ARP安全简介
介绍ARP安全的定义和作用。
定义
ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。
目的
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。在网络中,常见的ARP攻击方式主要包括:
ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景:
设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
ARP欺骗攻击,是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。
- 会造成网络连接不稳定,引发用户通信中断。
- 利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。
为了避免上述ARP攻击行为造成的各种危害,ARP安全特性针对不同的攻击类型提供了多种解决方案,具体如表10-1和表10-2所示:
防攻击功能 |
功能说明 |
部署设备 |
|---|---|---|
ARP报文限速 |
通过ARP报文限速功能,可以防止设备因处理大量ARP报文,导致CPU负荷过重而无法处理其他业务。 |
建议在网关设备上部署本功能 |
ARP Miss消息限速 |
通过ARP Miss消息限速功能,可以防止设备因收到大量目的IP不能解析的IP报文,触发大量ARP Miss消息,导致CPU负荷过重而无法处理其他业务。 |
建议在网关设备上部署本功能 |
免费ARP报文主动丢弃 |
使能免费ARP报文主动丢弃功能后,设备直接丢弃免费ARP报文,可以防止设备因处理大量免费ARP报文,导致CPU负荷过重而无法处理其他业务。 |
建议在网关设备上部署本功能 |
ARP表项严格学习 |
使能ARP表项严格学习功能后,只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备收到大量ARP攻击报文时,ARP表被无效的ARP条目占满。 |
建议在网关设备上部署本功能 |
ARP表项限制 |
使能ARP表项限制功能后,设备接口只能学习到设定的最大动态ARP表项数目。这可以防止当一个接口所接入的某一台用户主机发起ARP攻击时整个设备的ARP表资源都被耗尽。 |
建议在网关设备上部署本功能 |
禁止接口学习ARP表项 |
通过禁止指定的接口学习ARP表项,可以防止该接口下所接入的用户主机发起ARP攻击使整个设备的ARP表资源都被耗尽。 |
建议在网关设备上部署本功能 |
防攻击功能 |
功能说明 |
部署设备 |
|---|---|---|
ARP表项固化 |
使能ARP表项固化功能后,设备在第一次学习到ARP之后,不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息,或者通过发送ARP请求报文的方式进行确认,以防止攻击者伪造ARP报文修改正常用户的ARP表项内容。 设备提供三种ARP表项固化模式:fixed-all模式、fixed-mac模式和send-ack模式。 |
建议在网关设备上部署本功能 |
动态ARP检测 |
使能动态ARP检测DAI(Dynamic ARP Inspection)功能后,当设备收到ARP报文时,将此ARP报文的源IP、源MAC(Media Access Control)、收到ARP报文的接口及VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。 本功能仅适用于DHCP Snooping(Dynamic Host Configuration Protocol Snooping)场景。 |
建议在接入设备上部署本功能 |
免费ARP报文主动丢弃 |
使能免费ARP报文主动丢弃功能后,设备直接丢弃免费ARP报文,可以防止设备因收到大量伪造的免费ARP报文,错误地更新ARP表项,导致合法用户的通信流量发生中断。 |
建议在网关设备上部署本功能 |
ARP报文内MAC地址一致性检查 |
通过ARP报文内MAC地址一致性检查功能,可以防止以太网数据帧首部中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致的ARP欺骗攻击。 |
建议在网关设备上部署本功能 |
ARP表项严格学习 |
使能ARP表项严格学习功能后,只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备因收到伪造的ARP报文,错误地更新ARP表项,导致合法用户的通信流量发生中断。 |
建议在网关设备上部署本功能 |
受益
- 可以有效降低用户为保证网络正常运行和网络信息安全而产生的维护成本。
- 可以为用户提供更安全的网络环境和更稳定的网络服务。
