DCN 配置动态ARP和静态ARP？

ARP解决方法＋ARP工具＋快速解决ARP

ARP的分析与解决.

如果您的网络出现,整体突然掉线,或者有不定时的部分机器掉线,再或者出现一台一台机器的掉线.而且一般情况下几种掉线都会自动恢复.那我非常热切的恭喜您,您中奖啦.奖品是ARP欺骗. 不用高兴也不用激动,因为这个奖项量很大,很朋友都在深受其意.ARP到底咋回事,这里咱说道说道.

为了一个朋友"忘忧草"特意再加一段,"不掉线,一切看似正常的ARP"

ARP欺骗原理:

在同一NET内的所以机器是通过MAC地址通讯。方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表（ARP表里面有所以可以通讯IP和IP所对应的MAC地址）调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址,而不是IP地址。

但是当初ARP方式的设计没有考虑到过多的安全问题。给ARP留下很多的隐患,ARP欺骗就是其中一个例子。

网内的任何一台机器都可以轻松的发送ARP广播,来宣称自己的IP和自己的MAC。这样收到的机器都会在自己的ARP表格中建立一个他的ARP项,记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。例如： 192。168。1。11机器MAC是 00:00:00:11:11:11,他在内网广播自己的IP地址是192。168。1。254(其实是路由器的IP),MAC地址是00:00:00:11:11:11(他自己的真实MAC).这样大家会把给192。168。1。254的信息和发给00:00:00:11:11:11.也就是192。168。1。11..。 有了这个方法欺骗者只需要做一个软件,就可以在内网想骗谁就骗谁.而且软件网上到处都是,随便DWON随便用.要多随便有多随便啊...

基于原理,ARP在技术上面又分为,对PC的欺骗和对路由的欺骗.他们的区别在后面的ARP解决里面仔细阐述.

ARP欺骗的起因：

网络游戏兴起后网络盗号,木马也跟着疯狂。ARP欺骗就是一种很好的盗号方式。欺骗者利用自己在网吧上网时,先找到内网网关的MAC地址,然后发送自己ARP欺骗,告送内网所以的机器自己是网关。例如：192。168。1。55 MAC00-14-6c-18-58-5a 机器为欺骗者的盗号机器,首先,他会先找到内网的网关（内网网关为 192。168。1。1 MAC为XX.XX.XX.XX.XX.XX）。之后他就会发送ARP广播,说自己的IP地址是192。168。1。1 MAC地址是00-14-6c-18-58-5a.这样,内网的所有收到他发信息得机器都会把它误认为内网的网关。所有上网信息都会通过他的MAC地址发给这个机器,由于找不到真正的网关,这些被骗的机器就无法上网。而发送的所有信息都会被这个盗号机器收到,通过分析收到的信息他可以在里面找到有用的信息,特别是有关于帐号的部分,从而得到正在游戏的玩家的帐号,发生盗号事件。

ARP的发现：

那我们网吧出现掉线了,是否是ARP呢?如何去判断.好,这里给出方法,但是请大家顶了再说.

[之后的内容未被屏蔽,回复后可以查看]

ARP的通病就是掉线,在掉线的基础上可以通过以下几种方式判别,1。一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限,过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP,使受骗的机器回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),他是不断的通过非常大量ARP欺骗来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。2。打开被骗机器的DOS界面,输入ARP -A命令会看到相关的ARP表,通过看到的网关的MAC地址可以去判别是否出现ARP欺骗,但是由于时限性,这个工作必须在机器回复正常之前完成。如果出现欺骗问题,ARP表里面会出现错误的网关MAC地址,和真实的网关MAC一对黑白立分.

ARP解决：

现在看到ARP解决方案,都感觉有点效率低下,而且不够稳定.本人对欣向路由较为了解,以他为例吧.

1.路由ARP广播.

国内部分硬件路由有此功能,最早是在欣向的路由里面发现这个功能.感觉不错,挺有方法的,但是在软路由里面好像还未发现,软路由的兄弟们加把劲啦.他的原理是路由器不间断的广播正确的路由器ARP.例如:路由器的IP是192.168.1.1 MAC:11:12:13:14:15:16,那他就会不停的每秒广播自己的正确ARP.不管你内网机器是否喜欢收,1秒收一个一秒收一个,收到了就改一次ARP表收到了就改一次ARP表.无穷无尽无止无息,子子孙孙无穷亏也.....如果出现ARP欺骗,欺骗者发出欺骗信息,PC刚收到欺骗信息就收到了正确信息.所以问题也就解决了.但是有个隐患,就是广播风暴的问题.不间断的广播是否会应该内网的网络呢??? (带着问题请教了国内某厂家欣X的工程师,工程师很热情的解除了我的疑惑,感谢一下先).以每秒次的频率发送APR广播在内网是微乎其微的,因为任何一个机器都会有广播发生,多一个ARP最多相当于多几台机器的信息量,对内网是不会有影响的.但是这种方式有他的问题,当欺骗者加大欺骗ARP的频率超过路由时(在欺骗软件上面实现非常容易),还是会造成欺骗的效果.解决也应该很简单就是加大路由器的广播频率,但是欣X的工程师却否定了这种方法,原因请看第2条.

2.超量路由ARP广播.

近期发现个别路由厂家宣传可以完全防止ARP问题.我抱着崇敬的心态去学习了一下处理方法,不得不让人失望,是非常失望和痛心.所谓完全防止其实就是前面的路由ARP广播,只是简单的把频率加大到每秒100.200.....次. 这种方法效果单看ARP方面确实比每秒一次要好.但是却是得不偿失,甚至有点.....不说了,免得让人骂.简单给大家分析一下,每秒100为例吧,也就是说,路由器1秒时间会发出100个ARP广播,200台的电脑,每台机器每秒处理100次.如果有10台交换机,就会有10个交换机处理100次.每次交换机都会把信息互相转发,这每秒ARP信息的处理量要按照10N次方＊100去计算的.大家如果了解广播的模式就会清楚,交换家之间会互相不停的传递信息,你发给大家,我收到了,还会发给大家.大家收到了还是要发给大家.这样每台PC最终收到的信息每秒要上万条吧(这个量应该只小没大吧?).每秒都这样干100次.不知道网络内部要成为什么样子??PC的就没事老维护ARP表就不干别的了吗?为了一个ARP,7*24小时的折腾网络值得吗?网络性能要降低多少啊.人满时或者有点内网的小攻击时,网吧不瘫痪估计有点难啊,,,死字很容易写啊.当然平时你是感觉不到的.但是我要问一句想出此方法的工程师,你出这个方案,是为了解决问题吗?

3.极力推荐的方法.静态绑定.

ARP解决最有效的方法,就是从根本杜绝他的欺骗途径。

欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以根本解决对内网PC的欺骗。

方法为：找到路由器的lan口的MAC地址,把MAC地址通过静态的方式帮定到每台PC上面。通过命令,ARP -S 可以实现。 首先,建立一个批处理文件。内容只有一行命令,“ARP -S 内网网关 网关的MAC地址 ”,例如：“ARP -S 192.168.1.1 00-13-32-33-12-11 ”.把批处理文件放到启动里面,这样每次开机都会执行这个文件,即使出现ARP欺骗,由于我们设置的是静态方式,PC也不会去理会欺骗的ARP.

如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:

Internet Address Physical Address Type(注意这里)

192.168.1.1 00-0f-7a-05-0d-a4 static(静态)

一般不绑定,在动态的情况下:

Internet Address Physical Address Type

192.168.1.1 00-0f-7a-05-0d-a4 dynamic(动态)

ARP对路由的欺骗.

做了静态绑定之后,为什么还会掉线呢?还是ARP吗?不幸的是,还是ARP( ARP对路由欺骗).

因为有种情况下的问题,没有得到解决.大家设想一下,现在的处理方法如果碰到欺骗者不是冒充网关,而是冒充内网的PC会如何呢?答案是掉线,冒充谁,谁掉线.因为路由器收到欺骗ARP后找不到你了,转发给你的信息全部给了欺骗者的机器啦... 我们在PC上面可以绑定网关.难道在路由上面也绑定PC吗? 答案是否定的,难道我内网每台PC的MAC地址都在路由里面绑定,累死了,而且几百个MAC地址看着就眼晕,而且如果有任何改动都需要调整路由器,几百条

ARP欺骗指恶意用户通过发送伪造的ARP报文，恶意修改网关或网络内其他主机的ARP表项，造成用户或网络的报文转发异常。

恶意用户仿冒其他用户向网关发送ARP报文，导致网关学习到错误的用户ARP表项。

恶意用户仿冒网关发出ARP报文，导致网络中其他用户学习到错误的网关ARP表项。

恶意用户通过构造畸形的ARP报文进行攻击，导致路由器学习到错误的ARP表项。

安全策略

针对以上攻击行为，可以在路由器上配置如下安全策略。

ARP表项固化

路由器支持三种ARP表项固化模式，这三种模式适用于不同的应用场景，且是互斥关系。

fixed-mac方式适用于用户MAC地址固定，但用户接入位置频繁变动的场景。当用户从不同接口接入路由器时，路由器上该用户对应的ARP表项中的接口信息可以及时更新。

fixed-all方式适用于用户MAC地址固定，并且用户接入位置相对固定的场景。

send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

动态ARP检测（DAI）

使能DAI的路由器会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。绑定表通常通过DHCP Snooping动态生成，也可手工配置指定。

ARP防网关冲突

为了防范攻击者仿冒网关，当用户主机直接接入网关时，可以在网关路由器上使能ARP防网关冲突攻击功能。当路由器收到的ARP报文存在下列情况之一：

ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同。

ARP报文的源IP地址是入接口的虚拟IP地址，但ARP报文源MAC地址不是VRRP虚MAC。

路由器就认为该ARP报文是与网关地址冲突的ARP报文，路由器将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

发送ARP免费报文

在网关路由器上配置发送免费ARP报文的功能，用来定期更新合法用户的ARP表项，使得合法用户ARP表项中记录的是正确的网关地址映射关系。

ARP报文内MAC地址一致性检查

路由器收到ARP报文时，对以太报文头中的源、目的MAC地址和ARP报文中的源、目的MAC地址进行一致性检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同，则认为是攻击报文，将其丢弃；否则，继续进行ARP学习。可以有效防止恶意用户通过构造畸形ARP报文对网络或者网络路由器的攻击。

ARP报文合法性检查

为了防止非法ARP报文的攻击，可以在接入路由器或网关路由器上配置ARP报文合法性检查功能，用来对MAC地址和IP地址不合法的ARP报文进行过滤。路由器提供以下三种可以任意组合的检查项配置：

IP地址检查：路由器会检查ARP报文中的源IP和目的IP地址，全0、全1、或者组播IP地址都是不合法的，需要丢弃。对于ARP应答报文，源IP和目的IP地址都进行检查；对于ARP请求报文，只检查源IP地址。

源MAC地址检查：路由器会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致，一致则认为合法，否则丢弃报文。

目的MAC地址检查：路由器会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致，一致则认为合法，否则丢弃报文。

ARP表项严格学习

配置ARP表项严格学习功能后，只有本路由器主动发送的ARP请求报文的应答报文才能触发本路由器学习ARP，其他路由器主动向本路由器发送的ARP报文不能触发本路由器学习ARP，这样可以拒绝大部分的ARP报文攻击。

DHCP触发ARP学习

在DHCP用户场景下，当DHCP用户数目很多时，路由器进行大规模ARP表项的学习和老化会对路由器性能和网络环境形成冲击。为了避免此问题，可以在网关路由器上使能DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址，网关路由器会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。

配置方法

配置ARP表项固化

使能ARP表项固化功能，指定固定模式为固化MAC方式。

<Huawei>system-view

[Huawei] arp anti-attack entry-check fixed-mac enable

配置动态ARP检测（DAI）

使能接口Eth1/0/1下的动态ARP检测功能。

<Huawei>system-view

[Huawei] interface ethernet 1/0/1

[Huawei-Ethernet1/0/1] arp anti-attack check user-bind enable

配置ARP防网关冲突

使能ARP防网关冲突攻击功能。

<Huawei>system-view

[Huawei] arp anti-attack gateway-duplicate enable

配置发送ARP免费报文

在接口VLANIF10下使能发送免费ARP报文的功能。

<Huawei>system-view

[Huawei] interface vlanif 10

[Huawei-Vlanif10] arp gratuitous-arp send enable

配置ARP报文内MAC地址一致性检查

使能指定接口的ARP报文内MAC地址一致性检查。

<Huawei>system-view

[Huawei] interface gigabitethernet 1/0/1

[Huawei-GigabitEthernet1/0/1] arp validate source-mac destination-mac

配置ARP报文合法性检查

使能ARP报文合法性检查功能，并指定ARP报文合法性检查时检查源MAC地址。

<Huawei>system-view

[Huawei] arp anti-attack packet-check sender-mac

配置ARP表项严格学习

指定接口的ARP表项严格学习功能。

<Huawei>system-view

[Huawei] interface vlanif 100

[Huawei-Vlanif100] arp learning strict force-enable

配置DHCP触发ARP学习

使能接口VLANIF100的DHCP触发ARP学习功能。

<Huawei>system-view

[Huawei] vlan batch 100

[Huawei] dhcp enable

[Huawei] interface vlanif 100

[Huawei-Vlanif100] arp learning dhcp-trigger

防ARP泛洪攻击

攻击行为

当网络中出现过多的ARP报文时，会导致网关设备CPU负载加重，影响设备正常处理用户的其它业务。另一方面，网络中过多的ARP报文会占用大量的网络带宽，引起网络堵塞，从而影响整个网络通信的正常运行。

安全策略

针对以上攻击行为，可以在路由器上配置如下安全策略。

ARP表项限制

设备基于接口限制学习ARP表项的总数目，可以有效地防止ARP表项溢出，保证ARP表项的安全性。

ARP速率抑制

设备对单位时间内收到的ARP报文进行数量统计，如果ARP报文的数量超过了配置的阈值，超出部分的ARP报文将被忽略，设备不作任何处理，有效防止ARP表项溢出。

ARP表项严格学习

设备仅学习本端发送的ARP请求报文的应答报文，并不学习其它设备向路由器发送的ARP请求报文和非本端发送的ARP请求报文的应答报文，可以拒绝掉ARP请求报文攻击和非自己发送的ARP请求报文对应的应答报文攻击。

ARP端口级防护

设备基于端口对ARP上送速率进行监控，当某端口ARP上送控制面报文速率超过特定阈值时，会将该端口的ARP报文通过单独通道上送控制面，避免攻击影响正常的ARP报文。此外，设备还支持将攻击端口的ARP报文阻塞一段时间，而不是通过单独的通道上送。

ARP用户级防护

设备对用户（基于MAC地址或者IP地址）上送控制面的ARP报文速率进行监控，当某用户ARP报文速率超过特定阈值时，会将该用户ARP报文丢弃一段时间。

配置方法

ARP表项限制

配置指定接口最多可以学习到的ARP表项数量。

<Huawei>system-view

[Huawei] interface vlanif 100

[Huawei-Vlanif100] arp-limit maximum 20

ARP速率抑制

对ARP报文采用基于源IP地址进行时间戳抑制，速率为每秒50个ARP报文。

<Huawei>system-view

[Huawei] arp speed-limit source-ip maximum 50

配置ARP表项严格学习

ARP表项严格学习既可以基于全局，也可以基于指定的接口配置，两者有如下的关系：

当全局和接口同时配置了ARP严格学习功能时，采用接口下配置的策略。

当接口下没有配置ARP严格学习功能时，采用全局下配置的ARP严格学习策略。

使能全局的ARP表项严格学习功能。

<Huawei>system-view

[Huawei] arp learning strict

使能指定接口的ARP表项严格学习功能。

<Huawei>system-view

[Huawei] interface vlanif 100

[Huawei-Vlanif100] arp learning strict force-enable

配置ARP端口级防护

ARP端口级防护默认开启，无需手工配置。此外，还可以配置ARP报文限速。

配置接口Eth2/0/0在1秒钟内最多允许50个ARP报文通过。

<Huawei>system-view

[Huawei] interface ethernet 2/0/0

[Huawei-Ethernet2/0/0] arp anti-attack rate-limit enable

[Huawei-Ethernet2/0/0] arp anti-attack rate-limit 50 1

配置ARP用户级防护

ARP用户级防护基于用户MAC地址或者IP地址进行。

<Huawei>system-view

[Huawei] cpu-defend policy antiatk

[Huawei-cpu-defend-policy-antiatk] auto-defend enable

[Huawei-cpu-defend-policy-antiatk] auto-defend threshold 30

[Huawei-cpu-defend-policy-antiatk] undo auto-defend trace-type source-portvlan

[Huawei-cpu-defend-policy-antiatk] undo auto-defend protocol tcp telnet ttl-expired igmp icmp dhcp

[Huawei-cpu-defend-policy-antiatk] auto-defend action deny timer 300

[Huawei-cpu-defend-policy-antiatk] quit

[Huawei] cpu-defend-policy antiatk

[Huawei] cpu-defend-policy antiatk

1、arp anti-attack valid-check enable命令用于开启ARP报文源MAC地址一致性检查功能。

undo arp anti-attack valid-check enable命令用于关闭ARP源MAC地址一致性检查功能。

【举例】

# 开启交换机ARP报文源MAC地址一致性检查功能。

<sysname>system-view

[sysname] arp anti-attack valid-check enable

2、gratuitous-arp-learning enable命令用来开启免费ARP报文的学习功能。开启该功能后，交换机对于收到的免费ARP报文，如果自身ARP表中没有与此报文源IP地址对应的ARP表项，就将免费ARP报文中携带的源IP地址，源MAC地址信息添加到动态ARP映射表中。

undo gratuitous-arp-learning enable命令用来关闭免费ARP报文的学习功能。

3、arp static命令用来配置ARP映射表中的静态ARP表项。

undo arp命令用来删除ARP表项。

4、arp check enable命令用来开启ARP表项的检查功能。

undo arp check enable命令用来关闭ARP表项的检查功能。

5、arp timer aging命令用来配置动态ARP表项的老化时间。

undo arp timer aging命令用来恢复动态ARP表项的老化时间为缺省值。

6、display arp命令用来显示ARP表项。当不带任何可选参数的时候，将显示所有ARP表项。

display arp | 命令用来显示指定内容的ARP表项。

display arp count命令用来显示指定类型的ARP表项的数目；当不带任何可选参数时，用来显示所有ARP表项的数目。

display arp timer aging命令用来显示动态ARP表项的老化时间。

7、reset arp命令用来清除符合条件的ARP表项。

【举例】

# 清除静态ARP表项。

<Sysname>reset arp static

---