本文是一華為交換機(jī)防止同網(wǎng)段ARP欺騙攻擊配置案例 。
阻止仿冒網(wǎng)關(guān)IP的arp攻擊
1.1 二層交換機(jī)實(shí)現(xiàn)防攻擊
1.1.1 配置組網(wǎng)


圖1二層交換機(jī)防ARP攻擊組網(wǎng)S3552P是三層設(shè)備，其中IP：100.1.1.1是所有PC的網(wǎng)關(guān)，S3552P上的網(wǎng)關(guān)MAC地址為000f-e200-3999 。PC-B上裝有ARP攻擊軟件 ?，F(xiàn)在需要對(duì)S3026_A進(jìn)行一些特殊配置，目的是過(guò)濾掉仿冒網(wǎng)關(guān)IP的ARP報(bào)文 。
1.1.2; 配置步驟
對(duì)于二層交換機(jī)如S3026C等支持用戶自定義ACL（number為5000到5999）的交換機(jī)，可以配置ACL來(lái)進(jìn)行ARP報(bào)文過(guò)濾 。
全局配置ACL禁止所有源IP是網(wǎng)關(guān)的ARP報(bào)文
acl num; 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
其中rule0把整個(gè)S3026C_A的端口冒充網(wǎng)關(guān)的ARP報(bào)文禁掉，其中斜體部分64010101是網(wǎng)關(guān)IP地址100.1.1.1的16進(jìn)制表示形式 。Rule1允許通過(guò)網(wǎng)關(guān)發(fā)送的ARP報(bào)文，斜體部分為網(wǎng)關(guān)的mac地址000f-e200-3999 。
注意：配置Rule時(shí)的配置順序，上述配置為先下發(fā)后生效的情況 。
在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則：
[S3026C-A] packet-filter user-group 5000
這樣只有S3026C_A上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送網(wǎng)關(guān)的ARP報(bào)文，其它主機(jī)都不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報(bào)文 。
1.2; 三層交換機(jī)實(shí)現(xiàn)防攻擊
1.2.1 配置組網(wǎng)
圖2 三層交換機(jī)防ARP攻擊組網(wǎng)
1.2.2 防攻擊配置舉例
對(duì)于三層設(shè)備，需要配置過(guò)濾源IP是網(wǎng)關(guān)的ARP報(bào)文的ACL規(guī)則，配置如下ACL規(guī)則：
acl number 5000
rule 0 deny 0806 ffff 24 64010105 ffffffff 40
rule0禁止S3526E的所有端口接收冒充網(wǎng)關(guān)的ARP報(bào)文，其中斜體部分64010105是網(wǎng)關(guān)IP地址100.1.1.5的16進(jìn)制表示形式 。
2 仿冒他人IP的arp攻擊
作為網(wǎng)關(guān)的設(shè)備有可能會(huì)出現(xiàn)ARP錯(cuò)誤表項(xiàng)，因此在網(wǎng)關(guān)設(shè)備上還需對(duì)仿冒他人IP的ARP攻擊報(bào)文進(jìn)行過(guò)濾 。
如圖1所示，當(dāng)PC-B發(fā)送源IP地址為PC-D的arp reply攻擊報(bào)文，源mac是PC-B的mac (000d-88f8-09fa)，源ip是PC-D的ip(100.1.1.3)，目的ip和mac是網(wǎng)關(guān)（3552P）的，這樣3552上就會(huì)學(xué)習(xí)錯(cuò)誤的arp，如下所示：
---------------------; 錯(cuò)誤 arp 表項(xiàng) --------------------------------
IP Address;MAC Address;;VLAN ID; Port Name;;;;Aging Type
100.1.1.4;;000d-88f8-09fa1;;;;;Ethernet0/2;;20;Dynamic
100.1.1.3;;000f-3d81-45b41;;;;Ethernet0/2;;20;Dynamic
從網(wǎng)絡(luò)連接可以知道PC-D的arp表項(xiàng)應(yīng)該學(xué)習(xí)到端口E0/8上，而不應(yīng)該學(xué)習(xí)到E0/2端口上 。但實(shí)際上交換機(jī)上學(xué)習(xí)到該ARP表項(xiàng)在E0/2 。通過(guò)如下配置方法可以防止這類ARP的攻擊 。
一、在S3552上配置靜態(tài)ARP，可以防止該現(xiàn)象：
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
二、同理在圖2 S3526C上也可以配置靜態(tài)ARP來(lái)防止設(shè)備學(xué)習(xí)到錯(cuò)誤的ARP表項(xiàng) 。
三、對(duì)于二層設(shè)備（S3050C和S3026E系列），除了可以配置靜態(tài)ARP外，還可以配置IP＋MAC＋port綁定，比如在S3026C端口E0/4上做如下操作：
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
則IP為100.1.1.4并且MAC為000d-88f8-09fa的ARP報(bào)文可以通過(guò)E0/4端口，仿冒其它設(shè)備的ARP報(bào)文則無(wú)法通過(guò)，從而不會(huì)出現(xiàn)錯(cuò)誤ARP表項(xiàng) 。
【華為交換機(jī)防同網(wǎng)段ARP欺騙攻擊配置案例】上述配置案例中僅僅列舉了部分Quidway S系列以太網(wǎng)交換機(jī)的應(yīng)用 。在實(shí)際的網(wǎng)絡(luò)應(yīng)用中，請(qǐng)根據(jù)配置手冊(cè)確認(rèn)該產(chǎn)品是否支持用戶自定義ACL和地址綁定 。僅僅具有上述功能的交換機(jī)才能防止ARP欺騙 。

推薦閱讀

• 

  達(dá)高獸的海很可怕嗎?
• 

  如何查看我的微信支付分 查看支付分的方法
• 

  打方向的時(shí)候吱吱響怎么回事
• 

  微信公眾號(hào)如何在文章中掛廣告？
• 

  靜怡倩倩是哪部電視劇里的人物
• 

  豆角怎么做好吃
• 

  股票sw是什么意思的
• 

  戰(zhàn)地51060畫(huà)面設(shè)置分享 戰(zhàn)地51060畫(huà)面怎么設(shè)置流暢
• 

  本田10萬(wàn)左右的車有哪些好推薦的、2021款本田crv油耗實(shí)際多少
• 

  屬鼠女孩最吉利的名字有哪些？
• 

  什么情況下用跑鉛釣，下雨天能釣黃尾鲴嗎
• 

  塔聯(lián)怎么玩,apex英雄手游怎么設(shè)置簡(jiǎn)體中文
• 

  電視為什么會(huì)有廣告,關(guān)于電視的開(kāi)機(jī)廣告
• 

  袋裝螺螄粉屬于垃圾食品嗎
• 

  自制綁狗繩子圖解,怎么綁狗繩子圖解視頻
• 

  四大門宦創(chuàng)始人是誰(shuí)

• 手機(jī)被監(jiān)聽(tīng)如何解除
• 如何恢復(fù)出廠設(shè)置華為手機(jī)
• 華為kirin710f什么手機(jī)
• 華為應(yīng)用鎖背景怎么設(shè)置
• 華為手機(jī)怎樣恢復(fù)舊系統(tǒng)
• 華為相機(jī)iso什么意思
• 榮耀和華為的區(qū)別是什么？華為和榮耀性價(jià)比
• poe交換機(jī)8十2是什么意思
• 華為nova8屏幕多大
• 華為mate40pro屏幕是哪個(gè)廠家的