ARP理论知识详解(二)
首页 > HuaWei > ARP   作者:杭州清默网络  2015年10月25日 17:32 星期日  字号:   评论:0 条
时间:2015-10-25 17:32   评论:0 条 
 

3、免费ARP报文主动丢弃

免费ARP报文是一种特殊的ARP报文,该报文中携带的源IP地址和目地IP地址都是本机IP地址,源MAC地址是本机MAC地址,目的MAC地址是广播地址。

当有新的用户主机接入网络时,该用户主机会以广播的方式发送免费ARP报文,来确认广播域中有无其他设备与自己的IP地址冲突;当用户主机改变了硬件地址时,为了能够在其他所有用户主机的ARP表项老化之前通告其硬件地址已经发生改变,该用户主机也会发送免费ARP报文。

由于发送免费ARP报文的用户主机并不需要经过身份验证,任何一个用户主机都可以发送免费ARP报文,这样就引入了两个问题:

1、如果网络中出现大量的免费ARP报文,设备会因为处理这些报文而导致CPU负荷过重,从而不能正常处理合法的ARP报文。

2、如果设备处理的免费ARP报文是攻击者伪造的,会造成设备错误地更新ARP表项,导致合法用户的通信流量发生中断。

参考以上问题描述,在确认攻击来自免费ARP报文之后,可以在网关设备上使能免费ARP报文主动丢弃功能,使网关设备直接丢弃免费ARP报文。

    注意:

当有主机更新了硬件地址并重新接入网络(如主机关机后更换了接口卡并重新启动,或双机热备份系统中主用设备发生故障,备用设备接管)时,如果设备开启了免费ARP报文主动丢弃功能,可能会导致其他网络设备因无法正常更新相应的ARP表项而无法与该主机建立正常通信。

 

4ARP优化应答

如图1所示,设备作为接入网关,会收到大量接入用户请求本机接口MAC地址的ARP请求报文。如果全部将这些ARP请求报文上送主控板处理,将会导致主控板CPU使用率过高,影响CPU对正常业务的处理。

ARP优化应答典型组网应用.png

1 ARP优化应答典型组网应用

为了避免上述危害,可以在网关设备上部署ARP优化应答功能。

ARP优化应答功能是指设备接收请求本机接口MAC地址的ARP请求报文后,由接收报文的接口板处理ARP请求报文ARP优化应答功能去使能时,统一由设备主控板处理ARP请求报文。

部署该功能后,对于目的IP地址是本设备IP地址的ARP请求报文,接口板直接回复ARP应答,对于目的IP地址不是本设备IP地址的ARP请求报文,设备直接丢弃,从而可以提高设备防御ARP泛洪攻击的能力。该功能尤其适用于设备上安装了多块接口板的场景。

缺省情况下,ARP优化应答功能处于使能状态。因此在收到ARP请求报文后,设备首先查看是否有该ARP请求报文中源IP对应的ARP表项。

如果对应的ARP表项存在,设备对该ARP请求报文进行优化应答。

如果对应的ARP表项不存在,设备不对该ARP请求报文进行优化应答。

 

5ARP表项严格学习

如果大量用户在同一时间段内向设备发送大量ARP报文,或者攻击者伪造正常用户的ARP报文发送给设备,则会造成下面的危害:

设备因处理大量ARP报文而导致CPU负荷过重,同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽,造成合法用户的ARP报文不能继续生成ARP条目,进而导致用户无法正常通信。

伪造的ARP报文将错误地更新设备的ARP表项,导致用户无法正常通信。

为避免上述危害,可以在网关设备上部署ARP表项严格学习功能。

ARP表项严格学习是指只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。

      ARP表项严格学习.png

     图1 ARP表项严格学习

如图1所示。通常情况下,当UserAGateway发送ARP请求报文后,Gateway会向UserA回应ARP应答报文,并且添加或更新UserA对应的ARP表项。当Gateway配置ARP表项严格学习功能以后:

对于Gateway收到UserA发送来的ARP请求报文,Gateway不添加也不更新UserA对应的ARP表项。如果该请求报文请求的是GatewayMAC地址,那么Gateway会向UserA回应ARP应答报文。

如果GatewayUserB发送ARP请求报文,待收到与该请求对应的ARP应答报文后,Gateway会添加或更新UserB对应的ARP表项。

 

6ARP表项限制

ARP表项限制功能应用在网关设备上,可以限制设备的某个接口学习动态ARP表项的数目

默认状态下,接口可以学习的动态ARP表项数目规格与全局的ARP表项规格保持一致。当部署完ARP表项限制功能后,如果指定接口下的动态ARP表项达到了允许学习的最大数目,将不再允许该接口继续学习动态ARP表项,以保证当一个接口所接入的某一用户主机发起ARP攻击时不会导致整个设备的ARP表资源都被耗尽。

 

7、禁止接口学习ARP表项

    下学习了大量动态ARP表项时,出于安全考虑可以配置禁止该接口的动态ARP表项学习功能,以防止该接口下所接入的用户主机发起ARP攻击使整个设备的ARP表资源都被耗尽。

    学习ARP表项功能和ARP表项严格学习功能配合起来使用,可以使设备对接口下动态ARP的学习进行更加细致的控制。

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/arp/38.html
版权声明:若无注明,本文皆为“杭州清默网络”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:杭州清默网络    杭州清默网络