九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

管理員在部署網(wǎng)絡(luò)時，一般將與合法DHCP服務(wù)器直接或間接連接的接口設(shè)置為信任接口，其他接口設(shè)置為非信任接口，從而保證DHCP客戶端只能從合法的DHCP服務(wù)器獲取IP地址，私自架設(shè)的偽DHCP服務(wù)器無法為DHCP客戶端分配IP地址。

用來防范針對DHCP的一些攻擊

由于DHCP Server和DHCP Client之間沒有認(rèn)證機(jī)制，所以如果在網(wǎng)絡(luò)上隨意添加一臺DHCP服務(wù)器，它就可以為客戶端分配IP地址以及其他網(wǎng)絡(luò)參數(shù)。如果該DHCP服務(wù)器為用戶分配錯誤的IP地址和其他網(wǎng)絡(luò)參數(shù)，將會對網(wǎng)絡(luò)造成非常大的危害。

針對這種攻擊，在配置DHCP Snooping功能之后，管理員手工將連接DHCP Server的接口設(shè)置為Trust端口，實現(xiàn)IP的正常下發(fā)。而后續(xù)接入的攻擊者仿冒的DHCP Server默認(rèn)接口類型為Untrust，從Untrust接收到的DHCP Server應(yīng)答報文，交換機(jī)不會將其轉(zhuǎn)發(fā)，而直接丟棄。防止仿冒DHCP Server攻擊。

注：Untrust端口只攔截DHCP Server的應(yīng)答報文（Offer、ACK、NAK），不會阻攔Client的請求報文（Discovery、Request）

Untrust接口只能攔截虛假DHCP Server的報文，但不能夠定位DHCP Server仿冒者的位置，

使得網(wǎng)絡(luò)中仍然存在著安全隱患。

通過配置DHCP Server探測功能，DHCP Snooping設(shè)備將會檢查并在日志中記錄所有DHCP

回應(yīng)報文中攜帶的DHCP Server地址與接口等信息，此后網(wǎng)絡(luò)管理員可根據(jù)日志來判定網(wǎng)絡(luò)

中是否存在偽DHCP Server進(jìn)而對網(wǎng)絡(luò)進(jìn)行維護(hù)。

[Huawei]dhcp server detect------使能DHCP Server探測

非DHCP用戶可以靜態(tài)配置IP地址，如果此地址和當(dāng)前網(wǎng)絡(luò)中的DHCP Server或Client地址沖突，則會刷新當(dāng)前交換機(jī)的表項，存在危險性，所以可以在可能存在非法用戶接入的接口下執(zhí)行命令關(guān)閉該接口動態(tài)學(xué)習(xí)MAC表項的能力，并使設(shè)備可以根據(jù)DHCP Snooping綁定表、ND Snooping綁定表將從該接口動態(tài)學(xué)習(xí)到的Dynamic類型MAC表項轉(zhuǎn)換成Snooping類型MAC表項（也是一種靜態(tài)MAC表項）或者根據(jù)靜態(tài)綁定表直接生成Snooping類型MAC表項。之后，該接口收到的IP報文，只有在報文源MAC地址與靜態(tài)MAC表項（包括Static類型、Snooping類型等）相匹配的情況下才能夠通過該接口，否則報文會被丟棄，這樣可以有效防止非法MAC地址用戶的攻擊。

[Huawei]port-group  group-member  g0/0/1 to g0/0/24

[Huawei-port-group]user-bind ip sticky-mac

[Huawei-port-group]mac-address learning  disable----關(guān)閉所有接口動態(tài)學(xué)習(xí)MAC表項功能

注：如果存在靜態(tài)IP的合法用戶，使用靜態(tài)DHCP SNooping命令或靜態(tài)MAC表項配置配置靜態(tài)綁定表項：

[Huawei]user-bind static  ip-address 192.168.1.10 interface  g0/0/2 vlan 1

[Huawei]mac-address static 1111-1111-1111 g0/0/1 vlan  1

在DHCP網(wǎng)絡(luò)環(huán)境中，若存在DHCP用戶短時間內(nèi)向設(shè)備發(fā)送大量的DHCP報文，將會對設(shè)備的性能造成巨大的沖擊以致可能會導(dǎo)致設(shè)備無法正常工作。通過使能對DHCP報文上送DHCP報文處理單元的速率進(jìn)行檢測功能將能夠有效防止DHCP報文泛洪攻擊。

[Huawei-vlan1]dhcp snooping  check dhcp-rate enable---------使能對DHCP報文上送DHCP報文

處理單元的速率進(jìn)行檢測功能

[Huawei-vlan1]dhcp snooping  check dhcp-rate 100--------配置速率大?。≒PS）

注：速率上限限制可以在全局、VLAN下、接口下分別配置

[Huawei]dhcp snooping alarm dhcp-rate enable—開啟告警信息（只能配置在全局和接口下）

在DHCP網(wǎng)絡(luò)環(huán)境中：

① 若攻擊者仿冒合法用戶的DHCP Request報文發(fā)往DHCP Server，將會導(dǎo)致用戶的IP地址租約到期之后不能夠及時釋放，以致合法用戶無法使用該IP地址

② 若攻擊者仿冒合法用戶的DHCP Release報文發(fā)往DHCP Server，將會導(dǎo)致用戶異常下線。

在生成DHCP Snooping綁定表后，設(shè)備可根據(jù)綁定表項，對DHCP Request報文或DHCP Release報文進(jìn)行匹配檢查，只有匹配成功的報文設(shè)備才將其轉(zhuǎn)發(fā)，否則將丟棄。這將能有效的防止非法用戶通過發(fā)送偽造DHCP Request或DHCP Release報文冒充合法用戶續(xù)租或釋放IP地址。

注：默認(rèn)只匹配單播Request報文（續(xù)租）和Release報文，不會匹配廣播Request報文，因為廣播的Request報文用于第一次IP地址分配的請求信息，此時交換機(jī)還沒有生成此分配IP地址的DHCP Snooping表項，如果廣播Request也進(jìn)行匹配的話不會找到此DHCP Snooping表項，則認(rèn)為此為DHCP攻擊報文，所以在開啟防止仿冒DHCP報文攻擊功能后，值檢測單播Request報文和Release報文

[Huawei]dhcp snooping check dhcp-request enable  vlan 1---對當(dāng)前Vlan1的所有報文進(jìn)行DHCP Snooping表項的匹配

注：可以在全局下、VLAN下、接口下分別配置

[Huawei-GigabitEthernet0/0/1]dhcp snooping alarm dhcp-request enable---開啟告警信息（只能在接口下配置）

若在網(wǎng)絡(luò)中存在DHCP用戶惡意申請IP地址，將會導(dǎo)致IP地址池中的IP地址快速耗盡以致DHCP Server無法為其他合法用戶分配IP地址。另一方面，DHCP Server通常僅根據(jù)CHADDR（client hardware address）字段來確認(rèn)客戶端的MAC地址。如果攻擊者通過不斷改變DHCP Request報文中的CHADDR字段向DHCP Server申請IP地址，將會導(dǎo)致DHCP Server上的地址池被耗盡，從而無法為其他正常用戶提供IP地址。

為了防止某些端口的DHCP用戶惡意申請IP地址，可配置接口允許學(xué)習(xí)的DHCP Snooping綁定表項的最大個數(shù)來控制上線用戶的個數(shù)，當(dāng)用戶數(shù)達(dá)到該值時，則任何用戶將無法通過此接口成功申請到IP地址。為了防止攻擊者不斷改變DHCP Request報文中的CHADDR字段進(jìn)行攻擊，可使能檢測DHCP Request報文幀頭MAC地址與DHCP數(shù)據(jù)區(qū)中CHADDR字段是否相同的功能，相同則轉(zhuǎn)發(fā)報文，否則丟棄。

① 針對攻擊者發(fā)送大量的虛假DHCP Discovery報文請求IP地址，在交換機(jī)上開啟檢查CHADDR字段和源MAC是否相同，不相同則為拒絕服務(wù)攻擊報文，直接丟棄

   [Huawei]dhcp snooping  check dhcp-chaddr enable  vlan  1

    注：可配置在全局、接口、VLAN下

② 如果攻擊者發(fā)送的虛假DHCP Discovery報文源MAC和CHADDR相同，則無法檢測出是否為攻擊報文，可以在接入層交換機(jī)配置最大申請的IP地址數(shù)量（可為1） 

[Huawei]dhcp snooping  max-user-number  1

    注：可配置在全局、接口、VLAN下

DHCP Snooping設(shè)備在收到DHCP用戶發(fā)出的DHCP Release報文時將會刪除該用戶對應(yīng)的綁定表項，但若用戶發(fā)生了異常下線而無法發(fā)出DHCP Release報文時，DHCP Snooping設(shè)備將不能夠及時的刪除該DHCP用戶對應(yīng)的綁定表。

使能ARP與DHCP Snooping的聯(lián)動功能，如果DHCP Snooping表項中的IP地址對應(yīng)的ARP表項達(dá)到老化時間，則DHCP Snooping設(shè)備會對該IP地址進(jìn)行ARP探測，如果在規(guī)定的探測次數(shù)內(nèi)探測不到用戶，設(shè)備將刪除用戶對應(yīng)的ARP表項。之后，設(shè)備將會再次按規(guī)定的探測次數(shù)對該IP地址進(jìn)行ARP探測，如果最后仍不能夠探測到用戶，則設(shè)備將會刪除該用戶對應(yīng)的綁定表項。

注：只有設(shè)備作為DHCP Relay時，才支持ARP與DHCP Snooping的聯(lián)動功能

[Huawei]arp dhcp-snooping-detect enable

P源防攻擊IPSG（IP Source Guard）是一種基于二層接口的源IP地址過濾技術(shù)，它能夠防止惡意主機(jī)偽造合法主機(jī)的IP地址來仿冒合法主機(jī)，還能確保非授權(quán)主機(jī)不能通過自己指定IP地址的方式來訪問網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)。所以可以聯(lián)動IPSG（IP Source Grade）生成MAC轉(zhuǎn)發(fā)表項，對當(dāng)前網(wǎng)絡(luò)中的報文進(jìn)行檢測，不符合DHCP Snooping表項的數(shù)據(jù)包會被丟棄。

 [Huawei]vlan 1

[Huawei-vlan1]ip source check user-bind enable------------使能IP報文檢查功能

注：如果存在靜態(tài)IP的合法用戶，使用靜態(tài)DHCP SNooping命令配置靜態(tài)綁定表項：

[Huawei]user-bind static  ip-address 192.168.1.10 interface  g0/0/2 vlan 1

也叫拒絕服務(wù)攻擊DoS（Denial of Service），主要存在這樣兩種場景：

① 設(shè)備處理ARP報文和維護(hù)ARP表項都需要消耗系統(tǒng)資源，同時為了滿足ARP表項查詢效率的要求，一般設(shè)備都會對ARP表項規(guī)模有規(guī)格限制。攻擊者就利用這一點，通過偽造大量源IP地址變化的ARP報文，使得設(shè)備ARP表資源被無效的ARP條目耗盡，合法用戶的ARP報文不能繼續(xù)生成ARP條目，導(dǎo)致正常通信中斷。 

② 攻擊者利用工具掃描本網(wǎng)段主機(jī)或者進(jìn)行跨網(wǎng)段掃描時，會向設(shè)備發(fā)送大量目標(biāo)IP地址不能解析的IP報文，導(dǎo)致設(shè)備觸發(fā)大量ARP Miss消息，生成并下發(fā)大量臨時ARP表項，并廣播大量ARP請求報文以對目標(biāo)IP地址進(jìn)行解析，從而造成CPU（Central Processing Unit）負(fù)荷過重。

是指攻擊者通過發(fā)送偽造的ARP報文，惡意修改設(shè)備或網(wǎng)絡(luò)內(nèi)其他用戶主機(jī)的ARP表項，

造成用戶或網(wǎng)絡(luò)的報文通信異常。

ARP報文限速：

如果設(shè)備對收到的大量ARP報文全部進(jìn)行處理，可能導(dǎo)致CPU負(fù)荷過重而無法處理其他業(yè)務(wù)。因此，在處理之前，設(shè)備需要對ARP報文進(jìn)行限速，以保護(hù)CPU資源。

設(shè)備提供了如下幾類針對ARP報文的限速功能：

a)根據(jù)源MAC地址或源IP地址進(jìn)行ARP報文限速

b)針對全局、VLAN和接口的ARP報文限速

① 根據(jù)源MAC地址或源IP地址進(jìn)行ARP報文限速：

當(dāng)設(shè)備檢測到某一個用戶在短時間內(nèi)發(fā)送大量的ARP報文，可以針對該用戶配置基于源MAC地址或源IP地址的ARP報文限速。在1秒時間內(nèi)，如果該用戶的ARP報文數(shù)目超過設(shè)定閾值（ARP報文限速值），則丟棄超出閾值部分的ARP報文。

② 根據(jù)源MAC地址進(jìn)行ARP報文限速：

如果指定MAC地址，則針對指定源MAC地址的ARP報文根據(jù)限速值進(jìn)行限速；如果不指定MAC地址，則針對每一個源MAC地址的ARP報文根據(jù)限速值進(jìn)行限速。

③ 根據(jù)源IP地址進(jìn)行ARP報文限速：

如果指定IP地址，則針對指定源IP地址的ARP報文根據(jù)限速值進(jìn)行限速；如果不指定IP地址，則針對每一個源IP地址的ARP報文根據(jù)限速值進(jìn)行限速。

④ 針對全局、VLAN和接口的ARP報文限速：

設(shè)備支持在全局、VLAN和接口下配置ARP報文的限速值和限速時間，當(dāng)同時在全局、VLAN和接口下配置ARP報文的限速值和限速時間時，設(shè)備會先按照接口進(jìn)行限速，再按照VLAN進(jìn)行限速，最后按照全局進(jìn)行限速。

另外，在接口下還可以指定阻塞ARP報文的時間段。如果設(shè)備的某個接口在ARP報文限速時間內(nèi)接收到的ARP報文數(shù)目超過了設(shè)定閾值（ARP報文限速值），則丟棄超出閾值部分的ARP報文，并在接下來的一段時間內(nèi)（即阻塞ARP報文時間段）持續(xù)丟棄該接口下收到的所有ARP報文。

? 針對全局的ARP報文限速：在設(shè)備出現(xiàn)ARP攻擊時，限制全局處理的ARP報文數(shù)量。

? 針對VLAN的ARP報文限速：在某個VLAN內(nèi)的所有接口出現(xiàn)ARP攻擊時，限制處理收到的該VLAN內(nèi)的ARP報文數(shù)量，配置本功能可以保證不影響其他VLAN內(nèi)所有接口的ARP學(xué)習(xí)。

? 針對接口的ARP報文限速：在某個接口出現(xiàn)ARP攻擊時，限制處理該接口收到的ARP報文數(shù)量，配置本功能可以保證不影響其他接口的ARP學(xué)習(xí)。

ARP Miss消息限速：

如果網(wǎng)絡(luò)中有用戶向設(shè)備發(fā)送大量目標(biāo)IP地址不能解析的IP報文（即路由表中存在該IP報文的目的IP對應(yīng)的路由表項，但設(shè)備上沒有該路由表項中下一跳對應(yīng)的ARP表項），將導(dǎo)致設(shè)備觸發(fā)大量的ARP Miss消息。這種觸發(fā)ARP Miss消息的IP報文（即ARP Miss報文）會被上送到CPU進(jìn)行處理，設(shè)備會根據(jù)ARP Miss消息生成和下發(fā)大量臨時ARP表項并向目的網(wǎng)絡(luò)發(fā)送大量ARP請求報文，這樣就增加了設(shè)備CPU的負(fù)擔(dān)，同時嚴(yán)重消耗目的網(wǎng)絡(luò)的帶寬資源。 

為了避免這種IP報文攻擊所帶來的危害，設(shè)備提供了如下幾類針對ARP Miss消息的限速功能：

① 根據(jù)源IP地址進(jìn)行ARP Miss消息限速

② 針對全局、VLAN和接口的ARP Miss消息限速

③ 通過設(shè)定臨時ARP表項的老化時間控制ARP Miss消息的觸發(fā)頻率

④ 根據(jù)源IP地址進(jìn)行ARP Miss消息限速：

當(dāng)設(shè)備檢測到某一源IP地址的IP報文在1秒內(nèi)觸發(fā)的ARP Miss消息數(shù)量超過了ARP Miss消息限速值，就認(rèn)為此源IP地址存在攻擊。

此時如果設(shè)備對ARP Miss報文的處理方式是block方式，設(shè)備會丟棄超出限速值部分的ARP Miss消息，即丟棄觸發(fā)這些ARP Miss消息的ARP Miss報文，并下發(fā)一條ACL來丟棄該源IP地址的后續(xù)所有ARP Miss報文；如果是none-block方式，設(shè)備只會通過軟件限速的方式丟棄超出限速值部分的ARP Miss消息，即丟棄觸發(fā)這些ARP Miss消息的ARP Miss報文。

如果指定了IP地址，則針對指定源IP址的ARP Miss消息根據(jù)限速值進(jìn)行限速；如果不指定IP地址，則針對每一個IP地址的ARP Miss消息根據(jù)限速值進(jìn)行限速。

? 針對全局、VLAN和接口的ARP Miss消息限速

設(shè)備支持在全局、VLAN和接口下配置ARP Miss消息限速，有效順序為接口優(yōu)先，VLAN其次，最后為全局。

? 針對全局的ARP Miss消息限速：在設(shè)備出現(xiàn)目標(biāo)IP地址不能解析的IP報文攻擊時，限制全局處理的ARP Miss消息數(shù)量。

? 針對VLAN的ARP Miss消息限速：在某個VLAN內(nèi)的所有接口出現(xiàn)目標(biāo)IP地址不能解析的IP報文攻擊時，限制處理該VLAN內(nèi)報文觸發(fā)的ARP Miss消息數(shù)量，配置本功能可以保證不影響其他VLAN內(nèi)所有接口的IP報文轉(zhuǎn)發(fā)。

? 針對接口的ARP Miss消息限速：在某個接口出現(xiàn)目標(biāo)IP地址不能解析的IP報文攻擊時，限制處理該接口收到的報文觸發(fā)的ARP Miss消息數(shù)量，配置本功能可以保證不影響其他接口的IP報文轉(zhuǎn)發(fā)。

? 通過設(shè)定臨時ARP表項的老化時間控制ARP Miss消息的觸發(fā)頻率

當(dāng)IP報文觸發(fā)ARP Miss消息時，設(shè)備會根據(jù)ARP Miss消息生成臨時ARP表項，并且向目的網(wǎng)段發(fā)送ARP請求報文。

●  在臨時ARP表項老化時間范圍內(nèi)：

●  設(shè)備收到ARP應(yīng)答報文前，匹配臨時ARP表項的IP報文將被丟棄并且不會觸發(fā)ARP Miss消息。

●  設(shè)備收到ARP應(yīng)答報文后，則生成正確的ARP表項來替換臨時ARP表項。

●  當(dāng)老化時間超時后，設(shè)備會清除臨時ARP表項。此時如果設(shè)備轉(zhuǎn)發(fā)IP報文匹配不到對應(yīng)的ARP表項，則會重新觸發(fā)ARP Miss消息并生成臨時ARP表項，如此循環(huán)重復(fù)。

●  當(dāng)判斷設(shè)備受到攻擊時，可以增大臨時ARP表項的老化時間，減小設(shè)備ARP Miss消息的觸發(fā)頻率，從而減小攻擊對設(shè)備的影響。

 ARP表項嚴(yán)格學(xué)習(xí)：

如果大量用戶在同一時間段內(nèi)向設(shè)備發(fā)送大量ARP報文，或者攻擊者偽造正常用戶的ARP報文發(fā)送給設(shè)備，則會造成下面的危害：

●  設(shè)備因處理大量ARP報文而導(dǎo)致CPU負(fù)荷過重，同時設(shè)備學(xué)習(xí)大量的ARP報文可能導(dǎo)致設(shè)備ARP表項資源被無效的ARP條目耗盡，造成合法用戶的ARP報文不能繼續(xù)生成ARP條目，進(jìn)而導(dǎo)致用戶無法正常通信。

●  偽造的ARP報文將錯誤地更新設(shè)備的ARP表項，導(dǎo)致用戶無法正常通信。

為避免上述危害，可以在網(wǎng)關(guān)設(shè)備上部署ARP表項嚴(yán)格學(xué)習(xí)功能。ARP表項嚴(yán)格學(xué)習(xí)是指只有本設(shè)備主動發(fā)送的ARP請求報文的應(yīng)答報文才能觸發(fā)本設(shè)備學(xué)習(xí)ARP，其他設(shè)備主動向本設(shè)備發(fā)送的ARP報文不能觸發(fā)本設(shè)備學(xué)習(xí)ARP，這樣，可以拒絕大部分的ARP報文攻擊。

通常情況下，當(dāng)UserA向Gateway發(fā)送ARP請求報文后，Gateway會向UserA回應(yīng)ARP應(yīng)答報文，并且添加或更新UserA對應(yīng)的ARP表項。當(dāng)Gateway配置ARP表項嚴(yán)格學(xué)習(xí)功能以后：

●  對于Gateway收到UserA發(fā)送來的ARP請求報文，Gateway不添加也不更新UserA對應(yīng)的ARP表項。如果該請求報文請求的是Gateway的MAC地址，那么Gateway會向UserA回應(yīng)ARP應(yīng)答報文。

●  如果Gateway向UserB發(fā)送ARP請求報文，待收到與該請求對應(yīng)的ARP應(yīng)答報文后，Gateway會添加或更新UserB對應(yīng)的ARP表項。

ARP表項限制：

ARP表項限制功能應(yīng)用在網(wǎng)關(guān)設(shè)備上，可以限制設(shè)備的某個接口學(xué)習(xí)動態(tài)ARP表項的數(shù)目。默認(rèn)狀態(tài)下，接口可以學(xué)習(xí)的動態(tài)ARP表項數(shù)目規(guī)格與全局的ARP表項規(guī)格保持一致。當(dāng)部署完ARP表項限制功能后，如果指定接口下的動態(tài)ARP表項達(dá)到了允許學(xué)習(xí)的最大數(shù)目，將不再允許該接口繼續(xù)學(xué)習(xí)動態(tài)ARP表項，以保證當(dāng)一個接口所接入的某一用戶主機(jī)發(fā)起ARP攻擊時不會導(dǎo)致整個設(shè)備的ARP表資源都被耗盡。

禁止接口學(xué)習(xí)ARP表項：

當(dāng)某接口下學(xué)習(xí)了大量動態(tài)ARP表項時，出于安全考慮可以配置禁止該接口的動態(tài)ARP表項學(xué)習(xí)功能，以防止該接口下所接入的用戶主機(jī)發(fā)起ARP攻擊使整個設(shè)備的ARP表資源都被耗盡。

禁止接口學(xué)習(xí)ARP表項功能和ARP表項嚴(yán)格學(xué)習(xí)功能配合起來使用，可以使設(shè)備對接口下動態(tài)ARP的學(xué)習(xí)進(jìn)行更加細(xì)致的控制。

ARP表項固化：

如圖1所示，Attacker仿冒UserA向Gateway發(fā)送偽造的ARP報文，導(dǎo)致Gateway的ARP表中記錄了錯誤的UserA地址映射關(guān)系，造成UserA接收不到正常的數(shù)據(jù)報文。 

為了防御這種欺騙網(wǎng)關(guān)攻擊，可以在網(wǎng)關(guān)設(shè)備上部署ARP表項固化功能。網(wǎng)關(guān)設(shè)備在第一次學(xué)習(xí)到ARP以后，不再允許用戶更新此ARP表項或只能更新此ARP表項的部分信息，或者通過發(fā)送單播ARP請求報文的方式對更新ARP條目的報文進(jìn)行合法性確認(rèn)。

設(shè)備提供的三種ARP表項固化模式：

●  fixed-all模式：

如果設(shè)備收到的ARP報文中的MAC地址、接口或VLAN信息和ARP表中的信息不匹配，則直接丟棄該ARP報文。此模式適用于用戶MAC地址固定，并且用戶接入位置相對固定的場景。 

●  fixed-mac模式：

如果設(shè)備收到的ARP報文中的MAC地址與ARP表中對應(yīng)條目的MAC地址不匹配，則直接丟棄該ARP報文；如果匹配，但是收到報文的接口或VLAN信息與ARP表中對應(yīng)條目不匹配，則可以更新對應(yīng)ARP條目中的接口和VLAN信息。此模式適用于用戶MAC地址固定，但用戶接入位置頻繁變動的場景。 

●  send-ack模式：

●  如果設(shè)備收到的ARP報文A涉及ARP表項MAC地址、接口或VLAN信息的修改，設(shè)備不會立即更新ARP表項，而是先向待更新的ARP表項現(xiàn)有MAC地址對應(yīng)的用戶發(fā)送一個單播的ARP請求報文進(jìn)行確認(rèn)。

●  如果在隨后的3秒內(nèi)設(shè)備收到ARP應(yīng)答報文B，且當(dāng)前ARP條目中的IP地址、MAC地址、接口和VLAN信息與ARP應(yīng)答報文B的一致，則認(rèn)為ARP報文A為攻擊報文，不更新該ARP條目。

●  如果在隨后的3秒內(nèi)設(shè)備未收到ARP應(yīng)答報文，或者收到ARP應(yīng)答報文B與當(dāng)前ARP條目中的IP地址、MAC地址、接口和VLAN信息不一致，設(shè)備會再向剛才收到的ARP報文A對應(yīng)的源MAC發(fā)送一個單播ARP請求報文。

●  如果在隨后的3秒內(nèi)收到ARP應(yīng)答報文C，且ARP報文A與ARP應(yīng)答報文C的源IP地址、源MAC地址、接口和VLAN信息一致，則認(rèn)為現(xiàn)有ARP條目已經(jīng)無效且ARP報文A是可以更新該ARP條目的合法報文，并根據(jù)ARP報文A來更新該ARP條目。

●  如果在隨后的3秒內(nèi)未收到ARP應(yīng)答報文，或者ARP報文A與收到的ARP應(yīng)答報文C的源IP地址、源MAC地址、接口和VLAN信息不一致，則認(rèn)為ARP報文A為攻擊報文，設(shè)備會忽略收到的ARP報文A，ARP條目不會更新。

此模式適用于用戶的MAC地址和接入位置均頻繁變動的場景。

動態(tài)ARP檢測：

網(wǎng)絡(luò)中針對ARP的攻擊層出不窮，中間人攻擊是常見的ARP欺騙攻擊方式之一。

如圖1所示，是中間人攻擊的一個場景。攻擊者主動向UserA發(fā)送偽造UserB的ARP報文，導(dǎo)致UserA的ARP表中記錄了錯誤的UserB地址映射關(guān)系，攻擊者可以輕易獲取到UserA原本要發(fā)往UserB的數(shù)據(jù)；同樣，攻擊者也可以輕易獲取到UserB原本要發(fā)往UserA的數(shù)據(jù)。這樣，UserA與UserB間的信息安全無法得到保障。

為了防御中間人攻擊，可以在Switch上部署動態(tài)ARP檢測DAI（Dynamic ARP Inspection）功能。

動態(tài)ARP檢測是利用綁定表來防御中間人攻擊的。當(dāng)設(shè)備收到ARP報文時，將此ARP報文對應(yīng)的源IP、源MAC、VLAN以及接口信息和綁定表的信息進(jìn)行比較，如果信息匹配，說明發(fā)送該ARP報文的用戶是合法用戶，允許此用戶的ARP報文通過，否則就認(rèn)為是攻擊，丟棄該ARP報文。

注：動態(tài)ARP檢測功能僅適用于DHCP Snooping場景。設(shè)備使能DHCP Snooping功能后，當(dāng)DHCP用戶上線時，設(shè)備會自動生成DHCP Snooping綁定表；對于靜態(tài)配置IP地址的用戶，設(shè)備不會生成DHCP Snooping綁定表，所以需要手動添加靜態(tài)綁定表。

當(dāng)Switch上部署動態(tài)ARP檢測功能后，如果攻擊者連接到Switch并試圖發(fā)送偽造的ARP報文，Switch會根據(jù)綁定表檢測到這種攻擊行為，對該ARP報文進(jìn)行丟棄處理。如果Switch上同時使能了動態(tài)ARP檢測丟棄報文告警功能，則當(dāng)ARP報文因不匹配綁定表而被丟棄的數(shù)量超過了告警閾值時，Switch會發(fā)出告警通知管理員。

 ARP防網(wǎng)關(guān)沖突：

如圖1所示，用戶主機(jī)直接接入網(wǎng)關(guān)，Attacker將偽造網(wǎng)關(guān)的ARP報文發(fā)送給UserA和UserB，使UserA和UserB誤以為攻擊者即為網(wǎng)關(guān)。UserA和UserB的ARP表中會記錄錯誤的網(wǎng)關(guān)地址映射關(guān)系，這樣就會把發(fā)往網(wǎng)關(guān)的流量均發(fā)送給了攻擊者，攻擊者可輕易竊聽到UserA和UserB發(fā)送的數(shù)據(jù)內(nèi)容。

為了防范攻擊者仿冒網(wǎng)關(guān)，可以在網(wǎng)關(guān)設(shè)備上使能ARP防網(wǎng)關(guān)沖突功能。當(dāng)設(shè)備收到的ARP報文存在下列情況之一：

●  ARP報文的源IP地址與報文入接口對應(yīng)的VLANIF接口的IP地址相同

●  ARP報文的源IP地址是入接口的虛擬IP地址，但ARP報文源MAC地址不是VRRP虛MAC

注：一個VRRP備份組，被當(dāng)作一個共享局域網(wǎng)內(nèi)主機(jī)的缺省網(wǎng)關(guān)，即虛擬交換機(jī)。一個虛擬交換機(jī)擁有一個VRRP虛MAC，VRRP虛MAC根據(jù)虛擬交換機(jī)ID生成，格式為：00-00-5E-00-01-{VRID}(VRRP)。當(dāng)虛擬交換機(jī)回應(yīng)ARP請求時，使用的是VRRP虛MAC地址，而不是接口的真實MAC地址。

設(shè)備就認(rèn)為該ARP報文是與網(wǎng)關(guān)地址沖突的ARP報文，設(shè)備將生成ARP防攻擊表項，并在后續(xù)一段時間內(nèi)丟棄該接口收到的同VLAN以及同源MAC地址的ARP報文，這樣可以防止與網(wǎng)關(guān)地址沖突的ARP報文在VLAN內(nèi)廣播。此時，還可以在設(shè)備上使能發(fā)送免費ARP報文功能，通過廣播發(fā)送正確的免費ARP報文到所有用戶，迅速將已經(jīng)被攻擊的用戶記錄的錯誤網(wǎng)關(guān)地址映射關(guān)系修改正確。

發(fā)送免費ARP報文：

如圖1所示，Attacker仿冒網(wǎng)關(guān)向UserA發(fā)送了偽造的ARP報文，導(dǎo)致UserA的ARP表中記錄了錯誤的網(wǎng)關(guān)地址映射關(guān)系，從而正常的數(shù)據(jù)不能被網(wǎng)關(guān)接收。

為了避免上述危害，可以在網(wǎng)關(guān)設(shè)備上部署發(fā)送免費ARP報文功能，定期更新用戶的ARP表項，使得用戶ARP表項中記錄的是正確的網(wǎng)關(guān)MAC地址。

ARP報文內(nèi)MAC地址一致性檢查：

ARP報文內(nèi)MAC地址一致性檢查功能主要應(yīng)用于網(wǎng)關(guān)設(shè)備上，可以防御以太網(wǎng)數(shù)據(jù)幀首部中的源/目的MAC地址和ARP報文中的源/目的MAC地址不同的ARP攻擊。

部署本功能后，網(wǎng)關(guān)設(shè)備在進(jìn)行ARP學(xué)習(xí)前將對ARP報文進(jìn)行檢查。如果以太網(wǎng)數(shù)據(jù)幀首部中的源/目的MAC地址和ARP報文中的源/目的MAC地址不同，則認(rèn)為是攻擊報文，將其丟棄；否則，繼續(xù)進(jìn)行ARP學(xué)習(xí)。

ARP報文合法性檢查：

ARP報文合法性檢查功能可以部署在接入設(shè)備或網(wǎng)關(guān)設(shè)備上，用來對MAC地址和IP地址不合法的報文進(jìn)行過濾。設(shè)備支持以下三種可以任意組合的檢查。

●  源MAC地址檢查：

設(shè)備會檢查ARP報文中的源MAC地址和以太網(wǎng)數(shù)據(jù)幀首部中的源MAC地址是否一致，一致則認(rèn)為合法，否則丟棄報文；

●  目的MAC地址檢查：

設(shè)備會檢查ARP應(yīng)答報文中的目的MAC地址是否和以太網(wǎng)數(shù)據(jù)幀首部中的目的MAC地址一致，一致則認(rèn)為合法，否則丟棄報文；

●  IP地址檢查：

設(shè)備會檢查ARP報文中的源IP和目的IP地址，全0、全1、或者組播IP地址都是不合法的，需要丟棄。對于ARP應(yīng)答報文，源IP和目的IP地址都進(jìn)行檢查；對于ARP請求報文，只檢查源IP地址。 

DHCP觸發(fā)ARP學(xué)習(xí)：

在DHCP用戶場景下，當(dāng)DHCP用戶數(shù)目很多時，設(shè)備進(jìn)行大規(guī)模ARP表項的學(xué)習(xí)和老化會對設(shè)備性能和網(wǎng)絡(luò)環(huán)境形成沖擊。

為了避免此問題， 可以在網(wǎng)關(guān)設(shè)備上部署DHCP觸發(fā)ARP學(xué)習(xí)功能。當(dāng)DHCP服務(wù)器給用戶分配了IP地址，網(wǎng)關(guān)設(shè)備會根據(jù)VLANIF接口上收到的DHCP ACK報文直接生成該用戶的ARP表項。該功能生效的前提是使能DHCP Snooping功能。

網(wǎng)關(guān)設(shè)備上還可同時部署動態(tài)ARP檢測功能，防止DHCP用戶的ARP表項被偽造的ARP報文惡意修改。

球分享