定义
ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,通过部署ARP安全的相关子特性,不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击,保证网络设备和网络通信的安全性。
目的
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击发起者利用。在网络中,常见的ARP攻击方式主要包括:
-
ARP欺骗指攻击者通过发送伪造的ARP报文,恶意修改网关或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。
-
ARP泛洪攻击也叫拒绝服务攻击(Denial of Service),攻击者向设备发送大量目的IP地址无法解析的伪造ARP请求报文或免费报文,造成设备上的ARP表项溢出,无法缓存正常用户的ARP表项,从而影响正常的报文转发。
目前ARP攻击已经成为网络安全的一大威胁。ARP安全特性提供了多种技术对ARP攻击进行防范、检测和解决,可以有效避免ARP攻击对网络安全性的危害。
ARP报文合法性检查
产生原因
由于ARP协议简单易用,且没有任何安全机制,网络攻击者通过篡改合法用户发送的ARP报文数据区中的MAC地址的方式伪造ARP报文(这种ARP报文中源、目的MAC地址和以太网报文头中的源、目的MAC地址不一致),对网络以及网络设备进行攻击。
通过部署ARP报文合法性检查功能,设备收到ARP报文时,会对ARP报文数据区中的源、目的MAC地址和以太网报文头中的源、目的MAC进行一致性检查,如果一致,则认为该ARP报文是合法的,否则认为报文是非法的,直接丢弃。
相关概念
ARP报文合法性检查有三种检查模式。
基于源MAC地址的检查模式:检查ARP报文数据区中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为该报文是合法的,否则丢弃该报文。
- 基于目的MAC地址的检查模式(只针对ARP应答报文):
- 检查ARP报文数据区中的目的MAC地址是否为全1,全1的ARP报文都是非法报文,需要丢弃。
- 检查ARP报文数据区中的目的MAC地址和以太网报文头中的目的MAC地址是否一致,一致则认为该报文是合法的,否则丢弃该报文。
- 基于源MAC地址和目的MAC地址的检查模式:
- 对于ARP请求报文,只检查报文数据区中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为该报文是合法的,否则丢弃该报文。
- 对于ARP应答报文,既检查报文数据区中的源MAC地址和以太网报文头中的源MAC地址是否一致,也检查报文数据区中的目的MAC地址是否为全1以及目的MAC地址和以太网报文头中的目的MAC地址是否一致,所有项目完全一致时认为该报文是合法的,否则丢弃该报文。
ARP表项严格学习
产生原因
随着网络规模越来越大,网络中经常会出现针对ARP请求报文和应答报文的攻击,导致网络无法正常运行。
- 当大量的用户主机在同一时间段内向网关设备发送大量的ARP请求报文时,网关设备会因为无法处理大量的ARP请求报文出现运行异常,影响网络通信的正常进行。
- 当网络攻击者通过伪造合法用户的ARP请求报文发送给网关设备时,网关设备会根据该报文中的地址信息更新ARP表项,导致合法用户的通信流量发生中断。
通过部署ARP表项严格学习功能,设备仅学习自己发送的ARP请求报文的应答报文,对收到的ARP请求报文和非自己发送的ARP请求报文对应的应答报文不进行处理。
ARP表项限制
产生原因
在特殊组网或者遭受到ARP攻击时,设备在短时间内会收到大量的ARP报文,导致设备上的ARP表项溢出,影响合法用户正常使用网络。
通过部署ARP表项限制功能,限制设备的各个接口学习ARP表项的总数目,可以有效的防止ARP表项溢出,保证ARP表项的安全性。
ARP报文限速
产生原因
在特殊组网或者遭受到ARP攻击时,设备在短时间内会收到大量的ARP报文,导致设备的CPU资源极大地消耗在ARP学习和ARP响应上面,影响其它业务的处理。
通过部署ARP报文限速功能,设备会对单位时间(每秒)内收到的ARP报文进行数量统计,如果ARP报文数量超出了设定的阈值(限速值),超出部分的ARP报文将被忽略,设备不作任何处理。
相关概念
设备支持设定ARP报文限速的范围:
- 全局限速:生效范围是接口板或主控板。
- 接口限速:生效范围是接口。
并且,全局限速和接口限速都支持设定限速的方式:
- 整体限速:不区分IP地址,所有ARP报文统一限速。
- 基于源IP地址的限速、基于目的IP地址的限速:不指定具体IP地址,对于每一个源IP地址或者目的IP地址的ARP报文分别进行限速,并且每一个源IP地址或者目的IP地址的ARP报文的限速值是相同的。
- 基于具体的源IP地址的限速、基于具体的目的IP地址的限速:指定具体IP地址,对某一个源IP地址或者目的IP地址的ARP报文进行限速,每一个源IP地址或者目的IP地址的ARP报文的限速值可以是不同的。
如果同时设定了全局限速、接口限速时,生效优先级为:接口限速>全局限速,生效的限速值以优先级大者为准。
对于全局限速或者接口限速,如果同时设定了几种限速方式,其生效优先级为:
- 基于具体的源IP地址或者目的IP地址的限速值>基于源IP地址或者目的IP地址的限速值,生效的限速值以优先级大者为准。
- 基于源IP地址或者目的IP地址的限速值=整体限速,生效的限速值以取值小者为准。
ARP Miss消息限速
产生原因
ARP Miss消息是指设备在转发报文时因匹配不到对应的ARP表项而上报给上层软件的Miss消息。上层软件收到ARP Miss消息后,首先生成一个动态ARP假表项发送给设备,然后上层软件发送ARP请求报文请求目的主机的MAC地址。在收到ARP响应报文后,上层软件会把学习到的ARP表项发送给设备用以替换原有的假表项,确保流量可以正常转发。如果ARP Miss消息过多,会导致设备的CPU资源浪费在处理ARP Miss消息上,影响设备对其他业务的处理。
通过部署ARP Miss消息限速功能,设备会对单位时间内收到的ARP Miss消息进行数量统计,如果ARP Miss消息的数量超出了配置的阈值,超出部分的ARP Miss消息将被忽略。
免费ARP报文主动丢弃
产生原因
当有新的设备接入网络时,该设备会以广播的方式发送免费ARP报文,向网络中的其他设备通告自己的存在并确认广播域中有无其他设备与自己的IP地址冲突。由于任何设备都可以发送免费ARP报文,且设备接收免费ARP报文不需要进行身份验证,所以网络中很容易出现大量的免费ARP报文,这会导致网络设备忙于免费ARP报文的处理,造成CPU超载,影响其它业务的正常处理。
通过部署免费ARP报文主动丢弃功能,设备收到免费ARP报文后直接将其丢弃,减少CPU资源的消耗。
