所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何定位设备是否受到ARP攻击?

如何定位设备是否受到ARP攻击?

如果网络受到了ARP攻击,可能会出现如下现象:
  • 用户掉线、频繁断网、上网慢、业务中断或无法上网。

  • 设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。

  • Ping有时延、丢包或不通。

定位ARP攻击时,请先排除链路、环路或路由问题,排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。

  1. 在网关上执行命令display cpu-defend statistics all,查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。

    • 如果计数为0,设备没有丢弃ARP报文。请执行步骤2。

    • 如果有计数,表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。

  2. 在网关上执行命令display arp all,查看用户的ARP表项是否存在。

    • 如果ARP表项还在,请再查看用户的ARP表项,然后确定是否有用户或网关的ARP表项被改变。

      • 如果是网关上用户ARP表项被改变,设备受到了ARP欺骗网关攻击。

        1. 在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。

        2. 建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。

          • 系统视图下执行命令arp static,配置静态ARP表项。

            如果下挂用户较少,可以通过配置静态ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。

          • 系统视图或接口视图下执行命令arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable,配置ARP表项固化功能。

            • fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。

            • fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。

            • send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

          • 配置黑名单或黑洞MAC对攻击源的报文进行丢弃处理。

      • 如果是用户的网关ARP表项被改变,设备受到了ARP仿冒网关攻击。

        1. 在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。

        2. 建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。

          • 在网关的下行接口配置端口隔离,防止同一VLAN的用户收到攻击的ARP。

          • 系统视图下执行命令arp anti-attack gateway-duplicate enable,使能ARP防网关冲突攻击功能,并执行命令arp gratuitous-arp send enable,使能发送免费ARP报文的功能,将正确网关地址发送给用户。

          • 配置黑名单或黑洞MAC对攻击源的报文进行丢弃处理。

      • 如果是用户的其他用户ARP表项被改变,请执行下面的步骤。

        • 在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。

        • 建议找出攻击者后进行杀毒或卸载攻击工具。也可以在接入设备上配置防攻击功能,请根据情况选择配置。

          • 在接口或VLAN视图下执行命令arp anti-attack check user-bind enable,使能动态ARP检测功能(即对ARP报文进行绑定表匹配检查功能)。

            动态ARP检测功能主要用于防御中间人攻击的场景,避免合法用户的数据被中间人窃取。

            说明:

            本功能仅适用于配置了绑定表的场景。设备使能DHCP Snooping功能后,当DHCP用户上线时,设备会自动生成DHCP Snooping绑定表;对于静态配置IP地址的用户,设备不会生成DHCP Snooping绑定表,所以需要手动添加静态绑定表。

          • 在系统视图下执行命令arp anti-attack packet-check { ip | dst-mac | sender-mac } *,使能ARP报文合法性检查功能,并指定ARP报文合法性检查项。

          • 配置黑名单或黑洞MAC对其报文进行丢弃处理。

    • 如果没有用户表项,请执行下面的步骤。

      1. 用户视图下执行命令debugging arp packet interface interface-type interface-number,打开ARP报文调试开关,查看设备是否发出ARP请求报文、是否收到ARP回应报文。

        说明:

        调试信息的“operation”字段表示协议类型:1为ARP请求;2为ARP响应。

        • 如果没有发送过ARP请求报文,请参考如何处理由ARP Miss消息导致ARP学习失败?进行处理。

        • 如果没有收到ARP回应报文,检查是否由于CPCAR机制丢弃了ARP回应报文。

          • 用户视图下执行命令display cpu-defend statistics packet-type arp-reply all,查看ARP Reply报文的“Drop”计数是否增长。

            如果计数一直增长,防攻击策略视图下执行命令car,适当放大针对ARP Reply报文的CPCAR的限制值。

            调整CPCAR不当将会影响网络业务,如果需要调整CPCAR,建议联系技术支持人员处理。

            配置后,还需应用该防攻击策略才能生效。

          • 用户视图下执行命令display arp anti-attack configuration arp-speed-limit,查看是否配置了ARP报文限速。

            • 系统视图下执行命令arp speed-limit source-ip [ ip-address ] maximum maximum,调整根据源IP地址进行ARP报文限速的限速值。

            • 系统视图下执行命令arp speed-limit source-mac [ mac-address ] maximum maximum,调整根据源MAC地址进行ARP限速的限速值。

            • 系统视图、VLAN视图或接口视图下执行命令arp anti-attack rate-limit packet packet-number,调整ARP报文的限速值。

              在V200R003C00之前的版本,设备不支持packet参数,无需配置该参数。

        • 如果收到了ARP回应报文,请执行步骤3。

      2. 检查对端设备是否收到了ARP请求报文,如果收到是否响应了请求,是否发出ARP回应报文。

        如果对端设备是华为设备,可以参考上面的步骤;如果是其他厂商设备,请参考相应的操作手册。

  3. 执行完以上步骤后故障仍未排除,请收集如下信息,并联系技术支持人员。
    • 上述步骤的执行结果。
    • 设备的配置文件、日志信息、告警信息。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32340

下载量:937

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页