当前位置: 首页 > news >正文

网关ARP防护的措施

news 2025/6/29 9:22:57

内网最容易的攻击方式就是网关欺骗

比如某个用户不小心配置了一个网关同样的IP;错误将路由器的LAN口接入到了内网;不一而足
某单位2次遇到这种情况,稍有感触,做下记录。

现象:部分客户端网络正常;另外一部分网络异常;同网段的可以通讯,跨网段通讯异常;上网业务异常;网络时好时坏

华为所作的工作如下:
当网络中存在攻击者Attacker仿冒网关或用户误配主机IP地址为网关地址时,其发送的ARP报文会使得网络中其他用户误以为Attacker即网关,造成正常用户跟网关的数据通信中断。在设备与网关相连的接口上配置ARP网关保护功能,可以防止伪造网关攻击。当来自网关的ARP报文到达设备时:
开启对网关地址保护功能的接口:正常接收转发该ARP报文。
未开启对网关地址保护功能的接口:丢弃该ARP报文。
操作步骤
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入接口视图。
执行命令arp trust source ip-address,开启ARP网关保护功能,并配置被保护的网关IP地址。
缺省情况下,ARP网关保护功能处于关闭状态。
每个接口下最多可以指定8个被保护的网关IP地址,全局最多支持指定32个被保护的网关IP地址。全局在不同的接口下指定相同的网关IP地址,这种情况认为指定了多个被保护的网关IP地址。
如下图:华为ARP网关防护是在接入层交换机的上行口配置的。
在这里插入图片描述
H3C 配置也比较简单,如下图示例,配置位置比华为灵活,可以在接入交换机上面配置,也可以在核心交换机上面配置:
在这里插入图片描述
配置步骤
system-view
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] arp filter source 10.1.1.1
[SwitchB-GigabitEthernet1/0/1] quit
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] arp filter source 10.1.1.1

锐捷交换机的配置方法:

  1. 在接客户机的端口上开启防网关arp欺骗功能
    Ruijie>enable
    Ruijie#configure terminal
    Ruijie(config)#interface FastEthernet 0/1
    Ruijie(config-if-FastEthernet 0/1)#anti-arp-spoofing ip 192.168.1.254 ------>配置防网关arp欺骗
    在这里插入图片描述
    但是中兴交换机却没有类似该命令。

处理方式:最好的方式就是利用mac地址表找到接口所街设备,把它下电,或者修改ip。但显然不是长久之计,而且并不是每次运维人员都在现场,也不是每次都能第一时间将设备找到。
这个时候就需要想办法,将这个mac地址的流量过滤掉。当我们通过查看客户端ARP表,或者通过抓包,发现内存存在某个非法设备MAC对应内网网关,通过dis mac-address | inc xxxx或者 show mac table | inc xxxx 层级查找到非法MAC地址对应的端口所在的接入交换机后,就可以使用MAC黑洞将该设备拉黑。具体配置以H3C交换机为例:
sys
[H3C]sysname SW
[SW]vlan 3
[SW-vlan3]quit
[SW]mac-address blackhole 94c3-6ebf-0400 vlan 3
[SW]save
如果是中兴交换机则先进入 mac视图
然后执行 filter MAC-ADDRESS vlan 3 将指定MAC 拉黑。
或者如果设备直连可网管交换机,可以将对应接口关闭。
但是以上这些做法有个问题,比如底下接入层接了小的傻瓜式的HUB交换机,这个时候,即使汇聚,核心做了这些操作,由于ARP广播的问题,HUB所在接入层设备还是依然会学习到错误的网关MAC地址,导致跨网段通信异常,这个时候就需要终端做ARP网关绑定了,例如,windows下,cmd 输入
arp -s 192.168.1.1 00-1A-2B-3C-4D-5E 将正确的网关IP和网关MAC绑定。
但是问题是如果接入终端是哑终端呢,目前没有办法做到让哑终端能够绑定IP-MAC,例如考勤机,摄像头,不过可以通过端口安全,端口手工指定MAC的方式 ,例如https://www.h3c.com/cn/d_202502/2363575_30005_0.htm#_Toc191487539 来变相实现过滤恶意MAC的问题,也是一种不得已的情况下的解决方案。
或者干脆通过二层acl过滤来做也非常方便,比如华三的写法:
[SW1]acl mac 4000
[SW1-acl-mac-4000]rule 0 deny source-mac 7844-E538-0306 FFFF-FF00-0000
[SW1-acl-mac-4000]rule 1 permit
[SW1-acl-mac-4000]quit
[SW1]int gi 1/0/1
[SW1-GigabitEthernet1/0/1]packet-filter mac 4000 outbound
[SW1-GigabitEthernet1/0/1]quit
再比如华为的写法:
https://support.huawei.com/enterprise/zh/doc/EDOC1000069579/fffdf934
同时在实施桌管或者EDR、或者杀毒软件的时候建议是将ARP网关防护功能打开,特别是服务器段,来规避可能带来的网关冲突带来的问题。

http://www.lqws.cn/news/556201.html

相关文章:

  • 【开源初探】基于Qwen2.5VL的OCRFlux
  • vue-28(服务器端渲染(SSR)简介及其优势)
  • LNA设计
  • macOS生成密钥对教程
  • 网络攻防技术
  • WOE值:风险建模中的“证据权重”量化术——从似然比理论到FICO评分卡实践
  • 最后的生还者2:重制版 免安 中文离线运行版+整合包
  • Flutter 使用flutter_inappwebview加载H5 在Windows 11 上应用闪退问题排查与解决方案
  • [幻灯片]分析设计高阶-03行为01-202506更新-GJ-002
  • 系统架构设计师备考之架构设计基础
  • docker安装elasticsearch和kibana
  • bboss jobflow使用介绍
  • Java--面向对象基础--类与方法
  • GitHub 趋势日报(2025年06月27日)
  • spring spi源码
  • 恐怖黎明 决定版 中文 免安 离线运行版
  • 《卷积神经网络到Vision Transformer:计算机视觉的十年架构革命》
  • 【SpringBoot高级】SpringBoot与Kafka深度整合:从入门到企业级实战
  • zookeeper Curator(3):Watch事件监听
  • 使用 Socket.IO 和 TypeScript 由 WebSockets 驱动的聊天应用程序
  • JavaScript中的显式原型与隐式原型:深入理解原型链
  • 车辆车五项查询API: Python 示例
  • Stewart并联结构两自由度正逆解计算和工作空间仿真
  • Word之电子章制作——1
  • 探索钉钉生态中的宜搭:创建与分享应用的新视界
  • 服务器的维护技术都有哪些?
  • docker+n8n的工作流中无法使用本地ollama服务的问题
  • InnoDB的undo日志涉及的页结构
  • mmap映射物理内存之一cache与lock
  • GeoTools 结合 OpenLayers 实现属性查询