ARP防攻击命令手册

xiaoyu87072
3 ℃
2020-01-11

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

ARP防攻击命令手册第1页,共10页ARP防攻击命令手册ARP防攻击命令手册第2页,共10页目录1简介...............................................................................................................................31.1概述.......................................................................................................................31.2ARP洪攻击和欺骗.................................................................................................31.2.1ARP洪攻击简述...........................................................................................31.2.2ARP防洪攻击简述.......................................................................................31.2.3ARP欺骗简述...............................................................................................31.2.4ARP防欺骗...................................................................................................42配置ARP.........................................................................................................................53典型配置.....................................................................................................................10ARP防攻击命令手册第3页,共10页1简介1.1概述ARP（AddressResolutionProtocol），即地址解析协议，基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。1.2ARP洪攻击和欺骗1.2.1ARP洪攻击简述由于ARP协议的缺陷，通常的网络设备对ARP的请求都会做检测处理，来决定丢弃或响应，这样就给攻击者一个漏洞，只要在网内制造大量的ARP请求包来请求网关地址，网关接受到ARP请求后会做出响应，由于请求量非常大，极大的耗费了网关的CPU，导致网关工作故障，且网内物理线路上被大量的ARP垃圾报文占用，导致网络拥塞，甚至瘫痪，这是典型的ARP洪攻击。1.2.2ARP防洪攻击简述目前对ARP防攻击的技术主要是针对攻击源做限制，网关设备设置ARP防攻击阈值，当某一时间段内网关设备接收到的ARP报文超过阈值时，即记录下该源MAC地址，对该MAC进行限制，阻断一定的时间（通常为60秒），阻断时间内不对该源所发的ARP包进行任何处理（不响应，不转发），直接丢弃，以保证网络通畅。1.2.3ARP欺骗简述ARP防攻击命令手册第4页,共10页与ARP洪攻击有所区别，ARP欺骗是通过伪造IP-MAC映射来对网关或网内主机造成攻击的，但ARP欺骗同样可以造成网络瘫痪。造成ARP欺骗攻击的原因，同样是由于ARP本身协议的缺陷，协议规定本地的ARP列表必须定时更新，当收到ARP响应包时，如果有此项列表信息则进行刷新，如果无此项列表信息，则进行记录。攻击者利用这个特点，构造大量的错误的ARP响应包，以网关为例，网关的IP-MAC是网内主机所必须的，不然无法正常通信，攻击者向往内广播大量的ARP响应包，携带错误的网关IP-MAC映射，使得网内主机接收到后更新本地ARP表，由于更新的列表信息中网关信息是错误的，所以导致网络瘫痪。1.2.4ARP防欺骗1.关闭ARP学习，使用ip-mac绑定功能一般网络设备都是默认启用ARP学习，关闭后设备将不会自动刷新ARP表，每一条信息都需要手动添加，只要是不匹配IP-MAC绑定表的报文都将被丢弃。本设备对每个与ip-mac绑定功能冲突而丢弃的包，会产生系统日志。由于MAC地址和IP地址的绑定关系由操作员静态手工配置。适用于信息点不多、规模不大的静态地址环境下。2.发送免费报文发送免费报文原理与欺骗原理类似，免费ARP报文就是广播正确的ARP信息，使得收到此报文的主机强制学习，以防止被欺骗。另外，免费报文还有另一个作用，就是防止网内主机IP冲突。本设备支持ARP自定义发包和保护端口的设置，自定义发包就是可以自定义ARP报文，可以定义报文类型，发包数量和频率等信息；保护端口即为设置主动广播ARP广播报文的端口，并且可以设置免费报文内容，使之不仅仅只广播网关自己的IP-MAC，同样可以对网内任何主机进行保护，防止攻击者针对该主机的攻击。ARP防攻击命令手册第5页,共10页2配置ARP命令[no]anti-arpbroadcastinterfaceNAME使用模式配置模式(config)#功能[取消]配置添加保护列表，使得设备在接口NAME发送本接口的免费ARP报文参数解释NAME：接口名称命令[no]anti-arpbroadcastinterfaceNAMElistA.B.C.DHH:HH:HH:HH:HH:HH使用模式配置模式(config)#功能[取消]配置添加保护列表，使得设备在接口NAME发送IP为A.B.C.D，MAC为HH-HH-HH-HH-HH-HH的免费ARP报文参数解释NAME:接口名称命令[no]anti-arpbroadcastinterval1-10使用模式配置模式(config)#功能配置ARP主动保护发包间隔时间,no命令将恢复默认时间,缺省值为1秒参数解释1-10：发包时间间隔，单位秒命令[no]anti-arpbroadcastservice使用模式配置模式(config)#功能[去]使能ARP发送免费ARP功能参数解释命令[no]anti-arpfloodservice使用模式配置模式(config)#功能[去]使能ARP防洪攻击参数解释ARP防攻击命令手册第6页,共10页命令[no]anti-arpfloodblock-time10-65535使用模式配置模式(config)#功能设置ARP防洪攻击阻断时间，no命令为恢复默认值，系统默认值为60参数解释10-65535：阻断时间，单位秒命令[no]anti-arpfloodthreshold10-10000使用模式配置模式(config)#功能设置防洪攻击阈值，no命令为回复默认值，系统默认值为300参数解释10-10000：阈值，意为1秒钟接受到的ARP数据包数量命令[no]anti-arplearning-arp使用模式配置模式(config)#功能[关闭]开启ARP学习功能参数解释命令[no]anti-arpspoofservice使用模式配置模式(config)#功能[去]使能防欺骗功能参数解释命令arptimeoutreachable30-65000使用模式配置模式(config)#功能设置arp老化时间参数解释30-65000：单位秒，缺省为180命令clearanti-arpbroadcastinterfaceNAMElist使用模式配置模式(config)#ARP防攻击命令手册第7页,共10页功能清除接口NAME上已配置的所有列表项参数解释NAME：接口名称命令[no]ipmacNAMEA.B.C.DHH:HH:HH:HH:HH:HH(unique-ip|multi-ip)使用模式配置模式(config)#功能创建IP地址和MAC地址绑定条目参数解释unique-ip：选项表示一个MAC地址只能与一个IP地址绑定。multi-ip：一个选项表示一个MAC地址可以与多个IP地址绑定。命令anti-arpsend-arpinterfaceNAMEA.B.C.DHH:HH:HH:HH:HH:HHA.B.C.DHH:HH:HH:HH:HH:HH(request|reply)1-10001-10使用模式配置模式enable#功能ARP自定义发包参数解释NAME：发送接口A.B.C.D：源和目的地址，前为源，后为目的HH:HH:HH:HH:HH:HH：源和目的MAC(request|reply)t：发包类型，request为请求包，reply为响应包1-1000：发包数量1-10：发包间隔，单位秒命令arp-detectinterfaceINTERFACE_NAME[A.B.C.D]使用模式配置模式enable#功能针对接口INTERFACE_NAME进行接口网段的arp探测参数解释INTERFACE_NAME：接口名称[A.B.C.D]：起始IP命令arp-detectipA.B.C.DARP防攻击命令手册第8页,共10页使用模式配置模式enable#功能指定IP的MAC自动探测参数解释命令clearanti-arpfloodblock-list使用模式配置模式enable#功能清除arp防洪攻击源限制列表参数解释命令cleararp[A.B.C.D]使用模式配置模式enable#功能清除[指定]arp列表参数解释[A.B.C.D]：指定IP命令showanti-arp使用模式配置模式enable#功能查看ARP防攻击状态信息参数解释命令showanti-arpbroadcastinterface使用模式配置模式enable#功能查看ARP保护端口参数解释命令showanti-arpbroadcastinterfacelist使用模式配置模式enable#功能查看ARP保护列表ARP防攻击命令手册第9页,共10页参数解释命令showarp使用模式配置模式enable#功能查看ARP列表参数解释命令showarpipA.B.C.D使用模式配置模式enable#功能查看指定IP的ARP表项参数解释命令showarpmacHH:HH:HH:HH:HH:HH使用模式配置模式enable#功能查看指定MAC的ARP表项参数解释命令showarpmonitor使用模式配置模式enable#功能查看ARP监视器参数解释监视器记录洪攻击和欺骗记录命令showarpsummary使用模式配置模式enable#功能查看ARP统计信息参数解释ARP防攻击命令手册第10页,共10页3典型配置组网：PC1192.168.1.700:00:00:00:00:77PC2192.168.1.800:00:00:00:00:88PC3192.168.1.900:00:00:00:00:99VLAN1广播192.168.1.700:00:00:00:00:77192.168.1.800:00:00:00:00: