通过之前的文章,我们已经了解了 ARP 攻击的危害,黑客采用 ARP 软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。
由于攻击门槛非常低,普通人只要拿到攻击软件就可以扰乱网络秩序,导致现在的公共网络、家庭网络、校园网、企业内网等变得脆弱无比。
所以,作为网络工程师要怎么防御ARP攻击呢?
首先,我们先通过一张经典图解来了解 ARP 攻击原理:
当 PC1 询问 PC2 的 MAC 地址时,攻击者 PC3 返回 ARP 欺骗回应包:我的 IP 地址是 IP2,MAC 地址是 MAC3。一旦 PC1 记录了错误的 ARP 映射,则发给 PC2 的数据,都会落到 PC3 手里。
通过企业级交换机配置命令防御ARP攻击
一、配置基于源MAC地址的arp报文限速,防止设备收到不断变化的源ip地址的arp攻击时被耗尽cpu资源
[Huawei]arp speed-limit source-mac maximum 100 //限制所有MAC地址报文100个/s
[Huawei]arp speed-limit source-mac 0001-0002-0003 maximum 10 // 限制单个MAC地址报文10个/s
二、配置基于源ip地址的arp报文限速
[Huawei]arp speed-limit source-ip maximum 100 //限制所有ip地址报文100个/s
[Huawei]arp speed-limit source-ip 0001-0002-0003 maximum 10 //限制单个ip地址报文10个/s
三、基于端口、vlan或全局的arp限速
1、基于接口的arp限速
[Huawei]arp anti-attack rate-limit enable //全局下开启arp限速功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit enable //接口下开启arp限速功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit 200 10 block timer 60 //限速10s内允许通过最大200个arp报文,超过丢弃
[Huawei-GigabitEthernet0/0/1]quit
2、基于vlan的arp限速
[Huawei]arp anti-attack rate-limit enable //全局下开启arp限速功能
[Huawei-Vlanif2]arp anti-attack rate-limit enable //开启基于vlan的arp限速功能
[Huawei-Vlanif2]arp anti-attack rate-limit 200 10 //限速10s内允许通过最大200个arp报文,超过丢弃
[Huawei-Vlanif2]quit
3、基于全局的arp限速
[Huawei]arp anti-attack rate-limit enable //全局下开启arp限速功能
[Huawei]arp anti-attack rate-limit 200 10 //限速10s内允许通过最大200个arp报文,超过丢弃
閱讀更多 KB小網管 的文章
