Cómo configurar la defensa contra ataques de inundación ARP

Última respuesta Sep 08, 2019 02:41:56 107 2 2 0

Saludos,


Esta publicación describe varias funciones anti-ataque ARP implementadas en conmutadores de puerta de enlace para evitar ataques de inundación.


1. Límite de velocidad en paquetes ARP


Limita la velocidad de los paquetes ARP, asegurando que el dispositivo tenga suficientes recursos de CPU para procesar otros servicios al recibir una gran cantidad de paquetes ARP.

a. Configuración de límite de velocidad en paquetes ARP basados en direcciones IP de origen

# Establezca la velocidad máxima de los paquetes ARP de una dirección IP especificada 10.0.0.1 a 100 pps y la velocidad máxima de los paquetes ARP de otra dirección IP a 50 pps.

[HUAWEI] arp speed-limit source-ip 10.0.0.1 maximum 100

   [HUAWEI] arp speed-limit source-ip maximum 50


b. Configuración de limitación de velocidad en paquetes ARP basados en direcciones MAC de origen

# Establezca la velocidad máxima de los paquetes ARP de una dirección MAC especificada 0-0-1 a 100 pps y la velocidad máxima de los paquetes ARP de otra dirección MAC a 50 pps.

[HUAWEI] arp speed-limit source-mac 0-0-1 maximum 100

[HUAWEI] arp speed-limit source-mac maximum 50


Si se configuran a y b, cuando se reciben paquetes ARP de una fuente fija, el dispositivo limita la velocidad de estos paquetes en función de la velocidad máxima establecida por el comando arp speed-limit source-mac.

c. Configuración de la limitación de velocidad en paquetes ARP a nivel mundial, en una VLAN o en una interfaz

# Configure la interfaz GE0 / 0/1 para permitir que pasen 200 paquetes ARP en 10 segundos y descarte todos los paquetes ARP en 60 segundos cuando el número de paquetes ARP exceda el límite.

[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit enable

[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit packet 200 interval 10 block-timer 60


2. Límite de velocidad en mensajes ARP Miss


Limita la tasa de mensajes ARP Miss para defenderse de los ataques de una gran cantidad de paquetes IP con direcciones IP de destino irresolubles.

a. Configuración de la limitación de velocidad en mensajes perdidos ARP basados en direcciones IP de origen

# Establezca el número máximo de mensajes ARP Miss activados por la dirección IP 10.0.0.1 por segundo en 100, y establezca el número máximo de mensajes ARP Miss activados por otras direcciones IP de origen por segundo en 60.

[HUAWEI] arp-miss speed-limit source-ip maximum 60

[HUAWEI] arp-miss speed-limit source-ip 10.0.0.1 maximum 100


b. Configuración de la limitación de velocidad en ARP Miss Messages globalmente, en una VLAN o en una interfaz

# Configure el dispositivo para procesar un máximo de 200 mensajes ARP Miss activados por paquetes IP desde la interfaz GE0 / 0/1 en 10 segundos.

[HUAWEI-GigabitEthernet0/0/1] arp-miss anti-attack rate-limit enable

[HUAWEI-GigabitEthernet0/0/1] arp-miss anti-attack rate-limit packet 200 interval 10


3. Aprendizaje estricto de ARP


Esta función permite que el dispositi****prenda solo las entradas ARP para los paquetes de respuesta ARP en respuesta a los paquetes de solicitud ARP enviados por sí mismo. Esto evita que las entradas ARP se agoten por paquetes ARP no válidos.

La configuración en una interfaz tiene prioridad sobre la configuración global.

[HUAWEI] arp learning strict

[HUAWEI-Vlanif100] arp learning strict force-enable


4. Limitación de entrada ARP


Esta función limita la cantidad máxima de entradas ARP dinámicas que puede aprender el dispositivo, evitando que las entradas ARP se agoten cuando un host conectado a la interfaz ataca el dispositivo.

# Configure que VLANIF 10 pueda aprender dinámicamente un máximo de 20 entradas ARP.

[HUAWEI-Vlanif10] arp-limit maximum 20


5. Deshabilitar el aprendizaje ARP en interfaces


Inhabilita que una interfaz aprenda entradas ARP, evitando que las entradas ARP se agoten cuando un host conectado a la interfaz ataca el dispositivo.

# Desactive VLANIF10 de aprender entradas dinámicas ARP.

[HUAWEI-Vlanif10] arp learning disable


  • x
  • convención:

wissal
VIP Publicado 2019-9-7 23:48:58 Útil(0) Útil(0)
Bien explicado, gracias.
  • x
  • convención:

Telecommunications%20engineer%2C%20currently%20senior%20project%20manager%20at%20an%20operator%2C%20partner%20of%20Huawei%2C%20in%20the%20radio%20access%20network%20department%2C%20for%2020%20years%20I%20managed%20several%20types%20of%20projects%2C%20for%20the%20different%20nodes%20of%20the%20network.
gabo.lr
VIP Publicado 2019-9-8 02:41:56 Útil(0) Útil(0)
Muy buen aporte, gracias!!
  • x
  • convención:

Telecommunications%20and%20Electronics%20Engineer%2C%20with%208%20years%20of%20experience%20working%20with%20Huawei%20equipment.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje