网络攻击的种类可分为哪几种(网络攻击行为如何高效避免)
网络攻击的种类可分为哪几种(网络攻击行为如何高效避免)6. 在网关设备上部署禁止接口学习ARP表项的功能,通过禁止某个接口进行ARP表项学习,防止接口下所接入的用户发起的ARP攻击导致整个设备的ARP表资源都被耗尽。5.在网关设备上部署ARP表项限制 ,设置设备接口只能学习到不超过最大动态ARP表项数目。可以防止某一个接口所下接入的用户主机发起ARP攻击时造成整个设备的ARP表资源都被耗尽。2.通过在网关设备上部署ARP Miss消息限速,防止因收到大量目的IP而不能正常对IP报文进行解析,触发大量ARPMiss消息,导致CPU负荷过重。3. 通过在网关设备上部署无故ARP消息主动丢弃,防止设备因处理大量免费ARP报文,导致CPU负荷过重。4. 在网关设备上部署ARP表项的严格学习控制,设置只有本端设备主动发送的ARP请求报文的应答报文才能触发本设备进行ARP学习。这样可以有效防止设备收到大量ARP攻击报文, 导致ARP表被无效的ARP条目占
今天我们来说说ARP 攻击基本防护。
为了避免上述ARP攻击行为造成的各种危害, ARP安全特性针对不同的攻击类型提供了多种解决方案。
针对于ARP洪泛攻击,可以采取以下方式进行基本防护:
1.通过对ARP报文进行限速,建议在网关设备上进行部署,防止因大量ARP报文,导致的CPU负荷过重而造成其他业务无法处理。
2.通过在网关设备上部署ARP Miss消息限速,防止因收到大量目的IP而不能正常对IP报文进行解析,触发大量ARPMiss消息,导致CPU负荷过重。
3. 通过在网关设备上部署无故ARP消息主动丢弃,防止设备因处理大量免费ARP报文,导致CPU负荷过重。
4. 在网关设备上部署ARP表项的严格学习控制,设置只有本端设备主动发送的ARP请求报文的应答报文才能触发本设备进行ARP学习。这样可以有效防止设备收到大量ARP攻击报文, 导致ARP表被无效的ARP条目占满。
5.在网关设备上部署ARP表项限制 ,设置设备接口只能学习到不超过最大动态ARP表项数目。可以防止某一个接口所下接入的用户主机发起ARP攻击时造成整个设备的ARP表资源都被耗尽。
6. 在网关设备上部署禁止接口学习ARP表项的功能,通过禁止某个接口进行ARP表项学习,防止接口下所接入的用户发起的ARP攻击导致整个设备的ARP表资源都被耗尽。
针对ARP表欺骗攻击,可以采取以下方式进行:
1.通过在网关设备上部署ARP表项固化功能, 使得设备在第一次学习到ARP之后,将会采取以下方式限制表项更新:不再允许用户更新此ARP表项、只能更新此ARP表项的部分信息,或者通过发送ARP请求报文的方式进行确认,防止攻击者伪造ARP报文修改正常用户的ARP表项内容。ARP表项固化模式一般分为 fixed-all模式、 fixed-mac模式和send-ack三种模式。
2. 在接入设备上部署动态ARP检测,设备收到ARP报文之后,会将此ARP报文的源IP、源MAC,收到ARP报文的接口及VLAN信息与绑定的信息进行比较,如果信息匹配,则认为是合法用户,允许此用户的ARP报文通过,否则认为是攻击报文,则丢弃该ARP报文。这种方式仅适用于DHCP Snooping 已经部署的情况下使用。
3. 在网关设备上部署无故ARP报文主动丢弃功能,通过主动丢弃无故ARP报文,防止设备因收到大量伪造的无故ARP报文,导致ARP表项更新错误,合法用户的通信流量发生被中断。
4. 在网关设备上部署ARP报文MAC地址一致性检查,通过ARP报文MAC地址一致性检查功能,可以防止以太网数据帧中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致的ARP欺骗攻击。
5. 在网关设备上部署本ARP表项严格学习功能,开启该功能后,只有本设备主动发送的ARP请求报文的应答报文才能触发本端设备学习,而其他设备发送的ARP报文则不能触发本设备学习ARP。用来防止设备因收到伪造的ARP报文,导致ARP表项更新错误,合法用户的通信流量发生中断。
平常学习工作中,你对哪块技术感兴趣呢?欢迎大家在留言区互动交流,我们也会挑选大家感兴趣的技术点来分享。
√ 坚持每天技术打卡 √ 学网络,就在IE-LAB √ 国内最著名的高端网络工程师培养基地