网络维护工作中最常见的攻击相信很多维护人员都会遇到,例如ARP攻击,TCP Flood攻击,口令暴力破解等。面对来势汹汹的各类攻击,华为网络设备针对各类攻击也有应对之策。
结合实验环境,我们用常见的办法cpu-defend和arp限速来应对ARP攻击。
实验拓扑
实验环境
实验拓扑图如上,应用到设备环境PC2(模拟受害者PC)、Vmnet1-attacker攻击者,用Kali虚拟机来模拟攻击),Vmnet2-Internet模拟到互联网)。实验中我们通过Kali来ARP攻击PC2,使PC2无法访问互联网,受实验条件所限我们通过ping来测试验证结果。
基本配置
PC2 设置
LSW2配置
dis cur
#
sysname LSW2
#
router id 1.1.1.1
#
vlan batch 10 20 30
#
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
#
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 20
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 192.168.10.1 0.0.0.0
network 192.168.20.1 0.0.0.0
network 192.168.30.254 0.0.0.0
#
AR2的配置
dis cur
#
sysname AR2
#
router id 2.2.2.2
#
lldp enable
#
interface GigabitEthernet0/0/0
ip address 192.168.30.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.137.254 255.255.255.0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
#
ospf 1 router-id 2.2.2.2
default-route-advertise always
area 0.0.0.0
network 0.0.0.0 255.255.255.255
network 2.2.2.2 0.0.0.0
network 192.168.30.1 0.0.0.0
network 192.168.40.1 0.0.0.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.137.1
#
Kali(模拟攻击者)配置:
Kali配置
实验测试
未攻击前,测试PC2的连通性:
PC2 测试网关及Kali
PC2 PING沿途IP
PC2 Tracert路径
PC2的ARP表
从上图我们可知,PC2可以正常访问互联网。现在我们通过Kali 来模拟攻击,看下效果。
开始模拟攻击,测试PC2的连通性:
攻击命令:arpspoof -i eth0 -t 192.168.20.10 192.168.20.1
i参数指定接口,-t 设置目标,192.168.20.10为受害机(即PC2),192.168.20.1为网关(PC2的网关)。
实验测试出错
上图是我们测试时报错,发现是权限问题,在命令前加sudo就可以解决。即
sudo arpspoof -i eth0 -t 192.168.20.10 192.168.20.1
模拟攻击
测试我们发现PC2的网关的MAC地址原本应该是4c1f-ccd9-77df,却被Kali覆盖成00:0c:29:c6:62:8c,这样造成的后果就是PC2无法平常通信了,也就无法正常上网。
PC2无法PING 114.114.114.114
PC2 网关MAC被覆盖
通过实验现象我们很容易看出,ARP欺骗能够让受害机无法学习到正确的网关MAC地址,导致受害机无法正常上网。
解决对策
当局域网出现大量ARP广播流量时,不仅普通电脑会感觉到受影响,同时大量的ARP广播报文会消耗交换机的CPU资源,因此针对常见的网络攻击如ARP、TCP Flood、口令暴力破解等常见攻击,可以通过交换机cpu-defend模块来加固系统,减少设备CPU资源销毁,针对攻击者的流量进行限速或设置惩罚时间进行选择性丢弃,这样能最大程度保护网络免受影响。
配置cpu-defend:
cpu-defend policy test
auto-defend enable
auto-defend attack-packet sample 10
auto-defend threshold 50(这里的阈值,根据实际现网环境中设备性能及实际情况来合理设置,默认是60)
auto-defend alarm enable
auto-defend protocol arp dhcp tcp telnet icmp udp(这里可以针对常见的协议选择性配置,实际环境中发现对暴力破解,ssh\telnet均有效果,ssh也是属于tcp类型协议)
auto-defend action deny timer 120 (该命令会丢弃一些攻击包,谨慎配置)
cpu-defend-policy test global
同时,还可以针对ARP协议进行源IP地址或源MAC进行特定的限速,如:
arp限速:
arp speed-limit source-ip maximum 35
arp speed-limit source-mac maximum 35
arp-miss speed-limit source-ip maximum 20
实验总结
网络环境并不太平,针对复杂环境需要掌握一些常见应对网络攻击的方法,才能有效地阻断攻击者对网络的破坏。
【免责声明】上述实验技术分享仅供学术和经验交流,不可用于非法用途。请严格遵守国家相关法律法规,因非法滥用造成的后果需自行承担法律责任。