten-GigabitEthernet1/0/1接口ARP報文限速為50pps,超過限速部分的報文被丟棄。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] arp rate-limit 50
arp source-mac命令用來使能源MAC地址固定的ARP攻擊檢測功能,並選擇檢查模式。
undo arp source-mac命令用來恢複缺省情況。
【命令】
arp source-mac { filter | monitor }
undo arp source-mac [ filter | monitor ]
【缺省情況】
源MAC地址固定的ARP攻擊檢測功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
filter:檢測到攻擊後,打印Log信息,同時對該源MAC地址對應的ARP報文進行過濾。
monitor:檢測到攻擊後,隻打印Log信息,不對該源MAC地址對應的ARP報文進行過濾。
【使用指導】
建議在網關設備上配置本功能。
使能源MAC地址固定的ARP攻擊檢測之後,該特性會對上送CPU的ARP報文按照源MAC地址和VLAN進行統計。當在一定時間(5秒)內收到某固定源MAC地址的ARP報文超過設定的閾值,不同模式的處理方式存在差異:在filter模式下會打印Log信息並對該源MAC地址對應的ARP報文進行過濾;在monitor模式下隻打印Log信息,不過濾ARP報文。
需要注意的是,如果undo命令中沒有指定檢查模式,則關閉任意檢查模式的源MAC地址固定的ARP攻擊檢測功能。
【舉例】
# 使能源MAC地址固定的ARP攻擊檢測功能,並選擇filter檢查模式。
<Sysname> system-view
[Sysname] arp source-mac filter
arp source-mac aging-time命令用來配置源MAC地址固定的ARP攻擊檢測表項的老化時間。
undo arp source-mac aging-time命令用來恢複缺省情況。
【命令】
arp source-mac aging-time time
undo arp source-mac aging-time
【缺省情況】
源MAC地址固定的ARP攻擊檢測表項的老化時間為300秒,即5分鍾。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time:源MAC地址固定的ARP攻擊檢測表項的老化時間,取值範圍為60~6000,單位為秒。
【舉例】
# 配置源MAC地址固定的ARP攻擊檢測表項的老化時間為60秒。
<Sysname> system-view
[Sysname] arp source-mac aging-time 60
arp source-mac exclude-mac命令用來配置保護MAC地址。當配置了保護MAC地址之後,即使該ARP報文中的MAC地址存在攻擊也不會被檢測過濾。
undo arp source-mac exclude-mac命令用來取消配置的保護MAC地址。
【命令】
arp source-mac exclude-mac mac-address&<1-10>
undo arp source-mac exclude-mac [ mac-address&<1-10> ]
【缺省情況】
沒有配置任何保護MAC地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
mac-address&<1-10>:MAC地址列表。其中,mac-address表示配置的保護MAC地址,格式為H-H-H。&<1-10>表示每次最多可以配置的保護MAC地址個數。
【使用指導】
如果undo命令中沒有指定MAC地址,則取消所有已配置的保護MAC地址。
【舉例】
# 配置源MAC地址固定的ARP攻擊檢查的保護MAC地址為2-2-2。
<Sysname> system-view
[Sysname] arp source-mac exclude-mac 2-2-2
arp source-mac threshold命令用來配置源MAC地址固定的ARP報文攻擊檢測閾值,當在固定的時間(5秒)內收到源MAC地址固定的ARP報文超過該閾值則認為存在ARP報文攻擊。
undo arp source-mac threshold命令用來恢複缺省情況。
【命令】
arp source-mac threshold threshold-value
undo arp source-mac threshold
【缺省情況】
源MAC固定ARP報文攻擊檢測的閾值為30。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:固定時間內源MAC地址固定的ARP報文攻擊檢測的閾值,取值範圍為1~5000,單位為報文個數。
【舉例】
# 配置源MAC地址固定的ARP報文攻擊檢測閾值為30個。
<Sysname> system-view
[Sysname] arp source-mac threshold 30
display arp source-mac命令用來顯示檢測到的源MAC地址固定的ARP攻擊檢測表項。
【命令】
display arp source-mac { slot slot-number | interface interface-type interface-number }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口檢測到的源MAC地址固定的ARP攻擊檢測表項,interface-type interface-number表示指定接口的類型和編號。
slot slot-number:顯示指定成員設備檢測到的源MAC地址固定的ARP攻擊檢測表項。slot-number表示設備在IRF中的成員編號。
【使用指導】
如果不指定接口,則顯示所有接口檢測到的源MAC地址固定的ARP攻擊檢測表項。
【舉例】
# 顯示檢測到的源MAC地址固定的ARP攻擊檢測表項。
<Sysname> display arp source-mac
Source-MAC VLAN ID Interface Aging-time
23f3-1122-3344 4094 XGE1/0/1 10
23f3-1122-3355 4094 XGE1/0/2 30
23f3-1122-33ff 4094 XGE1/0/3 25
23f3-1122-33ad 4094 XGE1/0/4 30
23f3-1122-33ce 4094 XGE1/0/5 2
表1-2 display arp source-mac命令顯示信息描述表
|
字段 |
描述 |
|
Source-MAC |
檢測到攻擊的源MAC地址 |
|
VLAN ID |
檢測到攻擊的VLAN ID |
|
Interface |
攻擊來源的接口 |
|
Aging-time |
ARP防攻擊策略表項老化剩餘時間 |
arp valid-check enable命令用來開啟ARP報文源MAC地址一致性檢查功能。
undo arp valid-check enable命令用來關閉ARP報文源MAC地址一致性檢查功能。
【命令】
arp valid-check enable
undo arp valid-check enable
【缺省情況】
ARP報文源MAC地址一致性檢查功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
ARP報文源MAC地址一致性檢查功能主要應用於網關設備。
開啟ARP報文源MAC地址一致性檢查功能後,設備會對接收的ARP報文進行檢查,如果以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同,則丟棄該報文。
【舉例】
# 使能ARP報文源MAC地址一致性檢查功能。
<Sysname> system-view
[Sysname] arp valid-check enable
arp active-ack enable命令用來使能ARP主動確認功能。
undo arp active-ack enable命令用來恢複缺省情況。
【命令】
arp active-ack enable
undo arp active-ack enable
【缺省情況】
ARP主動確認功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
ARP的主動確認功能主要應用於網關設備,防止攻擊者仿冒用戶欺騙網關設備。
【舉例】
# 使能ARP主動確認功能。
<Sysname> system-view
[Sysname] arp active-ack enable
arp detection enable命令用來使能ARP Detection功能,即對ARP報文進行用戶合法性檢查。
undo arp detection enable命令用來恢複缺省情況。
【命令】
arp detection enable
undo arp detection enable
【缺省情況】
ARP Detection功能處於關閉狀態,即不進行用戶合法性檢查。
【視圖】
VLAN視圖
【缺省用戶角色】
network-admin
【舉例】
# 使能ARP Detection功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] arp detection enable
arp detection trust命令用來配置接口為ARP信任接口。
undo arp detection trust命令用來恢複缺省情況。
【命令】
arp detection trust
undo arp detection trust
【缺省情況】
接口為ARP非信任接口。
【視圖】
以太網接口視圖/聚合接口視圖
【缺省用戶角色】
network-admin
【舉例】
# 配置以太網接口Ten-GigabitEthernet1/0/1為ARP信任接口。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] arp detection trust
arp detection validate命令用來使能對ARP報文的目的MAC地址或源MAC地址、IP地址的有效性檢查。使能有效性檢查時可以指定某一種檢查方式也可以配置成多種檢查方式的組合。
undo arp detection validate命令用來關閉對ARP報文的有效性檢查。關閉時可以指定關閉某一種或多種檢查,在不指定檢查方式時,表示關閉所有有效性檢查。
【命令】
arp detection validate { dst-mac | ip | src-mac } *
undo arp detection validate [ dst-mac | ip | src-mac ] *
【缺省情況】
ARP報文有效性檢查功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dst-mac:檢查ARP應答報文中的目的MAC地址,是否為全0或者全1,是否和以太網報文頭中的目的MAC地址一致。全0、全1、不一致的報文都是無效的,無效的報文需要被丟棄。
ip:檢查ARP報文源IP和目的IP地址,全0、全1、或者組播IP地址都是不合法的,需要丟棄。對於ARP應答報文,源IP和目的IP地址都進行檢查;對於ARP請求報文,隻檢查源IP地址。
src-mac:檢查ARP報文中的源MAC地址和以太網報文頭中的源MAC地址是否一致,一致認為有效,否則丟棄。
【舉例】
# 使能對ARP報文的MAC地址和IP地址的有效性檢查。
<Sysname> system-view
[Sysname] arp detection validate dst-mac src-mac ip
arp restricted-forwarding enable命令用來使能ARP報文強製轉發功能。
undo arp restricted-forwarding enable命令用來關閉ARP報文強製轉發功能。
【命令】
arp restricted-forwarding enable
undo arp restricted-forwarding enable
【缺省情況】
ARP報文強製轉發功能處於關閉狀態。
【視圖】
VLAN視圖
【缺省用戶角色】
network-admin
【舉例】
# 使能VLAN 2的ARP報文強製轉發功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] arp restricted-forwarding enable
display arp detection命令用來顯示使能了ARP Detection功能的VLAN。
【命令】
display arp detection
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示所有使能了ARP Detection功能的VLAN。
<Sysname> display arp detection
ARP detection is enabled in the following VLANs:
1-2, 4-5
表1-3 display arp detection命令顯示信息描述表
|
字段 |
描述 |
|
ARP detection is enabled in the following VLANs |
使能了ARP Detection功能的VLAN |
【相關命令】
· arp detection enable
display arp detection statistics命令用來顯示ARP Detection功能報文檢查的丟棄計數的統計信息。
【命令】
display arp detection statistics [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口的統計信息。interface-type interface-number用來指定接口類型和編號。
【使用指導】
按接口顯示用戶合法性檢查、報文有效性檢查和ARP報文上送限速的統計情況,隻顯示ARP Detection功能報文的丟棄情況。不指定接口時,顯示所有接口的統計信息。
【舉例】
# 顯示ARP Detection功能報文檢查的丟棄計數的統計信息。
<Sysname> display arp detection statistics
State: U-Untrusted T-Trusted
ARP packets dropped by ARP inspect checking:
Interface(State) IP Src-MAC Dst-MAC Inspect
XGE1/0/1(U) 40 0 0 78
XGE1/0/2(U) 0 0 0 0
XGE1/0/3(T) 0 0 0 0
XGE1/0/4(U) 0 0 30 0
表1-4 display arp detection statistics命令顯示信息描述表
|
字段 |
描述 |
|
State |
接口狀態: · U:ARP非信任接口 · T:ARP信任接口 |
|
Interface(State) |
ARP報文入接口,State表示該接口的信任狀態 |
|
IP |
ARP報文源和目的IP地址檢查不通過丟棄的報文計數 |
|
Src-MAC |
ARP報文源MAC地址檢查不通過丟棄的報文計數 |
|
Dst-MAC |
ARP報文目的MAC地址檢查不通過丟棄的報文計數 |
|
Inspect |
ARP報文結合用戶合法性檢查不通過丟棄的報文計數 |
reset arp detection statistics命令用來清除ARP Detection的統計信息。
【命令】
reset arp detection statistics [ interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示清除指定接口下的統計信息。interface-type interface-number用來指定接口類型和編號。
【使用指導】
不指定接口時,清除所有ARP Detection統計信息。
【舉例】
# 清除所有ARP Detection統計信息。
<Sysname> reset arp detection statistics
arp fixup命令用來配置ARP固化功能,將當前的動態ARP表項轉換為靜態ARP表項。後續學習到的動態ARP表項可以通過再次執行arp fixup命令進行固化。
【命令】
arp fixup
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
固化後的靜態ARP表項與配置產生的靜態ARP表項相同。
固化生成的靜態ARP表項數量同樣受到設備可以支持的靜態ARP表項數目的限製,由於靜態ARP表項數量的限製可能導致隻有部分動態ARP表項被固化。
如果用戶執行固化前有D個動態ARP表項,S個靜態ARP表項,由於固化過程中存在動態ARP表項的老化或者新建動態ARP表項的情況,所以固化後的靜態ARP表項可能為(D+S+M-N)個。其中,M為固化過程中新建的動態ARP表項個數,N為固化過程中老化的動態ARP表項個數。
通過固化生成的靜態ARP表項,可以通過命令行undo arp ip-address [ vpn-instance-name ]逐條刪除,也可以通過命令行reset arp all或reset arp static全部刪除。
【舉例】
# 配置ARP固化功能。
<Sysname> system-view
[Sysname] arp fixup
arp scan命令用來啟動ARP自動掃描功能,該功能可以對接口下指定地址範圍內的鄰居進行掃描。
【命令】
arp scan [ start-ip-address to end-ip-address ]
【視圖】
VLAN接口視圖
【缺省用戶角色】
network-admin
【參數】
start-ip-address:ARP掃描區間的起始IP地址。起始IP地址必須小於等於終止IP地址。
end-ip-address:ARP掃描區間的終止IP地址。終止IP地址必須大於等於起始IP地址。
【使用指導】
· 如果用戶知道局域網內鄰居分配的IP地址範圍,指定了ARP掃描區間,則對該範圍內的鄰居進行掃描,減少掃描等待的時間。如果指定的掃描區間同時在接口下多個IP地址的網段內,則發送的ARP請求報文的源IP地址選擇網段範圍較小的接口IP地址。
· 如果用戶不指定ARP掃描區間的起始IP地址和終止IP地址,則僅對接口下的主IP地址網段內的鄰居進行掃描。其中,發送的ARP請求報文的源IP地址就是接口的主IP地址。
· ARP掃描區間的起始IP地址和終止IP地址必須與接口的IP地址(主IP地址或手工配置的從IP地址)在同一網段。
· 對於已存在ARP表項的IP地址不進行掃描。
· 掃描操作可能比較耗時,用戶可以通過<Ctrl_C>來終止掃描(在終止掃描時,對於已經收到的鄰居應答,會建立該鄰居的動態ARP表項)。
【舉例】
# 對接口Vlan-interface2下的主IP地址網段內的鄰居進行掃描。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp scan
# 對接口Vlan-interface2下指定地址範圍內的鄰居進行掃描。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp scan 1.1.1.1 to 1.1.1.20
arp filter source命令用來開啟ARP網關保護功能,配置受保護的網關IP地址。
undo arp filter source命令用來刪除已配置的受保護網關IP地址。
【命令】
arp filter source ip-address
undo arp filter source ip-address
【缺省情況】
ARP網關保護功能處於關閉狀態。
【視圖】
以太網接口視圖/聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:受保護的網關IP地址。
【使用指導】
· 每個接口最多支持配置8個受保護的網關IP地址。
· 不能在同一接口下同時配置命令arp filter source和arp filter binding。
【舉例】
# 在Ten-GigabitEthernet1/0/1下開啟ARP網關保護功能,受保護的網關IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] arp filter source 1.1.1.1
arp filter binding命令用來開啟ARP過濾保護功能,限製隻有特定源IP地址和源MAC地址的ARP報文才允許通過。
undo arp filter binding命令用來刪除已配置的被允許通過的ARP報文的源IP地址和源MAC地址。
【命令】
arp filter binding ip-address mac-address
undo arp filter binding ip-address
【缺省情況】
ARP過濾保護功能處於關閉狀態。
【視圖】
以太網接口視圖/聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:允許通過的ARP報文的源IP地址。
mac-address:允許通過的ARP報文的源MAC地址。
【使用指導】
· 每個接口最多支持配置8組允許通過的ARP報文的源IP地址和源MAC地址。
· 不能在同一接口下同時配置命令arp filter source和arp filter binding。
【舉例】
# 在Ten-GigabitEthernet1/0/1下開啟ARP過濾保護功能,允許源IP地址為1.1.1.1、源MAC地址為2-2-2的ARP報文通過。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] arp filter binding 1.1.1.1 2-2-2
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
