华为最新ARP防护

Posted lancekk

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了华为最新ARP防护相关的知识,希望对你有一定的参考价值。

ARP 报文限速功能简介:
为了防止“中间人攻击”,设备通过开启ARP 入侵检测功能,将ARP 报文上送到
CPU 处理,判断ARP 报文的合法性后进行转发或丢弃。但是,这样引入了新的问
题:如果攻击者恶意构造大量ARP 报文发往交换机的某一端口,会导致CPU 负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。S3900 系列以太网交换机支
持端口ARP 报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU
的冲击。
开启某个端口的ARP 报文限速功能后,交换机对每秒内该端口接收的ARP 报文数
量进行统计,如果每秒收到的ARP 报文数量超过设定值,则认为该端口处于超速状
态(即受到ARP 报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,
从而避免大量ARP 报文攻击设备。
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP 限速功能的端口,在
其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
配置实例:
配置ARP监测速率
interface Ethernet1/0/8
port access vlan 148
arp rate-limit enable(打开ARP监测功能)
arp rate-limit 50 (设置ARP监测速率为每秒钟50个ARP包)

配置自动关闭端口功能:
在全局模式下:
arp protective-down recover enable(开启交换机端口自动恢复功能)
arp protective-down recover interval 15(设置自动恢复时间为15秒)测试结果:
%Apr   2 00:27:30:089 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP
%Apr   2 00:27:52:170 2000 LINPINGJIEDAO_3952_ DHCP-SNP/5/arp_overspeed:- 1 -
PacketLimit: ARP packet rate(52pps) exceeded on interface Ethernet1/0/8. The port will be down!
(ARP包超过设定速率,此端口将关闭)
%Apr   2 00:27:52:348 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is DOWN
%Apr   2 00:42:51:858 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP(15秒后,端口自动打开)
查看交换机端口状态:
<3952>dis brief interface (注意第8口的状态为PTC)
Interface:        
Eth   - Ethernet   GE   - GigabitEthernet TENGE - tenGigabitEthernet        
Loop - LoopBack   Vlan - Vlan-interface   Cas   - Cascade        
Speed/Duplex:        
A - auto-negotiation
Interface   Link     Speed   Duplex Type   PVID Description                 
--------------------------------------------------------------------------------
Aux1/0/0     UP       --     --     --     --   
Eth1/0/1     UP       A100M   Afull   trunk   1     uplink-TANGXIZHEN_3952
Eth1/0/2     ADM DOWN A       A       trunk   1    
Eth1/0/3     ADM DOWN A       A       trunk   1    
Eth1/0/4     ADM DOWN A       A       trunk   1    
Eth1/0/5     DOWN     A       A       access 902  
Eth1/0/6     UP       A100M   Afull   access 902   GuangJiSheQu
Eth1/0/7     DOWN     A       A       access 902  
Eth1/0/8 PTC DOWN A       A       access 902  (注意第8口的状态为PTC)
注意事项:
1、这个功能需要3900系列1602以上版本才能支持,其他型号的交换机暂时没有研究;
2、arp包的速率限制要根据具体环境而设置,需要测试后才能铺开实施;
3、如果要手动打开被关闭的端口,可以使用undo shutdown打开;






















































以上是关于华为最新ARP防护的主要内容,如果未能解决你的问题,请参考以下文章

最新织梦cms漏洞之安全设置,有效防护木马

arp欺骗防护

局域网ARP攻击和防护

2020年您必须知道的29个最新网络钓鱼统计数据

2020年您必须知道的29个最新网络钓鱼统计数据

如何判断ARP欺骗?该怎么防护?