Comment configurer la défense contre les attaques par inondation ARP

14 0 0 0

Cet article décrit plusieurs fonctions anti-attaque ARP déployées sur les commutateurs de passerelle pour empêcher les attaques par inondation.

1. Limite de débit sur les paquets ARP

Limite le taux de paquets ARP, garantissant que l'appareil dispose de ressources CPU suffisantes pour traiter d'autres services lors de la réception d'un grand nombre de paquets ARP.

a.    Configuration de la limitation de débit sur les paquets ARP en fonction des adresses IP source

# Définissez le taux maximal de paquets ARP à partir d'une adresse IP spécifiée 10.0.0.1 à 100 pps et le taux maximal de paquets ARP à partir d'une autre adresse IP à 50 pps.

 [HUAWEI] arp speed-limit source-ip 10.0.0.1 maximum 100

[HUAWEI] arp speed-limit source-ip maximum 50

 

b.   Configuration de la limitation de débit sur les paquets ARP en fonction des adresses MAC source

# Définissez le taux maximal de paquets ARP d'une adresse MAC spécifiée 0-0-1 à 100 pps et le taux maximal de paquets ARP d'une autre adresse MAC à 50 pps.

[HUAWEI] arp speed-limit source-mac 0-0-1 maximum 100

[HUAWEI] arp speed-limit source-mac maximum 50

 

Si a et b sont configurés, lors de la réception de paquets ARP à partir d'une source fixe, le périphérique limite le débit de ces paquets en fonction du débit maximal défini par la commande arp speed-limit source-mac.

 

c. Configuration de la limitation du débit sur les paquets ARP globalement, dans un VLAN ou sur une interface

# Configurez l'interface GE0/0/1 pour permettre à 200 paquets ARP de passer en 10 secondes et jetez tous les paquets ARP en 60 secondes lorsque le nombre de paquets ARP dépasse la limite.

[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit enable

[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit packet 200 interval 10 block-timer 60


2. Limite de débit sur les messages ARP Miss

Limite le taux de messages ARP Miss pour se défendre contre les attaques d'un grand nombre de paquets IP avec des adresses IP de destination non résolubles.

a.    Configuration de la limitation du débit sur les messages ARP manquants en fonction des adresses IP source

# Définissez le nombre maximal de messages ARP Miss déclenchés par l'adresse IP 10.0.0.1 par seconde sur 100 et définissez le nombre maximal de messages ARP Miss déclenchés par d'autres adresses IP source par seconde sur 60.

[HUAWEI] arp-miss speed-limit source-ip maximum 60

[HUAWEI] arp-miss speed-limit source-ip 10.0.0.1 maximum 100

 

b.   Configuration de la limitation du débit sur les messages ARP manquants dans le monde, dans un VLAN ou sur une interface

# Configurez le périphérique pour traiter un maximum de 200 messages ARP Miss déclenchés par des paquets IP à partir de l'interface GE0/0/1 en 10 secondes.

[HUAWEI-GigabitEthernet0/0/1] arp-miss anti-attack rate-limit enable

[HUAWEI-GigabitEthernet0/0/1] arp-miss anti-attack rate-limit packet 200 interval 10

 

3. Apprentissage ARP strict

Cette fonction permet au périphérique d'apprendre uniquement les entrées ARP pour les paquets de réponse ARP en réponse aux paquets de demande ARP envoyés par lui-même. Cela empêche les entrées ARP d'être épuisées par des paquets ARP invalides.

La configuration sur une interface a priorité sur la configuration globale.

[HUAWEI] arp learning strict

[HUAWEI-Vlanif100] arp learning strict force-enable

 

4. Limitation d'entrée ARP

Cette fonction limite le nombre maximal d'entrées ARP dynamiques pouvant être apprises par le périphérique, empêchant les entrées ARP d'être épuisées lorsqu'un hôte connecté à l'interface attaque le périphérique.

# Configurez que VLANIF 10 peut apprendre dynamiquement un maximum de 20 entrées ARP.

[HUAWEI-Vlanif10] arp-limit maximum 20

 

5. Désactiver l'apprentissage ARP sur les interfaces

Désactive une interface d'apprendre les entrées ARP, empêchant les entrées ARP d'être épuisées lorsqu'un hôte connecté à l'interface attaque le périphérique.

# Désactivez VLANIF10 pour l'apprentissage des entrées ARP dynamiques.

[HUAWEI-Vlanif10] arp learning disable

  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier