华为S27/S5700交换机配置配置防止ARP中间人攻击

华为S27/S5700交换机配置配置防止ARP中间人攻击

ARP攻击通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

本文通过介绍从设备级对ARP中间人攻击防御

请自行准备好华为交换机和电脑

并且让你的电脑和交换机连接上

组网需求：

如图1所示，Switch的Eth0/0/1和Eth0/0/2接口连接了两个用户。假设Eth0/0/2接口连接的用户是一个攻击者。为了防止ARP中间人攻击，要求在Switch上配置ARP报文检查功能，只有接收到的ARP报文信息和绑定表中的内容一致才会被转发，否则报文将被丢弃。同时使能丢弃报文告警功能。

配置思路

采用如下的思路配置防止ARP中间人攻击：

使能ARP报文检查功能。

配置对ARP报文匹配检查。

配置静态绑定表。

使能丢弃报文告警功能。

数据准备

配置ARP报文检查功能

# 在连接Client的Eth0/0/1接口使能ARP报文检查功能。

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] arp anti-attack check user-bind enable

[Quidway-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan

[Quidway-Ethernet0/0/1] quit

# 在连接Attacker的Eth0/0/2接口使能ARP报文检查功能。

[Quidway] interface ethernet 0/0/2

[Quidway-Ethernet0/0/2] arp anti-attack check user-bind enable

[Quidway-Ethernet0/0/2] arp anti-attack check user-bind check-item ip-address mac-address vlan

[Quidway-Ethernet0/0/2] quit

配置报文丢弃告警功能

# 在连接Client的Eth0/0/1接口配置ARP报文不匹配绑定表而丢弃的告警阈值。

[Quidway] interface ethernet 0/0/1

[Quidway-Ethernet0/0/1] arp anti-attack check user-bind alarm enable

[Quidway-Ethernet0/0/1] arp anti-attack check user-bind alarm threshold 80

[Quidway-Ethernet0/0/1] quit

# 在连接Attacker的Eth0/0/2接口配置ARP报文不匹配绑定表而丢弃的告警阈值。

[Quidway] interface ethernet 0/0/2

[Quidway-Ethernet0/0/2] arp anti-attack check user-bind alarm enable

[Quidway-Ethernet0/0/2] arp anti-attack check user-bind alarm threshold 80

[Quidway-Ethernet0/0/2] quit

配置静态绑定表项

# 配置Client为静态绑定表项。

[Quidway] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface Ethernet 0/0/1 vlan 10

验证配置结果

执行display arp anti-attack configuration check user-bind interface命令可以查看接口下ARP报文检查配置信息。

display arp anti-attack configuration check user-bind interface ethernet 0/0/1

arp anti-attack check user-bind enable

arp anti-attack check user-bind alarm enable

arp anti-attack check user-bind alarm threshold 80

arp anti-attack check user-bind check-item ip-address mac-address vlan

ARP packet drop count = 0

display arp anti-attack configuration check user-bind interface ethernet 0/0/2

arp anti-attack check user-bind enable

arp anti-attack check user-bind alarm enable

arp anti-attack check user-bind alarm threshold 80

arp anti-attack check user-bind check-item ip-address mac-address vlan

ARP packet drop count = 2442

由显示信息可知，Eth0/0/1接口下没有丢弃ARP报文，Eth0/0/2接口下产生了ARP报文丢弃计数。针对Attacker的防攻击功能已经生效。

如果您觉得本经验有帮助，请点击正下方的或右上角的“大拇指”或“分享”或“关注TA”给我支持和鼓励~~

为了方便下次寻找，您可以点击“收藏”收藏本经验

如有其他问题请联系我本人