|
2006-12-04, 04:38 PM | #1 |
注册日期: 2003-10-22
帖子: 11,053
积分:6
精华:24
现金:14348金币
资产:29325305金币
|
【转贴】华为客服给我的有关arp攻击防范的解决案例
主要手段是通过user-acl禁止非上联设备的所有arp响应报文,这个感觉比发现一个中毒机器就在二层上封禁一个的手段要好一些,而且有效的解决了因为单板遇到错误太多导致单板复位的问题 内容提要: 1.2.2 防攻击配置举例 对于三层设备,需要配置过滤源IP是网关的arp报文的acl规则,配置如下acl规则: ACL num 5000 rule 0 deny 0806 ffff 24 64010105 ffffffff 40 rule0目的:把所有3526E端口冒充网关的ARP报文禁掉,其中蓝色部分64010105是网关ip地址的16进制表示形式:100.1.1.5=64010105。 2 仿冒他人IP的arp攻击 作为网关的设备有可能会出现arp错误表项,在网关设备上还需对仿冒他人IP的arp攻击报文进行过滤。 如图1,当PC-B发送PC-D的arp的reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学错arp,如下: --------------------- 错误 arp 表项 -------------------------------- IP Address MAC Address VLAN ID Port Name Aging Type 100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic 100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic PC-D的arp表项应该学习到端口e0/8上,而不应该学习到e0/2端口上。 ①在3552上配置静态arp,可以防止该现象: arp static 100.1.1.3 000f-3d81-45b4 1 e0/8 ②同理,在图2中,也可以配置静态arp来防止设备学习到错误的arp表项。 ③对于二层设备(3050和3026系列),除了可以配置静态arp外,还可以配置IP+mac+port绑定,比如在3026C端口4上作如下操作: am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4,则ip为100.1.1.4并且mac为000d-88f8-09fa的arp报文可以通过e0/4端口,仿冒其它设备arp报文无法通过,从而不会出现错误arp表项。 详细内容请见下面压缩包内的文档
|
|