文档编号:1995
浏览:5133 评分:11
最后更新于:2016-03-21
此文档基于ST3528F设备 V2版本
问题描述:
现在有网吧环境如下,内网易受到ARP攻击。环境为主路由-ST3528F-服务器和分交换机。ST3528F的20口上联主路由,2口接的无盘服务器,服务器IP为192.168.16.250。现对ST3528F设置防ARP扫描,及时切断ARP报文广播源,具体环境如下图
设置步骤:
1、用户的ST3528F做了端口映射,这里外网telnet进入交换机后台,config terminal进入全局模式,如图1所示:
图1
2、进入全局模式后,开始设置防ARP操作,命令如图2所示:
图2
上图命令注释如下:
ST3528F(config)#anti-arpscan enable 开启ARP扫描功能
ST3528F(config)#anti-arpscan recovery time 3600 设置自动恢复时间3600秒
ST3528F(config)#anti-arpscan trust ip 192.168.16.250 255.255.255.0 设置无盘服务器IP为信任属性
ST3528F(config)#interface ethernet 1/0/2 进入接口2
ST3528F(config-if-ethernet1/0/2)#anti-arpscan trust port 设置接口为信任属性
ST3528F(config-if-ethernet1/0/2)#exit
ST3528F(config)#interface ethernet 1/0/20 进入接口20
ST3528F(config-if-ethernet1/0/20)#anti-arpscan trust supertrust-port 设置级联口为信任属性
ST3528F(config-if-ethernet1/0/20)#exit
3、使用命令exit退出特权模式后,show anti-arpscan查看配置正常,最后使用命令write保存下配置即可,如图3、图4所示:
图3
图4
备注:ARP扫描为常见的DDOS攻击方式。会探测网络内所有的活动主机,攻击源将会产生大量的ARP报文进行网段广播。攻击源甚至会通过伪造的ARP报文实施大流量攻击,使网络带宽消耗殆尽而瘫痪。而且ARP扫描通常是其他更严重攻击方式前奏,如病毒自动感染、端口扫描、漏洞扫描以进行信息窃取,畸形报文攻击等。
交换机对配置了信任的IP和端口是不会进行检测的。交换机的防ARP扫描默认是关闭的,打开防ARP扫描后,可以同时打开调试开关debug anti-arpscan来查看调试信息。