De acuerdo

Seguridad ARP

Última respuesta abr. 03, 2021 10:39:54 244 4 4 0 1

La seguridad ARP es una función basada en ARP. Proporciona el filtrado de mensajes ARP que no son de confianza y la supresión de mensajes ARP para garantizar la seguridad y solidez de los dispositivos de red.

La función de seguridad ARP defiende no solo contra los ataques al protocolo ARP, sino también contra los ataques basados en ARP, como el ataque de entrada ARP y el ataque de escaneo de red.

Método de ataque

Función de defensa contra ataques

Un   atacante envía una gran cantidad de pseudo mensajes de solicitud ARP y, por   lo tanto, el conmutador debe seguir aprendiendo las entradas ARP, lo que da   como resultado un desbordamiento de la caché ARP en el conmutador y evita que   el conmutador almacene en caché entradas ARP reales y realice el reenvío de   mensajes normalmente.

Aprendizaje   de entrada ARP estricto

Al   explotar la limitación de espacio de la caché ARP, un atacante envía una gran   cantidad de pseudo mensajes de solicitud y respuesta ARP a un conmutador. Por   lo tanto, el conmutador debe seguir aprendiendo entradas ARP y la caché ARP   puede desbordarse, lo que evita que el conmutador almacene en caché entradas   ARP reales y realice el reenvío de mensajes con normalidad.

Límite de   entrada de ARP basado en interfaz

Al   explotar la limitación de la capacidad de cálculo, un atacante envía una gran   cantidad de pseudo mensajes de solicitud y respuesta ARP u otros tipos de   mensajes que pueden activar el procesamiento ARP en el conmutador, que ocupa   el conmutador con procesamiento ARP durante un período prolongado, lo que   afecta al procesamiento de otros servicios y reenvío de mensajes.

Supresión   de marca de tiempo en mensajes ARP

Un   atacante envía paquetes IP con direcciones IP de origen cambiantes, lo que   provoca un ataque de exploración de la red. Como resultado, se envían una   gran cantidad de mensajes ARP Miss. Además, durante el procesamiento de   mensajes ARP Miss, es necesario enviar mensajes ARP Request, lo que ocupa   grandes recursos de CPU.

Supresión   de marca de tiempo en mensajes ARP Miss

Generación   de alarmas para posibles comportamientos de ataque: cuando la velocidad de   los mensajes ARP o ARP Miss excede el umbral, los mensajes trampa se informan   a ciertos intervalos.

 

Aprendizaje de entrada ARP estricto

El aprendizaje de entrada ARP estricto permite que un conmutador aprenda solo los mensajes de respuesta ARP correspondientes a los mensajes de solicitud ARP enviados por él mismo en lugar de aprender los mensajes de respuesta correspondientes a los mensajes de solicitud enviados por otros dispositivos. A través del aprendizaje de entrada de ARP estricto, los ataques de mensajes de solicitud y respuesta de ARP se pueden prevenir principalmente.

Límite de entrada ARP basado en interfaz

Limitar el número de entradas ARP que una interfaz puede aprender evita eficazmente el desbordamiento de la caché ARP y garantiza la seguridad de las entradas ARP.

Supresión de marca de tiempo en mensajes ARP

Una vez configurada la supresión de la marca de tiempo en los mensajes ARP, el conmutador recopila estadísticas sobre la cantidad de mensajes ARP. Si el número de mensajes ARP excede el umbral configurado dentro de un cierto período de tiempo, el conmutador ignora el exceso de mensajes ARP. Actualmente, solo se admite la supresión de la marca de tiempo basada en la dirección IP de destino.

Supresión de marca de tiempo en mensajes ARP Miss

Los mensajes ARP Miss son los mensajes informados por un conmutador cuando el conmutador no encuentra entradas ARP coincidentes durante el reenvío.

Después de recibir el mensaje ARP Miss, el software de la capa superior genera una entrada ARP falsa y la envía al dispositivo para evitar informes repetidos del mismo mensaje ARP Miss. Luego, el software de la capa superior envía una solicitud de APR. Después de recibir una repetición, el software de la capa superior reemplaza las entradas falsas con entradas ARP aprendidas y envía las entradas aprendidas al dispositivo. Entonces, el tráfico se puede reenviar normalmente.

Existe un período de envejecimiento para las entradas ARP falsas dinámicas. En el tiempo de envejecimiento, el dispositivo no envía mensajes ARP Miss al software de capa superior. Una vez que expira el tiempo de caducidad, se borran las entradas ARP dinámicas falsas. Cuando el dispositivo reenvía un paquete, no se compara ninguna entrada ARP. Por lo tanto, ARP Miss se genera y se envía al software de capa superior nuevamente.

Al establecer el tiempo de caducidad de las entradas ARP falsas dinámicas, puede controlar la frecuencia de envío de mensajes ARP Miss al software de capa superior y minimizar el impacto de los ataques al sistema.

Las entradas falsas de ARP pueden prevenir ataques de mensajes ARP Miss, en los que se envían paquetes con la misma dirección IP. Para los mensajes ARP Miss que son generados por un gran número de ataques de escaneo, el conmutador recopila estadísticas sobre los mensajes ARP Miss. Si el número de mensajes ARP Miss excede el umbral configurado dentro de un cierto período de tiempo, el conmutador ignora los mensajes ARP Miss subsiguientes.

Actualmente, solo se admite la supresión de la marca de tiempo basada en la dirección IP de origen en los mensajes ARP Miss. Esta función puede evitar que el conmutador desperdicie recursos al procesar los mensajes ARP Miss generados a partir del escaneo de segmentos de red.

Generación de alarmas para posibles comportamientos de ataque

Este mecanismo es una mejora de la supresión de la marca de tiempo en los mensajes ARP y los mensajes ARP Miss.

Cuando este mecanismo se utiliza junto con la supresión de la marca de tiempo, un conmutador puede generar alarmas para los mensajes ARP descartados debido a la supresión de la marca de tiempo. El contenido de las alarmas incluye las direcciones IP de origen y destino de los mensajes descartados, la instancia de VPN y el número de interfaz (las interfaces que reciben dichos mensajes).

El conmutador genera alarmas solo para los mensajes ARP descartados debido a la supresión de la marca de tiempo. Para los mensajes ARP que no se procesan debido al aprendizaje de entrada ARP estricto y al límite de entrada ARP basado en interfaz, el conmutador no genera alarmas.


  • x
  • convención:

user_3915171
Publicado 2021-3-23 00:59:33
gracias
Ver más
  • x
  • convención:

luis_ojeda
Publicado 2021-3-26 15:26:12
Excelente!
Ver más
  • x
  • convención:

lucian2003
lucian2003 Publicado 2021-3-27 18:34 (0) (0)
Gracias  
Claire
Publicado 2021-4-3 10:39:54
Buen tema. Gracias por compartir.
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.