Cet article décrit plusieurs fonctions anti-attaque ARP déployées sur les commutateurs de passerelle pour empêcher les attaques par inondation.
1. Limite de débit sur les paquets ARP
Limite le taux de paquets ARP, garantissant que l'appareil dispose de ressources CPU suffisantes pour traiter d'autres services lors de la réception d'un grand nombre de paquets ARP.
a. Configuration de la limitation de débit sur les paquets ARP en fonction des adresses IP source
# Définissez le taux maximal de paquets ARP à partir d'une adresse IP spécifiée 10.0.0.1 à 100 pps et le taux maximal de paquets ARP à partir d'une autre adresse IP à 50 pps.
[HUAWEI] arp speed-limit source-ip 10.0.0.1 maximum 100
[HUAWEI] arp speed-limit source-ip maximum 50
b. Configuration de la limitation de débit sur les paquets ARP en fonction des adresses MAC source
# Définissez le taux maximal de paquets ARP d'une adresse MAC spécifiée 0-0-1 à 100 pps et le taux maximal de paquets ARP d'une autre adresse MAC à 50 pps.
[HUAWEI] arp speed-limit source-mac 0-0-1 maximum 100
[HUAWEI] arp speed-limit source-mac maximum 50
Si a et b sont configurés, lors de la réception de paquets ARP à partir d'une source fixe, le périphérique limite le débit de ces paquets en fonction du débit maximal défini par la commande arp speed-limit source-mac.
c. Configuration de la limitation du débit sur les paquets ARP globalement, dans un VLAN ou sur une interface
# Configurez l'interface GE0/0/1 pour permettre à 200 paquets ARP de passer en 10 secondes et jetez tous les paquets ARP en 60 secondes lorsque le nombre de paquets ARP dépasse la limite.
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit enable
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack rate-limit packet 200 interval 10 block-timer 60
2. Limite de débit sur les messages ARP Miss
Limite le taux de messages ARP Miss pour se défendre contre les attaques d'un grand nombre de paquets IP avec des adresses IP de destination non résolubles.
a. Configuration de la limitation du débit sur les messages ARP manquants en fonction des adresses IP source
# Définissez le nombre maximal de messages ARP Miss déclenchés par l'adresse IP 10.0.0.1 par seconde sur 100 et définissez le nombre maximal de messages ARP Miss déclenchés par d'autres adresses IP source par seconde sur 60.
[HUAWEI] arp-miss speed-limit source-ip maximum 60
[HUAWEI] arp-miss speed-limit source-ip 10.0.0.1 maximum 100
b. Configuration de la limitation du débit sur les messages ARP manquants dans le monde, dans un VLAN ou sur une interface
# Configurez le périphérique pour traiter un maximum de 200 messages ARP Miss déclenchés par des paquets IP à partir de l'interface GE0/0/1 en 10 secondes.
[HUAWEI-GigabitEthernet0/0/1] arp-miss anti-attack rate-limit enable
[HUAWEI-GigabitEthernet0/0/1] arp-miss anti-attack rate-limit packet 200 interval 10
3. Apprentissage ARP strict
Cette fonction permet au périphérique d'apprendre uniquement les entrées ARP pour les paquets de réponse ARP en réponse aux paquets de demande ARP envoyés par lui-même. Cela empêche les entrées ARP d'être épuisées par des paquets ARP invalides.
La configuration sur une interface a priorité sur la configuration globale.
[HUAWEI] arp learning strict
[HUAWEI-Vlanif100] arp learning strict force-enable
4. Limitation d'entrée ARP
Cette fonction limite le nombre maximal d'entrées ARP dynamiques pouvant être apprises par le périphérique, empêchant les entrées ARP d'être épuisées lorsqu'un hôte connecté à l'interface attaque le périphérique.
# Configurez que VLANIF 10 peut apprendre dynamiquement un maximum de 20 entrées ARP.
[HUAWEI-Vlanif10] arp-limit maximum 20
5. Désactiver l'apprentissage ARP sur les interfaces
Désactive une interface d'apprendre les entrées ARP, empêchant les entrées ARP d'être épuisées lorsqu'un hôte connecté à l'interface attaque le périphérique.
# Désactivez VLANIF10 pour l'apprentissage des entrées ARP dynamiques.
[HUAWEI-Vlanif10] arp learning disable