H3C设备配置ARP攻击防御

Posted visionv

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了H3C设备配置ARP攻击防御相关的知识,希望对你有一定的参考价值。

ARP主动确认配置命令

 

ARP的主动确认功能主要应用于网关设备,防止攻击者仿冒用户欺骗网关设备。通过strict参数开启或关闭主动确认的严格模式。开启严格模式后,ARP主动确认功能执行更严格的检查,新建ARP表项前,需要本设备先对其IP地址发起ARP解析,解析成功后才能触发正常的主动确认流程,在主动确认流程成功后,才允许设备学习该表项。

命令 

<H3C>system-view
[H3C]arp active-ack enable

ARP防止IP报文攻击配置命令

建议在网关设备上开启本功能。
ARP源地址抑制功能处于关闭状态。

#开启ARP源地址抑制功能。
<H3C>system-view
[H3C]arp source-suppression enable

ARP防止IP报文攻击配置命令

如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。

#配置ARP源抑制的阈值为100。
<H3C>system-view
[H3C]arp source-suppression limit 100

ARP防止IP报文攻击配置命令

建议在网关设备上开启ARP黑洞路由功能。

#开启ARP黑洞路由功能。
<H3C>system-view
[H3C]arp resolving-route enable

以上是关于H3C设备配置ARP攻击防御的主要内容,如果未能解决你的问题,请参考以下文章

中间人攻击——ARP欺骗的原理实战及防御

ARP渗透与攻防之ARP攻击防御

如何判断交换机是不是受到ARP攻击以及处理方式

浅谈如何防御arp的攻击

图解ARP协议ARP防御篇-如何揪出"内鬼"并"优雅的还手"?

图解ARP协议ARP防御篇-如何揪出"内鬼"并"优雅的还手"