63.3.1.1.1 打开ARP抗攻击功能
您可以在nfpp配置模式或者接口配置模式下打开ARP抗攻击功能,缺省情况下是打开的。
Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard enable Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name Ruijie(config-if)#nfpp arp-guard enable Ruijie(config-if)#end Ruijie#show nfpp arp-guard summary 进入全局配置模式。 进入NFPP配置模式。 全局打开ARP抗攻击功能,缺省情况下打开。 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 在端口上打开ARP抗攻击功能,缺省情况是端口没有配置局部开关,采用全局开关。 退回到特权模式。 核对配置参数 保存配置。 作用 Step 10 Ruijie#copy running-config startup-config
? 注意
当关闭ARP抗攻击功能时,系统将自动清除受监控的主机和扫描主机。
63.3.1.1.2 设置对攻击者的隔离时间
对攻击者的隔离时间分为全局隔离时间和基于端口的隔离时间(即局部隔离时间)。对于某个端口,如果没有配置基于端口的隔离时间,那么采用全局隔离时间;否则,采用基于端口的隔离时间。
Step 1 Step 2 Step 3
Ruijie(config-nfpp)#arp-guard isolate-period [seconds | permanent] Step 4 Step 5
Ruijie(config-nfpp)#end Ruijie#configure terminal 命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入全局配置模式。 进入NFPP配置模式 配置对攻击者的全局隔离时间。 取值范围为0秒,30秒到86400秒(即一天),缺省值为0秒,表示不隔离;permanent表示永久隔离。 返回特权模式 进入全局配置模式。 作用 Step 6 Step 7
Ruijie(config)#interface interface-name 进入接口配置模式。 在端口上配置对攻击者的隔离时间。 取值范围为0秒,180秒到86400秒(即一天),缺省情况是没有配置局部隔离时间,采用全局隔离时间。0秒表示不隔离;permanent表示永久隔离。 退回到特权模式。 核对配置参数 保存配置。 Ruijie(config-if)#nfpp arp-guard isolate-period [seconds | permanent] Step 8 Step 9 Step10
Ruijie(config-if)#end Ruijie#show nfpp arp-guard summary Ruijie#copy running-config startup-config 如果要把全局隔离时间恢复成缺省值,在nfpp配置模式执行命令“no arp-guard isolate-period”。如果一个端口原来配置了局部隔离时间,现在想采用全局隔离时间,那么在端口配置模式下执行命令“no nfpp arp-guard isolate-period”把局部隔离时间配置删除。 63.3.1.1.3 设置对攻击者的监控时间
如果隔离时间为0(即不隔离),防攻击模块将自动根据配置的监控时间对攻击者进行软件监控,提供当前系统中存在哪些攻击者的信息。当把隔离时间配置成非零值后,防攻击模块将自动对软件监控的主机采取硬件隔离。
Step 1 Step 2 Step 3
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard monitor-period seconds Ruijie(config-nfpp)#end Ruijie#show nfpp arp-guard summary Ruijie#copy running-config startup-config 进入全局配置模式。 进入NFPP配置模式 配置对攻击者的监控时间。 取值范围为180秒到86400秒(即一天),缺省值为600秒。 退回到特权模式。 核对配置参数 保存配置。 作用 Step 4 Step 5 Step 6
如果要把监控时间恢复成缺省值,在nfpp配置模式执行命令“no arp-guard monitor-period”。
? 检测出攻击者的时候,如果隔离时间为0,将对攻击者进行软件监控,超时为监控
? 注意
时间。在软件监控过程中,当隔离时间被配置为非零值时,将自动对软件监控的攻击者采取硬件隔离,并且把超时设置为隔离时间。监控时间在隔离时间为0的情况下才有意义。
? 如果把隔离时间从非零值改成零,将直接把相关端口的攻击者删除,而不是进行
软件监控。
63.3.1.1.4 设置受监控主机的最大数目
Step 1 Step 2 Step 3
命令 Ruijie#configure terminal Ruijie(config)#nfpp Ruijie(config-nfpp)#arp-guard monitored-host-limit number Ruijie(config-nfpp)#end Ruijie#show nfpp arp-guard summary Ruijie#copy running-config startup-config 进入全局配置模式。 作用 进入NFPP配置模式。 配置受监控主机的最大数目。 取值范围为1到4294967295,缺省情况下受监控主机的最大数目为1000个。 退回到特权模式。 核对配置参数 保存配置。 Step 4 Step 5 Step 6
如果要把配置的受监控主机数恢复成缺省值,在nfpp配置模式执行命令“no arp-guard monitored-host-limit”。 如果受监控主机数已经达到默认的1000个,此时管理员把受监控主机的最大数目设置成小于1000,不会删除已有的受监控主机,而是打印信息“%ERROR: The value that you configured is smaller than current monitored hosts 1000(配置的受监控主机数) ,please clear a part of monitored hosts.”来提醒管理员配置没有生效,需要删除部分已经被监控的主机。
? 注意 当受监控主机表满时,打印日志“% NFPP_ARP_GUARD-4-SESSION_LIMIT: Attempt to exceed limit of 1000(配置的受监控主机数) monitored hosts.”提醒
管理员。
63.3.1.1.5 基于主机限速和识别攻击
识别主机有源IP/VLAN ID/端口和链路层源MAC/VLAN ID/端口两种识别方法。每台主机都有限速水线和攻击阈值(也称为告警水线),限速水线必须低于攻击阈值。当单台主机的ARP报文速度超过限速水线时,将丢弃这些超出限速水线的报文;如果单台主机的ARP报文速度超过攻击阈值,将采取隔离措施,记录到日志中,发送TRAP。 支持识别ARP扫描,单位时间是10秒,缺省值是15,如果10秒钟收到15个及以上ARP报文,链路层源MAC地址固定而源IP地址变化,或者链路层源MAC地址和源IP地址固定而目标IP地址不断变化,就认为有扫描嫌疑,将记录到日志中,发送TRAP。 当检测到攻击行为时,打印的日志信息格式如下:
%NFPP_ARP_GUARD-4-DOS_DETECTED: Host
ARP DoS attack from host
如果管理员把隔离时间配置成非零值,当硬件隔离成功时,打印的日志信息格式如下所示:
%NFPP_ARP_GUARD-4-ISOLATED:Host
Host
当硬件隔离失败(原因通常是内存不足或者硬件资源不足)时,打印的日志信息格式如下所示:
%NFPP_ARP_GUARD-4-ISOLATE_FAILED: Failed to isolate host
Failed to isolate host
当检测到ARP扫描时,打印的日志信息格式如下所示:
%NFPP_ARP_GUARD-4-SCAN: Host
ARP scan from host< IP=1.1.1.1,MAC=0000.0000.0004,port=Gi4/1,VLAN=1> was detected.
ARP扫描表只保存最新的256条记录。当ARP扫描表满的时候,会打印日志提醒管理员: %NFPP_ARP_GUARD-4-SCAN_TABLE_FULL: ARP scan table is full.
当管理员配置的限速水线大于攻击阈值时,打印命令提示信息“%ERROR:rate limit is higher than attack threshold 500pps(配置的攻击阈值).”提醒管理员。 当管理员配置的攻击阈值小于限速水线时,打印命令提示信息“%ERROR:attack threshold is smaller than rate limit 300pps(配置的限速水线).”提醒管理员。
? 对攻击者进行隔离,会设置一条策略到硬件中,但是硬件资源有限,当硬件资源
耗尽的时候,会打印日志提醒管理员。
? 注意 ? 当无法为检测到的攻击者分配内存时,打印日志“%NFPP_ARP_GUARD-4-NO_
MEMORY: Failed to alloc memory..”提醒管理员。
? ARP扫描表只记录最新的256条记录。当ARP扫描表满了以后,最新记录将覆盖
最旧记录。
管理员可以在nfpp配置模式和接口配置模式下进行配置。
Step 1 Step 2 Step 3
命令 Ruijie#configure terminal Ruijie(config)#nfpp 进入全局配置模式。 作用 进入NFPP配置模式 全局对每台主机的ARP报文速度进行限制。 取值范围是1到9999,缺省值为4个。 “per-src-ip”是基于源IP/VID/端口识别主机,“per-src-mac”是基于链路层源MAC/VID/端口识别主机。 全局配置攻击阈值。当某台主机的ARP报文超过攻击阈值时,就认为是在进行攻击,立即对这台主机采取隔离措施,记录到日志,发送TRAP。 取值范围是1到9999,缺省值为8个。 “per-src-ip”是基于源IP/VID/端口识别主机,“per-src-mac”是基于链路层源MAC/VID/端口识别主机。 全局配置ARP扫描阈值,取值范围是1到9999,缺省值为15个。单位值是10秒。如果10秒钟收到15个以上ARP报文,链路层源MAC地址固定而源IP地址变化,或者链路层源MAC地址和源IP地址固定而目标IP地址不断变化,就认为有扫描嫌疑。 说明:ARP扫描的特征是链路层源MAC地址固定而源IP地址变化,或者链路层源MAC地址和源IP地址固定而目标IP地址不断变化。 Ruijie(config-nfpp)#arp-guard rate-limit {per-src-ip | per-src-mac} pps Step 4
Ruijie(config-nfpp)#arp-guard attack-threshold {per-src-ip | per-src-mac} pps Step 5
Ruijie(config-nfpp)#arp-guard scan-threshold pkt-cnt Step 6 Step 7 Step 8 Step 9
Ruijie(config-nfpp)#end Ruijie#configure terminal Ruijie(config)#interface interface-name 退回到特权模式。 进入全局配置模式。 进入接口配置模式。 Ruijie(config-if)#nfpp arp-guard policy {per-src-ip | per-src-mac} rate-limit-pps attack-threshold-pps 配置局部的限速水线和攻击水线,只在该配置所属端口上生效。 rate-limit-pps是限速水线,取值范围是1到9999,缺省是没配置基于端口的速率,采用全局的速率。 attack-threshold-pps是攻击水线,取值范围是1到9999。 缺省情况是端口没有自己的限速水线和攻击水线,采用全局的限速水线和限速水线。 “per-src-ip”是基于源IP/VID/端口识别主机,“per-src-mac”是基于链路层源MAC/VID/端口识别主机。 Step 10
Ruijie(config-if)#nfpp arp-guard scan-threshold pkt-cnt 在每个端口上配置ARP扫描阈值,取值范围是1到9999,缺省是没配置基于端口的ARP扫描阈值,采用全局ARP扫描阈值。单位值是10秒。