ARP攻击防范是通过对ARP表的控制以及ARP报文的限制、检查等手段来保护网络设备的安全。之所以ARP攻击泛滥是由于ARP协议上的缺陷,没有相应的安全性验证;对于大型网络来说,找出攻击源是比较困难的一件事情,通过网络设备的配置也只能缓解ARP攻击对整个网络造成的压力。
网络中常见的ARP攻击有以下几种:
- 仿冒网关:攻击源假冒网关发送伪造的ARP报文(IP地址为网关的IP,MAC地址为自己的MAC),用户电脑收到伪造的ARP包后,就会将本来要发给网关的数据报文发送到攻击设备上,这样攻击者就会轻易窃听到用户数据。
- ARP MISS攻击:攻击者发送大量的目的IP地址不能解析的ARP包,设备会触发大量的ARP MISS信息,设备CPU需要大量的资源去处理这些信息,导致CPU负载加重,正常的报文无法处理,从而导致网络慢。
- ARP报文攻击:网关设备收到大量源MAC伪造的ARP报文,加剧设备的负担。
对付ARP攻击的最佳办法就是双向绑定,也就是在网关和电脑上都做IP与MAC地址的静态绑定;但是实际应用中,受制于网络规模,网络终端设备移动等情况,此方法极大地加剧了网络管理的工作量。双向绑定可以用于小型网络;在中大型网络中,需要通过交换机的配置来缓解ARP攻击并通过抓包找出攻击源。
下面以华为交换机为例,介绍几种攻击防范方式的配置:
1. 仿冒网关
- arp anti-attack gateway-duplicate enable //配置ARP防网关冲突
2. ARP Miss消息限速
- arp-miss speed-limit source-ip maximum 40 //配置根据源IP地址进行ARP Miss消息限速
3. ARP报文限速
- arp speed-limit source-mac maximum 10 //配置根据源MAC地址进行ARP限速
- arp speed-limit source-ip maximum 10 //配置根据源IP地址进行ARP限速
如何确定攻击源:
在疑似ARP攻击的网段里,通过WIRESHARK等抓包软件抓包,分析网络中ARP包的情况再结合交换机端口数据的收发等其他的手段最终找出攻击源。
实际工作中,网络中出现ARP攻击是一个比较常见的问题也是一个比较头疼的问题,需要结合抓包软件、交换机日志、交换机端口信息、终端信息等多种网络节点信息综合分析,最终找出攻击源。
