网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
网络控制器NAC 文档 功能配置 安全配置 交换机ARP防御配置指导
{{sendMatomoQuery("网络控制器NAC","交换机ARP防御配置指导")}}

交换机ARP防御配置指导

更新时间:2024-07-01

1功能简介

1.1应用场景

1、ARP泛洪攻击:

①设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。

②攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPUCentral Processing Unit)负荷过重。

2、ARP欺骗攻击:是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。ARP攻击行为存在以下危害:

①会造成网络连接不稳定,引发用户通信中断。

②利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的账号和口令,造成被攻击者重大利益损失。

1.2适用版本

NAC3.13.0

1.3配置思路

1、判断需要防范的是ARP泛洪攻击还是ARP欺骗攻击。

2、根据实际情况配置ARP攻击防御配置。

2注意事项

2.1业务影响范围

建议在业务空窗期配置触发策略的动作为拉黑或者关闭端口,避免内网流量因为触发策略影响正常业务运行。

3配置步骤

3.1ARP泛洪攻击防御配置

ARP防洪攻击说明:ARP泛洪攻击也叫拒绝服务攻击DoSDenial of Service),主要存在这样的场景:

1、设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。

2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPUCentral Processing Unit)负荷过重。

1、【安全配置】-【流量安全】-【流量劫持防御】-ARP防御】-【交换机防御】新增策略,点击【ARP泛洪防御】在交换机分组中可以针对选中的交换机开启相关ARP策略。

1)开启端口报文限速和终端报文限速策略,通过ARP报文限速功能,可以防止设备因处理大量ARP报文,导致CPU负荷过重而无法处理其他业务,分为基于单个交换机端口报文限速和基于源MAC地址报文限速。

2)开启ARP表项保护策略:开启“仅学习本机的ARP请求应答”后只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这可以防止设备收到大量ARP攻击报文时,ARP表被无效的ARP条目占满

开启“免费ARP报文主动丢弃”后设备直接丢弃免费ARP报文,可以防止设备因处理大量免费ARP报文,导致CPU负荷过重而无法处理其他业务。

3)终端IP探测攻击检测:通过终端IP探测攻击检测,可以防止设备因处理大量目的IP地址不可达的IP报文触发大量ARP Miss消息,设备触发ARP Miss消息会生成大量临时ARP表项并向网络发送大量ARP请求报文,这样就增加了设备CPU的负担,同时严重消耗目的网络的带宽资源。终端IP探测报文超限的处理方式支持告警和将终端加入黑名单。IP扫描仅支持SW-CHASSIS3.2及以上版本的框设备。

3.2ARP欺骗攻击防御配置

ARP欺骗攻击说明:ARP欺骗攻击是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。ARP攻击行为存在以下危害:

1、会造成网络连接不稳定,引发用户通信中断。

2、利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的账号和口令,造成被攻击者重大利益损失。

1、【安全配置】-【流量安全】-【流量劫持防御】-ARP防御】-【交换机防御】新增策略,点击【ARP欺骗防御】

1)开启ARP表项更新检查:设备在第一次学习到ARP之后,用户更新此ARP表项时通过发送ARP请求报文的方式进行确认,以防止攻击者伪造ARP报文修改正常用户的ARP表项内容

2)开启ARP报文合法性校验通过检查报文中的IP地址、MAC地址,直接丢弃非法的ARP报文,避免非法用户伪造ARP报文,刻意的进行ARP攻击。

3)开启基于DHCPARP绑定关系检测(DAI):当设备收到ARP报文时,将此ARP报文的源IP、源MACMedia Access Control)、收到ARP报文的接口及VLANVirtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。本功能仅适用于DHCP SnoopingDynamic Host Configuration Protocol Snooping)场景。

4)开启防网关欺骗:开启后丢弃源IP地址为网关设备IP地址的ARP报文,防止攻击者仿冒网关,建议在网关设备上开启。

4效果图

启用访网关欺骗,当网络中存在和绑定信息IP一致,但是mac地址不一致的终端时,触发防御,并把终端mac地址加入到黑名单。

IMG_256

IMG_256