网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备，集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。结合AI运维技术，极大程度的提升网络运维效率！

搜本产品

NAC3.13.0-3.14.0

{{item.code}}

用户手册

NAC3.12.0用户手册

NAC3.10.0用户手册

功能配置

多维感知

诊断中心

接入点管理

交换机管理

认证配置

感知管理

智能告警配置指导手册

流控管理

控制器流量优化配置指导

系统管理

其他

日志审计

日志审计配置指导

网监对接

网监对接配置指导手册

设备升级

运维管理

设备登录方法

指示灯状态说明

交换机ARP防御配置指导

更新时间：2024-07-01

1功能简介

1.1应用场景

1、ARP泛洪攻击：

①设备处理ARP报文和维护ARP表项都需要消耗系统资源，同时为了满足ARP表项查询效率的要求，一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使得设备ARP表资源被无效的ARP条目耗尽，合法用户的ARP报文不能继续生成ARP条目，导致正常通信中断。

②攻击者利用工具扫描本网段主机或者进行跨网段扫描时，会向设备发送大量目标IP地址不能解析的IP报文，导致设备触发大量ARP Miss消息，生成并下发大量临时ARP表项，并广播大量ARP请求报文以对目标IP地址进行解析，从而造成CPU（Central Processing Unit）负荷过重。

2、ARP欺骗攻击：是指攻击者通过发送伪造的ARP报文，恶意修改设备或网络内其他用户主机的ARP表项，造成用户或网络的报文通信异常。ARP攻击行为存在以下危害：

①会造成网络连接不稳定，引发用户通信中断。

②利用ARP欺骗截取用户报文，进而非法获取游戏、网银、文件服务等系统的账号和口令，造成被攻击者重大利益损失。

1.2适用版本

NAC3.13.0

1.3配置思路

1、判断需要防范的是ARP泛洪攻击还是ARP欺骗攻击。

2、根据实际情况配置ARP攻击防御配置。

2注意事项

2.1业务影响范围

建议在业务空窗期配置触发策略的动作为拉黑或者关闭端口，避免内网流量因为触发策略影响正常业务运行。

3配置步骤

3.1ARP泛洪攻击防御配置

ARP防洪攻击说明：ARP泛洪攻击也叫拒绝服务攻击DoS（Denial of Service），主要存在这样的场景：

1、设备处理ARP报文和维护ARP表项都需要消耗系统资源，同时为了满足ARP表项查询效率的要求，一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使得设备ARP表资源被无效的ARP条目耗尽，合法用户的ARP报文不能继续生成ARP条目，导致正常通信中断。

2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时，会向设备发送大量目标IP地址不能解析的IP报文，导致设备触发大量ARP Miss消息，生成并下发大量临时ARP表项，并广播大量ARP请求报文以对目标IP地址进行解析，从而造成CPU（Central Processing Unit）负荷过重。

1、【安全配置】-【流量安全】-【流量劫持防御】-【ARP防御】-【交换机防御】新增策略，点击【ARP泛洪防御】在交换机分组中可以针对选中的交换机开启相关ARP策略。

1）开启端口报文限速和终端报文限速策略，通过ARP报文限速功能，可以防止设备因处理大量ARP报文，导致CPU负荷过重而无法处理其他业务，分为基于单个交换机端口报文限速和基于源MAC地址报文限速。

2）开启ARP表项保护策略：开启“仅学习本机的ARP请求应答”后只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备收到大量ARP攻击报文时，ARP表被无效的ARP条目占满

开启“免费ARP报文主动丢弃”后设备直接丢弃免费ARP报文，可以防止设备因处理大量免费ARP报文，导致CPU负荷过重而无法处理其他业务。

3）终端IP探测攻击检测：通过终端IP探测攻击检测，可以防止设备因处理大量目的IP地址不可达的IP报文触发大量ARP Miss消息，设备触发ARP Miss消息会生成大量临时ARP表项并向网络发送大量ARP请求报文，这样就增加了设备CPU的负担，同时严重消耗目的网络的带宽资源。终端IP探测报文超限的处理方式支持告警和将终端加入黑名单。IP扫描仅支持SW-CHASSIS3.2及以上版本的框设备。

3.2ARP欺骗攻击防御配置

ARP欺骗攻击说明：ARP欺骗攻击是指攻击者通过发送伪造的ARP报文，恶意修改设备或网络内其他用户主机的ARP表项，造成用户或网络的报文通信异常。ARP攻击行为存在以下危害：

1、会造成网络连接不稳定，引发用户通信中断。

2、利用ARP欺骗截取用户报文，进而非法获取游戏、网银、文件服务等系统的账号和口令，造成被攻击者重大利益损失。

1、【安全配置】-【流量安全】-【流量劫持防御】-【ARP防御】-【交换机防御】新增策略，点击【ARP欺骗防御】

1）开启ARP表项更新检查：设备在第一次学习到ARP之后，用户更新此ARP表项时通过发送ARP请求报文的方式进行确认，以防止攻击者伪造ARP报文修改正常用户的ARP表项内容

2）开启ARP报文合法性校验通过检查报文中的IP地址、MAC地址，直接丢弃非法的ARP报文，避免非法用户伪造ARP报文，刻意的进行ARP攻击。

3）开启基于DHCP的ARP绑定关系检测（DAI）：当设备收到ARP报文时，将此ARP报文的源IP、源MAC（Media Access Control）、收到ARP报文的接口及VLAN（Virtual Local Area Network）信息和绑定表的信息进行比较，如果信息匹配，则认为是合法用户，允许此用户的ARP报文通过，否则认为是攻击，丢弃该ARP报文。本功能仅适用于DHCP Snooping（Dynamic Host Configuration Protocol Snooping）场景。