ARP安全解决方案


ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。
ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。

ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。
在网络中,常见的ARP攻击方式主要包括:

ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景:

1.设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。
攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。

2.攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。

ARP欺骗攻击,是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。

ARP攻击行为存在以下危害:

会造成网络连接不稳定,引发用户通信中断。
利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。
为了避免上述ARP攻击行为造成的各种危害,可以部署ARP安全特性。

受益

可以有效降低用户为保证网络正常运行和网络信息安全而产生的维护成本。 可以为用户提供更安全的网络环境和更稳定的网络服务。

ARP安全解决方案

ARP安全针对泛洪攻击的解决方案

现象 判断依据 可部署防攻击功能 功能说明 部署设备
  • 用户上网慢、用户掉线、频繁断网、无法上网、业务中断
  • 设备CPU占用率较高,无法正常学习部分ARP、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪
  • Ping有时延、丢包或不通
  • 通过命令 display cpu-defend statistics packet-type { arp-request | arp-reply } all 查看发现ARP报文丢弃很多。
  • 设备有ARP报文速率超速日志或告警。
ARP报文限速 通过ARP报文限速功能,可以防止设备因处理大量ARP报文,导致CPU负荷过重而无法处理其他业务。 建议在网关设备上部署本功能
  • 通过命令 display cpu-defend statistics packet-type arp-miss all 查看发现ARP报文丢弃很多。
  • 设备有ARP Miss消息速率超速日志或告警。
ARP Miss消息限速 防止设备收到大量目的IP不能解析的IP报文,触发大量ARP Miss消息,导致CPU负荷过重。 建议在网关设备上部署本功能
通过获取报文等手段发现设备收到大量目的地址是本设备IP地址的ARP请求报文。 ARP优化应答 堆叠系统的备/从交换机直接回复ARP应答报文,提高防御ARP防洪攻击的能力。 建议在堆叠系统上部署本功能
通过命令 display cpu-defend statistics packet-type { arp-request | arp-reply } all 查看发现ARP报文丢弃很多。 ARP表项严格学习 只有本设备主动发送的ARP请求的应答报文才能触发ARP学习,防止设备受到ARP攻击。 建议在网关设备上部署本功能
ARP表项限制 限制接口学习最大动态ARP表项数,防止ARP表资源被耗尽。 建议在网关设备上部署本功能
禁止接口学习ARP表项 禁止接口学习ARP表项,防止ARP表资源耗尽。 建议在网关设备上部署本功能

ARP安全针对欺骗攻击的解决方案

现象

判断依据

可部署防攻击功能

功能说明

部署设备

  • 用户掉线、频繁断网、无法上网、业务中断
  • Ping丢包或不通

通过命令display arp all查看发现设备的用户ARP表被改变。

ARP表项固化

使能ARP表项固化功能后,设备在第一次学习到ARP之后,不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息,或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认,以防止攻击者伪造ARP报文修改正常用户的ARP表项内容。

设备提供三种ARP表项固化模式:fixed-all模式、fixed-mac模式和send-ack模式。

建议在网关设备上部署本功能

  • 用户上网慢
  • Ping有时延、丢包

查看用户ARP表项,发现与本用户通信的对方用户ARP表被改变。

动态ARP检测

使能动态ARP检测DAI(Dynamic ARP Inspection)功能后,当设备收到ARP报文时,将此ARP报文的源IP、源MAC、收到ARP报文的接口及VLAN信息和DHCP Snooping绑定表的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。

本功能仅适用于DHCP Snooping场景。

建议在接入设备上部署本功能

说明:

当网关设备上部署了DHCP触发ARP学习功能时,则可以在网关设备上部署本功能。

  • 用户掉线、频繁断网、无法上网、业务中断
  • 设备托管、下挂设备掉线、网关冲突
  • Ping丢包或不通
  • 查看用户ARP表项,发现网关ARP表被改变。

  • 设备有网关冲突日志或告警

ARP防网关冲突

通过ARP防网关冲突功能,可以防止用户仿冒网关发送ARP报文,非法修改网络内其他用户的ARP表项。

建议在网关设备上部署本功能

  • 用户上网慢、用户掉线、频繁断网、无法上网、业务中断
  • Ping有时延、丢包或不通

查看用户ARP表项,发现与本用户通信的网关或对方用户ARP表被改变。

发送免费ARP报文

使能发送免费ARP报文功能后,设备作为网关,主动向用户发送以自己IP地址为目标IP地址的ARP请求报文,定时更新用户ARP表项的网关MAC地址,防止用户的报文不能正常的转发到网关或者被恶意攻击者窃听。

建议在网关设备上部署本功能

  • 用户上网慢、用户掉线、频繁断网、无法上网、业务中断
  • 设备托管、下挂设备掉线、网关冲突
  • Ping有时延、丢包或不通

通过命令display arp all查看发现设备的用户ARP表被改变。

ARP报文内MAC地址一致性检查

通过ARP报文内MAC地址一致性检查功能,可以防止以太网数据帧首部中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致的ARP欺骗攻击。

建议在网关设备上部署本功能

通过获取报文等手段发现有不合法报文进行ARP欺骗攻击。

ARP报文合法性检查

使能ARP报文合法性检查功能后,设备会对MAC地址和IP地址不合法的报文进行过滤。设备提供三种检查模式:源MAC地址、目的MAC地址和IP地址检查模式。

建议在网关设备或接入设备上部署本功能

通过命令display arp all查看发现设备的用户ARP表被改变。

ARP表项严格学习

使能ARP表项严格学习功能后,只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备因收到伪造的ARP报文,错误地更新ARP表项,导致合法用户的通信流量发生中断。

建议在网关设备上部署本功能

  • 用户上网慢、用户掉线、频繁断网、无法上网、业务中断
  • Ping有时延、丢包或不通

DHCP Snooping场景中,查看用户ARP表项,发现与本用户通信的对方用户ARP表被改变。

DHCP触发ARP学习

使能DHCP触发ARP学习功能后,设备根据收到的DHCP ACK报文直接生成ARP表项。当DHCP用户数目很大时,可以避免大规模ARP表项的学习和老化对设备性能和网络环境形成的冲击。

此时设备上还可同时部署动态ARP检测功能,防止DHCP用户的ARP表项被伪造的ARP报文恶意修改。

建议在网关设备上部署本功能

安全