網(wǎng)絡(luò)維護(hù)工作中最常見的攻擊相信很多維護(hù)人員都會遇到，例如ARP攻擊，TCP Flood攻擊，口令暴力破解等。面對來勢洶洶的各類攻擊，華為網(wǎng)絡(luò)設(shè)備針對各類攻擊也有應(yīng)對之策。

結(jié)合實驗環(huán)境，我們用常見的辦法cpu-defend和arp限速來應(yīng)對ARP攻擊。

實驗拓?fù)?/h3>

實驗環(huán)境

實驗拓?fù)鋱D如上，應(yīng)用到設(shè)備環(huán)境PC2（模擬受害者PC）、Vmnet1-attacker(攻擊者，用Kali虛擬機(jī)來模擬攻擊)，Vmnet2-Internet(模擬到互聯(lián)網(wǎng))。實驗中我們通過Kali來ARP攻擊PC2，使PC2無法訪問互聯(lián)網(wǎng)，受實驗條件所限我們通過ping來測試驗證結(jié)果。

基本配置

PC2 設(shè)置

LSW2配置

dis cur

#

sysname LSW2

#

router id 1.1.1.1

#

vlan batch 10 20 30

#

interface Vlanif10

ip address 192.168.10.1 255.255.255.0

#

interface Vlanif20

ip address 192.168.20.1 255.255.255.0

#

interface Vlanif30

ip address 192.168.30.254 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 30

#

interface GigabitEthernet0/0/4

port link-type access

port default vlan 20

#

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

#

ospf 1 router-id 1.1.1.1

area 0.0.0.0

network 1.1.1.1 0.0.0.0

network 192.168.10.1 0.0.0.0

network 192.168.20.1 0.0.0.0

network 192.168.30.254 0.0.0.0

#

AR2的配置

dis cur

#

sysname AR2

#

router id 2.2.2.2

#

lldp enable

#

interface GigabitEthernet0/0/0

ip address 192.168.30.1 255.255.255.0

#

interface GigabitEthernet0/0/1

ip address 192.168.137.254 255.255.255.0

#

interface LoopBack0

ip address 2.2.2.2 255.255.255.255

#

ospf 1 router-id 2.2.2.2

default-route-advertise always

area 0.0.0.0

network 0.0.0.0 255.255.255.255

network 2.2.2.2 0.0.0.0

network 192.168.30.1 0.0.0.0

network 192.168.40.1 0.0.0.0

#

ip route-static 0.0.0.0 0.0.0.0 192.168.137.1

#

Kali（模擬攻擊者）配置：

Kali配置

實驗測試

未攻擊前，測試PC2的連通性：

PC2 測試網(wǎng)關(guān)及Kali

PC2 PING沿途IP

PC2 Tracert路徑

PC2的ARP表

從上圖我們可知，PC2可以正常訪問互聯(lián)網(wǎng)?，F(xiàn)在我們通過Kali 來模擬攻擊，看下效果。

開始模擬攻擊，測試PC2的連通性：

攻擊命令：arpspoof -i eth0 -t 192.168.20.10 192.168.20.1

i參數(shù)指定接口，-t 設(shè)置目標(biāo)，192.168.20.10為受害機(jī)（即PC2），192.168.20.1為網(wǎng)關(guān)（PC2的網(wǎng)關(guān)）。

實驗測試出錯

上圖是我們測試時報錯，發(fā)現(xiàn)是權(quán)限問題，在命令前加sudo就可以解決。即

sudo arpspoof -i eth0 -t 192.168.20.10 192.168.20.1

模擬攻擊

測試我們發(fā)現(xiàn)PC2的網(wǎng)關(guān)的MAC地址原本應(yīng)該是4c1f-ccd9-77df，卻被Kali覆蓋成00:0c:29:c6:62:8c，這樣造成的后果就是PC2無法平常通信了，也就無法正常上網(wǎng)。

PC2無法PING 114.114.114.114

PC2 網(wǎng)關(guān)MAC被覆蓋

通過實驗現(xiàn)象我們很容易看出，ARP欺騙能夠讓受害機(jī)無法學(xué)習(xí)到正確的網(wǎng)關(guān)MAC地址，導(dǎo)致受害機(jī)無法正常上網(wǎng)。

解決對策

當(dāng)局域網(wǎng)出現(xiàn)大量ARP廣播流量時，不僅普通電腦會感覺到受影響，同時大量的ARP廣播報文會消耗交換機(jī)的CPU資源，因此針對常見的網(wǎng)絡(luò)攻擊如ARP、TCP Flood、口令暴力破解等常見攻擊，可以通過交換機(jī)cpu-defend模塊來加固系統(tǒng)，減少設(shè)備CPU資源銷毀，針對攻擊者的流量進(jìn)行限速或設(shè)置懲罰時間進(jìn)行選擇性丟棄，這樣能最大程度保護(hù)網(wǎng)絡(luò)免受影響。

配置cpu-defend:

cpu-defend policy test

auto-defend enable

auto-defend attack-packet sample 10

auto-defend threshold 50（這里的閾值，根據(jù)實際現(xiàn)網(wǎng)環(huán)境中設(shè)備性能及實際情況來合理設(shè)置，默認(rèn)是60）

auto-defend alarm enable

auto-defend protocolarp dhcp tcp telnet icmp udp（這里可以針對常見的協(xié)議選擇性配置，實際環(huán)境中發(fā)現(xiàn)對暴力破解，ssh\telnet均有效果，ssh也是屬于tcp類型協(xié)議）

auto-defend action deny timer 120 （該命令會丟棄一些攻擊包，謹(jǐn)慎配置）

cpu-defend-policy test global

同時，還可以針對ARP協(xié)議進(jìn)行源IP地址或源MAC進(jìn)行特定的限速，如：

arp限速：

arp speed-limit source-ip maximum 35

arp speed-limit source-mac maximum 35

arp-miss speed-limit source-ip maximum 20

實驗總結(jié)

網(wǎng)絡(luò)環(huán)境并不太平，針對復(fù)雜環(huán)境需要掌握一些常見應(yīng)對網(wǎng)絡(luò)攻擊的方法，才能有效地阻斷攻擊者對網(wǎng)絡(luò)的破壞。