ARP攻击防范技术

一  防ARP地址欺骗

特性简介

设备作为三层使用时，当用户发送ARP报文修改设备的ARP表项时，防地址欺骗可以通过ARP报文和ARP表中的相关表项对比，对ARP表项的某些字段不允许修改的方式防止ARP欺骗。

实现方式

防地址欺骗有两种方式：1）主动确认方式进行ARP学习；2）锁定方式防表项更新，在第一次学习到ARP表后不允许再更新表项。

主动确认方式进行ARP学习

在第一次学习ARP时，当收到用户的更新ARP请求，暂时不更新本地的ARP表，先向用户发送一个ARP请求，如果用户回应该请求，则学习此用户的ARP，否则不学习该用户的ARP。

注：主动确认方式的ARP学习目前有一个缺陷，参见主动确认方式的ARP学习缺陷。

锁定方式防止ARP更新

当用户第一次学习到ARP后，锁定ARP表项的某些字段或全部字段，不允许更新ARP表项。包括两种锁定方式：1）fixed-mac方式，不允许更新MAC和IP，可以更新端口、VLAN等其他信息；2）fixed-all方式，全部不允许更新，包括ARP的老化时间都不允许更新

二 防ARP网关冲突

特性简介

当设备作为网关时，ARP网关冲突检查可以防止用户仿冒网关的IP，非法修改网关和网络内其他用户的ARP表项。

实现方式

当交换机使能防ARP网关冲突时，下发一条ACL规则将ARP报文全部上送，通过软件转发。

当CPU收到ARP报文时，比较此ARP报文的源IP是否和其所在的VLANIF的某个IP地址相同，如果相同，则为用户仿冒网关IP，丢弃此ARP报文，记录日志并发送告警。同时下发一个ACL，丢弃该用户的ARP报文，此ACL的有效时间为3分钟，3分钟后删除此ACL规则

三  动态ARP检测(DAI)

  特性简介

Dynamic ARP Inspection(DAI)是通过DHCP SNOOPING表项，检查收到的ARP报文的合法性，如果ARP报文和DHCP SNOOPING绑定表的内容一致，则允许此用户的ARP报文通过，否则丢弃该ARP报文。

防止ARP中间人攻击，可以配置ARP报文检查功能，对接口或VLAN下收到的ARP报文和绑定表进行匹配检查，当报文的检查项和绑定表中的特征项一致时，转发该报文，否则丢弃报文。

同时可以配置告警功能，当丢弃的报文数超过限制的阈值时，发出告警信息。

  1  软件方式DAI

软件方式DAI是将ARP报文通过软件转发，在转发过程中判断报文的合法性。

当VLAN使能DAI时，下发规则将该VLAN下的所有ARP报文上送到软件层面。在软件层，查找DHCP SNOOPING绑定表来检查ARP报文是否和绑定表匹配，主要检查ARP报文的源MAC、源IP、报文入端口、VLAN（可以包括内层VLAN和外层VLAN）是否和DHCP SNOOPING绑定表匹配，如果完全匹配，允许报文转发，否则丢弃该报文。匹配的选项可以配置。

   2  硬件方式DAI

硬件方式是通过芯片的ACL规则检查用户ARP报文的合法性，检查的内容和通过软件检查一致，也可配置。

当DHCP SNOOPING用户上线后，通知DAI模块。DAI模块将用户表项中的源MAC、源IP、VLAN信息，加上匹配ARP协议，组装成一条ACL规则，下发到芯片中。

当ARP报文从某个端口进入芯片时，通过下发的ACL规则去匹配，如果匹配到，说明发送这个ARP报文的用户是合法的，允许该ARP报文转发，当下发的用户ARP ACL不能匹配时，该用户是非法的，通过匹配该端口下的默认ACL规则丢弃报文（该规则在端口使能DAI时下发，如果是基于VLAN的DAI，则在VLAN使能DAI是下发到VLAN上）

四 ARP报文速率限制

在城域以太网中，存在着很多针对ARP 表项的攻击，因此需要在网络的接入层或者汇聚层配置防止对ARP 表项的攻击，以保护、网络的安全性。

1 为防止大量的ARP 报文增加CPU 的负荷，以及占用大量的ARP 表项，可以配置ARP 报文速率抑制，将上送主控板处理的ARP 报文速率限制在一个合理的范围内。

2 为防止主机发送大量目标IP 地址不能解析的IP 报文来攻击设备，可以配置ARPMiss 源抑制功能，对攻击者的报文进行丢弃处理。

3 接口下使能ARP 报文检查功能后，经过接口的ARP 报文上送安全模块进行检查，为防止大量ARP 报文对安全模块的冲击，可以配置ARP 报文速率抑制，对超过速率限制的报文做丢弃处理。

原文始发于微信公众号（菜鸟小新）：ARP攻击防范技术