更新时间:2024-07-01
1功能简介
1.1应用场景
1、ARP泛洪攻击:
①设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
②攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
2、ARP欺骗攻击:是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。ARP攻击行为存在以下危害:
①会造成网络连接不稳定,引发用户通信中断。
②利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的账号和口令,造成被攻击者重大利益损失。
1.2适用版本
NAC3.13.0
1.3配置思路
1、判断需要防范的是ARP泛洪攻击还是ARP欺骗攻击。
2、根据实际情况配置ARP攻击防御配置。
2注意事项
2.1业务影响范围
建议在业务空窗期配置触发策略的动作为拉黑或者关闭端口,避免内网流量因为触发策略影响正常业务运行。
3配置步骤
3.1ARP泛洪攻击防御配置
ARP防洪攻击说明:ARP泛洪攻击也叫拒绝服务攻击DoS(Denial of Service),主要存在这样的场景:
1、设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
1、【安全配置】-【流量安全】-【流量劫持防御】-【ARP防御】-【交换机防御】新增策略,点击【ARP泛洪防御】在交换机分组中可以针对选中的交换机开启相关ARP策略。
1)开启端口报文限速和终端报文限速策略,通过ARP报文限速功能,可以防止设备因处理大量ARP报文,导致CPU负荷过重而无法处理其他业务,分为基于单个交换机端口报文限速和基于源MAC地址报文限速。
2)开启ARP表项保护策略:开启“仅学习本机的ARP请求应答”后只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备收到大量ARP攻击报文时,ARP表被无效的ARP条目占满
开启“免费ARP报文主动丢弃”后设备直接丢弃免费ARP报文,可以防止设备因处理大量免费ARP报文,导致CPU负荷过重而无法处理其他业务。
3)终端IP探测攻击检测:通过终端IP探测攻击检测,可以防止设备因处理大量目的IP地址不可达的IP报文触发大量ARP Miss消息,设备触发ARP Miss消息会生成大量临时ARP表项并向网络发送大量ARP请求报文,这样就增加了设备CPU的负担,同时严重消耗目的网络的带宽资源。终端IP探测报文超限的处理方式支持告警和将终端加入黑名单。IP扫描仅支持SW-CHASSIS3.2及以上版本的框设备。
3.2ARP欺骗攻击防御配置
ARP欺骗攻击说明:ARP欺骗攻击是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。ARP攻击行为存在以下危害:
1、会造成网络连接不稳定,引发用户通信中断。
2、利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的账号和口令,造成被攻击者重大利益损失。
1、【安全配置】-【流量安全】-【流量劫持防御】-【ARP防御】-【交换机防御】新增策略,点击【ARP欺骗防御】
1)开启ARP表项更新检查:设备在第一次学习到ARP之后,用户更新此ARP表项时通过发送ARP请求报文的方式进行确认,以防止攻击者伪造ARP报文修改正常用户的ARP表项内容
2)开启ARP报文合法性校验通过检查报文中的IP地址、MAC地址,直接丢弃非法的ARP报文,避免非法用户伪造ARP报文,刻意的进行ARP攻击。
3)开启基于DHCP的ARP绑定关系检测(DAI):当设备收到ARP报文时,将此ARP报文的源IP、源MAC(Media Access Control)、收到ARP报文的接口及VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。本功能仅适用于DHCP Snooping(Dynamic Host Configuration Protocol Snooping)场景。
4)开启防网关欺骗:开启后丢弃源IP地址为网关设备IP地址的ARP报文,防止攻击者仿冒网关,建议在网关设备上开启。
4效果图
启用访网关欺骗,当网络中存在和绑定信息IP一致,但是mac地址不一致的终端时,触发防御,并把终端mac地址加入到黑名单。