ARP安全.docx

介绍定义ARP（Address Resolution Protocol ）安全是针对ARP攻击的一种安全特性，通过ARP严格学习、动态ARP检测、ARP表项保护和ARP报文速率限制等措施来保证网络设备的安全性。不仅能够防范针对ARP协议的攻击，还可以防范网段扫描攻击等基于ARP协议的攻击。目的在网络中，常见的ARP攻击方式主要包含： ARP欺骗攻击ARP欺骗指攻击者通过发送伪造的ARP报文，恶意修改设备或网络内其他主机的ARP表项，造成用户或网络的报文转发异常。ARP泛洪攻击ARP泛洪攻击也叫拒绝服务攻击（Denial of Service），攻击者向设备发送大量虚假的ARP请求报文或免费报文，造成设备上的ARP表项溢出，无法缓存正常用户的ARP表项，从而阻碍正常的报文转发。为了能够有效的防范ARP欺骗攻击和ARP泛洪攻击，通过ARP安全配置不仅可以防止针对ARP协议的攻击，还可以防止基于ARP协议的攻击。ARP安全主要应用如下表所示： 表1 ARP安全针对不同攻击类型的解决方法攻击类型防攻击功能功能说明保护对象ARP欺骗严格学习ARP表项设备仅仅学习自己发送的ARP请求报文的应答报文，并不学习其它设备发送的ARP请求报文，即可以拒绝掉大部分的ARP请求和应答报文攻击。 通过防ARP欺骗功能，能有效的预防黑客运用修改ARP报文的手段攻击网络，保证通信网络的正常运行。ARP防地址欺骗设备在第一次学习到ARP以后，不再允许其他用户更新ARP表项或只能更新此ARP表项的部分信息，以防止攻击者伪造ARP报文替换正常用户的ARP表项内容。设备提供三种ARP防御模式：fixed-all模式、fixed-mac模式和send-ack模式。动态ARP检测当设备收到ARP报文时，将此ARP报文中的源IP、源MAC、端口、VLAN信息和DHCP Snooping绑定表的信息进行比较，如果信息匹配，说明是合法用户，则允许此用户的ARP报文通过，否则认为是攻击，丢弃该ARP报文。防ARP网关冲突通过使能防ARP网关冲突功能，防止用户仿冒网关IP，非法修改网关和网络内其他用户的ARP表项。ARP泛洪ARP报文抑制通过使能ARP报文源抑制或ARP报文速率抑制功能，防止设备因收到大量ARP报文而导致设备忙于进行ARP学习和ARP响应，而无法处理其他业务。通过对ARP报文的抑制，降低了CPU运行负担，保证通信设备的正常运行。ARP防IP报文攻击通过使能ARP Miss消息源抑制或ARP Miss消息速率抑制功能，防止设备因收到大量目的IP不能解析的IP报文，而无法处理其他业务。丢弃免费ARP报文通过使能丢弃免费ARP报文功能，使设备默认不学习免费ARP报文。防止设备因收到大量免费ARP报文，而导致设备不能正常处理合法的ARP报文。受益设备具有防御网络上ARP攻击的能力，降低用户为保证网络正常运行和网络信息安全而产生的维护成本。 为用户提供更安全的网络环境，更稳定的网络服务。ARP报文抑制收到大量ARP报文可能导致设备忙于进行ARP学习和ARP响应，无法处理其它业务，因此需要对ARP报文进行抑制，以保护CPU资源。为了防止大量ARP报文对CPU进行冲击。设备提供了ARP报文抑制功能：ARP报文源抑制：当设备检测到某一个用户在短时间内发送大量的ARP报文，可以通过对这个用户的ARP源抑制来保护设备的CPU资源，保证CPU可以正常处理业务。在一段时间内，如果设备收到某一源IP地址或者源MAC的ARP报文数目超过设定阈值（抑制速率），则不处理超出阈值部分的ARP请求报文。ARP报文的源MAC地址抑制：如果指定MAC地址，则基于指定MAC地址限速；如果不指定MAC地址，则所有源MAC地址的ARP报文均限速。ARP报文的源IP地址抑制：如果指定IP地址，则基于指定IP地址限速；如果不指定IP地址，则所有源IP地址的ARP报文均限速。ARP报文速率抑制：设备提供基于全局、端口、VLAN对ARP报文速率进行抑制的功能，从而保护设备的CPU资源，保证其他业务的正常运行。在全局、VLAN和接口下配置ARP报文的限速值和限速时间时，有效的顺序为接口优先，VLAN其次，最后为全局。基于全局的ARP报文速率抑制：在设备出现ARP攻击时，限制上送主控板的ARP报文。基于端口的ARP报文速率抑制：在某个端口出现ARP攻击时，可以保证不影响其他端口的ARP学习。基于VLAN的ARP报文速率抑制：在某个VLAN内的所有端口出现ARP攻击时，可以保证不影响其他VLAN内所有端口的ARP学习。ARP Miss报文抑制如果路由表中存在某个报文的目的IP对应的路由表项，但设备上没有该下一跳对应的ARP表项，则该报文会引发一次ARP-MISS，引发ARP-MISS的报文需要上送主控板进行处理。如果这样