遇到ARP欺骗攻击,咋整?别慌!这3招教制服它!

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
简介: 遇到ARP欺骗攻击,咋整?别慌!这3招教制服它!


攻击简介

如图1-1所示,局域网中UserA、UserB、UserC等用户通过Switch接入连接到Gateway访问Internet。


图1-1 ARP欺骗攻击组网

正常情况下,UserA、UserB、UserC上线之后,通过相互之间交互ARP报文,UserA、UserB、UserC和Gateway上都会创建相应的ARP表项。此时,如果有攻击者Attacker通过在广播域内发送伪造的ARP报文,篡改Gateway或者UserA、UserB、UserC上的ARP表项,Attacker可以轻而易举地窃取UserA、UserB、UserC的信息或者阻碍UserA、UserB、UserC正常访问网络。

现象描述

局域网内用户时通时断,无法正常上网。网络设备会经常脱管,网关设备会打印大量地址冲突的告警。

定位思路


交换机做网关,如果攻击源发送假冒网关的ARP报文经过网关交换机时,报文会上送交换机的CPU处理,交换机在检测到网关冲突的同时记录日志.

执行命令display logbuffer查看日志信息。日志信息如下所示,其中MacAddress代表攻击者的MAC地址.

ARP/4/ARP_DUPLICATE_IPADDR:ReceivedanARPpacketwithaduplicateIPaddressfromtheinterface.(IpAddress=[IPADDR],InterfaceName=[STRING],MacAddress=[STRING])

根据日志信息记录的攻击者的MAC地址查找MAC地址表,从而获取到攻击源所在的端口,通过网络进一步排查,进一步定位出攻击源,查看是否中毒所致。

交换机做网关,如果攻击源发送假冒网关的ARP报文不经过网关交换机,直接在交换机的下游转发到用户,则需要在下层网络排查。例如,可以在终端上使用报文解析工具(比如wireshark)解析网关回应的ARP报文,如果解析出来的MAC地址不是网关的MAC地址,则代表终端遭遇攻击,其中解析出来的MAC地址即为攻击者MAC地址。如果解析出来的mac是网关的MAC地址,但是IP不是网关IP,则是模拟网关的MAC攻击,接入交换机上应该会有MAC漂移,根据漂移端口排查攻击源。

问题根因

1、终端中毒。

2、攻击者将主机地址设为网关地址。

处理步骤



方法一: 可以在用户允许的情况下,直接在交换机上配置黑名单过滤攻击源的源MAC地址。

[HUAWEI]acl4444 [HUAWEI-acl-L2-4444]rulepermitl2-protocolarpsource-mac1-1-1 [HUAWEI-acl-L2-4444]quit [HUAWEI]cpu-defendpolicypolicy1 [HUAWEI-cpu-defend-policy-policy1]blacklist1acl4444

接下来应用防攻击策略policy1,关于防攻击策略的应用,请参见3.1 应用防攻击策略。

方法二: 更严厉的惩罚措施可以将攻击者的MAC配置成黑洞MAC,彻底不让该攻击者上网。

[HUAWEI]mac-addressblackhole1-1-1vlan3

方法三: 可以在交换机上配置防网关冲突功能(该功能要求交换机必须做网关),ARP网关冲突防攻击功能使能后,系统生成ARP防攻击表项,在后续一段时间内对收到具有相同源MAC地址的报文直接丢弃,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。

[HUAWEI]arpanti-attackgateway-duplicateenabl
相关文章
|
6月前
|
网络协议
网络攻击-arp攻击
网络攻击-arp攻击
85 0
|
5天前
|
网络协议 网络安全 数据安全/隐私保护
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
24 4
|
15天前
|
网络协议 网络安全 数据安全/隐私保护
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
【10月更文挑战第27天】计算机主机网关的作用类似于小区传达室的李大爷,负责将内部网络的请求转发到外部网络。当小区内的小不点想与外面的小明通话时,必须通过李大爷(网关)进行联系。网关不仅帮助内部设备与外部通信,还负责路由选择,确保数据包高效传输。此外,网关还参与路由表的维护和更新,确保网络路径的准确性。
38 2
|
2月前
|
网络协议 安全
使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等1
使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等1
|
1月前
|
监控 网络协议 安全
中间人公鸡之ARP欺骗
中间人公鸡之ARP欺骗
|
3月前
|
网络协议
卧槽!放个假,交换机受到ARP攻击了,怎么破?
卧槽!放个假,交换机受到ARP攻击了,怎么破?
|
3月前
|
缓存 监控 网络协议
中间人攻击之ARP欺骗
【8月更文挑战第13天】
107 1
|
5月前
|
存储 缓存 网络协议
ARP欺骗与攻击原理
ARP欺骗与攻击原理
171 0
|
6月前
|
缓存 监控 网络协议
面对ARP攻击,怎么做好主机安全,受到ARP攻击有哪些解决方案
ARP攻击的具体原理主要是基于ARP(Address Resolution Protocol,地址解析协议)的漏洞进行欺骗和攻击。ARP协议是TCP/IP协议族中的一个重要协议,用于实现IP地址到MAC地址的映射。然而,由于ARP协议在设计时缺乏必要的安全验证机制,使得攻击者有机会进行欺骗和攻击。
|
6月前
|
网络协议 Python
Kali-Linux 使用evillimiter,利用arp欺骗,限制上网速度
该功能可以限制同一局域网下其他主机的网速