正文
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。
会造成网络连接不稳定,引发用户通信中断;或者利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。
什么是ARP
动态ARP
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。
2.Router_1收到ARP请求报文后,将该ARP请求报文在同一广播域内转发。
静态ARP
免费ARP
免费ARP有如下作用:
l 在VRRP备份组中用来通告主备发生变换:发生主备变换后,MASTER设备会广播发送一个免费ARP报文来通告发生了主备变换。
什么是ARP安全?
了解了ARP基本工作原理之后,再来看看如何保障ARP安全。
在网络中,常见的ARP攻击方式主要包括:
??ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景:
??ARP欺骗攻击,是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。
ARP安全应用场景
防ARP泛洪攻击:局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。
当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。如下图:
为了避免上述危害,可以在网关设备上部署防ARP泛洪攻击功能,包括ARP报文限速功能、ARP Miss消息限速功能、ARP表项严格学习功能以及ARP表项限制功能。
??部署ARP报文限速功能后,Gateway会对收到的ARP报文进行数量统计,如果在一定时间内,ARP报文的数量超出了配置的阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文,这样可以防止设备因处理大量ARP报文造成CPU负荷过重。
??部署ARP表项严格学习功能后,Gateway仅仅学习自己发送的ARP请求报文的应答报文,并不学习其它设备主动向Gateway发送的ARP报文,这样可以防止Gateway因学习大量ARP报文而导致ARP表项资源被无效的ARP条目耗尽。
??部署ARP表项限制功能后,Gateway会对各个接口学习动态ARP表项的数目进行限制。当指定接口下的动态ARP表项达到允许学习的最大数目后,将不允许新增动态ARP表项,这样可以防止一个接口所接入的某一用户主机发起ARP攻击而导致整个设备的ARP表资源都被耗尽。
防ARP欺骗攻击
局域网中UserA、UserB、UserC等用户通过Switch接入连接到Gateway访问Internet。
正常情况下,UserA、UserB、UserC上线之后,通过相互之间交互ARP报文,UserA、UserB、UserC和Gateway上都会创建相应的ARP表项。此时,如果有攻击者通过在广播域内发送伪造的ARP报文,篡改Gateway或者UserA、UserB、UserC上的ARP表项,攻击者可以轻而易举地窃取UserA、UserB、UserC的信息或者阻碍UserA、UserB、UserC正常访问网络。
为了避免上述危害,可以在网关设备上部署防ARP欺骗攻击功能,包括ARP表项固化功能、ARP表项严格学习功能、发送免费ARP报文等功能。
??部署ARP表项固化功能后,Gateway在第一次学习到ARP之后,不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息,或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认,这样可以防止攻击者伪造ARP报文修改网关上其他用户的ARP表项。
??部署ARP表项严格学习功能后,Gateway仅仅学习自己向UserA、UserB或UserC发送的ARP请求报文的应答报文,不学习攻击者主动向Gateway发送的ARP报文,并且不允许攻击者主动发送的ARP报文更新Gateway上现有的ARP条目,这样可以防止攻击者冒充其他用户修改网关上对应的ARP表项。
扫描二维码
获取更多精彩
网络工程师
