了解和使用动态 ARP 检测 (DAI)
动态 ARP 检测 (DAI) 可保护交换设备免遭地址解析协议 (ARP) 数据包欺骗(也称为 ARP 中毒或 ARP 缓存中毒)。
DAI 检查 LAN 上的 ARP,并使用交换机上 DHCP 侦听数据库中的信息来验证 ARP 数据包并防止 ARP 欺骗。将 ARP 请求和回复与 DHCP 侦听数据库中的条目进行比较,并根据这些比较的结果进行过滤决策。当攻击者尝试使用伪造的 ARP 数据包欺骗地址时,交换机会将地址与数据库中的条目进行比较。如果 ARP 数据包中的媒体访问控制 (MAC) 地址或 IP 地址与 DHCP 侦听数据库中的有效条目不匹配,则数据包将被丢弃
了解 ARP 欺骗和检测
ARP 数据包发送至路由引擎,并且速率受限,以保护交换设备免遭 CPU 过载。
地址解析协议
在多接入网络上发送 IP 数据包需要将 IP 地址映射到以太网 MAC 地址。
以太网 LAN 使用 ARP 将 MAC 地址映射到 IP 地址。
交换设备在将数据包转发至网络设备时咨询的缓存中维护此映射。如果 ARP 缓存中没有目标设备的条目,则主机(DHCP 客户端)会广播有关该设备地址的 ARP 请求,并将响应存储在缓存中。
ARP 欺骗
ARP 欺骗是发起中间人攻击的一种方式。攻击者发送一个 ARP 数据包,该数据包欺骗 LAN 上其他设备的 MAC 地址。交换设备不会将流量发送到适当的网络设备,而是使用冒充适当设备的欺骗地址将流量发送至设备。如果冒名顶替设备是攻击者的机器,则攻击者会收到来自交换机的所有信息流,这些信息流必须已转至另一台设备。结果是交换设备的流量被误导,无法到达其正确的目标。
ARP 欺骗的一种类型是无偿 ARP,即当网络设备发送 ARP 请求解决其自己的 IP 地址时。在正常的 LAN 操作中,无偿的 ARP 消息表示两台设备具有相同的 MAC 地址。当设备中的网络接口卡 (NIC) 被更改并重新启动设备时,它们也会被广播,以便 LAN 上的其他设备更新其 ARP 缓存。在恶意情况下,攻击者可能会向设备发送 ARP 响应,以将发往特定 IP 地址的所有数据包转至不同的 MAC 地址,从而毒害网络设备的 ARP 缓存。
为了防止 MAC 欺骗通过无偿 ARP 和其他类型的欺骗,交换机通过 DAI 检查 ARP 响应。
动态 ARP 检测
DAI 检查 LAN 上的 ARP 请求和响应,并验证 ARP 数据包。交换机从接入端口拦截 ARP 数据包,并根据 DHCP 侦听数据库验证这些数据包。如果数据库中没有 IP-MAC 条目与 ARP 数据包中的信息对应,则 DAI 会丢弃 ARP 数据包,并且该数据包中的信息不会更新本地 ARP 缓存。当数据包中的 IP 地址无效时,DAI 还会丢弃 ARP 数据包。ARP 探测数据包无需进行动态 ARP 检测。交换机始终转发此类数据包。
EX 系列交换机和 QFX 系列的 Junos OS 对访问端口上接收的 ARP 数据包使用 DAI,因为默认情况下这些端口不受信任。默认情况下,中继端口是可信的,因此 ARP 数据包绕过其中的 DAI。
您为每个 VLAN 配置 DAI,而不是为每个接口(端口)配置 DAI。默认情况下,所有 VLAN 都禁用 DAI。
如果将接口设置为 DHCP 可信端口,则 ARP 数据包也值得信任。
如果您的交换设备是 EX 系列交换机,并且使用 Junos OS 支持增强型第 2 层软件 (ELS) 配置样式,请参阅 启用可信 DHCP 服务器 (ELS), 了解有关将接入接口配置为 DHCP 可信端口的信息。
对于连接到网络设备的交换设备的数据包,VLAN 上将广播 ARP 查询。对这些查询的 ARP 响应会受到 DAI 检查。
对于 DAI,所有 ARP 数据包都受困于数据包转发引擎。为防止 CPU 过载,发往路由引擎的 ARP 数据包的速率受限。
如果 DHCP 服务器停机,并且先前有效的 ARP 数据包的 IP-MAC 条目租用时间用完,则该数据包将被阻止。
确定已检查数据包的优先级
QFX 系列和 EX4600 交换机上不支持确定已检查的数据包的优先级。
您可以使用服务等级 (CoS) 转发类和队列来为指定的 VLAN 排定 DAI 数据包的优先级。这种类型的配置将检查到的出口队列中该 VLAN 的数据包,您指定,确保安全过程不会干扰高优先级信息流的传输。
启用动态 ARP 检测 (ELS)
此任务使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。如果交换机运行的软件不支持 ELS,请参阅 启用动态 ARP 检测(非 ELS)。
动态 ARP 检测 (DAI) 可保护交换机免遭 ARP 欺骗。DAI 检查 LAN 上的 ARP 数据包,并使用交换机上 DHCP 侦听数据库中的信息来验证 ARP 数据包并防止 ARP 缓存中毒。
在 VLAN 上启用 DAI 之前,必须配置 VLAN。请参阅 为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)。
要使用 CLI 在 VLAN 上启用 DAI:
[edit vlans vlan-name forwarding-options dhcp-security] user@switch# set arp-inspection
另请参阅
启用动态 ARP 检测(非 ELS)
此任务使用不支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。如果您的交换机运行的软件确实支持 ELS,请参阅 启用动态 ARP 检测 (ELS)。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI。
动态 ARP 检测 (DAI) 可保护交换机免遭 ARP 欺骗。DAI 检查 LAN 上的 ARP 数据包,并使用交换机上 DHCP 侦听数据库中的信息来验证 ARP 数据包并防止 ARP 缓存中毒。
在 VLAN 上启用 DAI
您为每个 VLAN 配置 DAI,而不是为每个接口(端口)配置 DAI。默认情况下,所有 VLAN 都禁用 DAI。
要在 VLAN 或所有 VLAN 上启用 DAI:
在单个 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan vlan-name arp-inspection
在所有 VLAN 上:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan all arp-inspection
在桥接域上启用 DAI
请参阅 配置 桥接域 以在必要时设置桥接域。
要在桥接域上启用 DAI:
[edit bridge-domains bridge-domain-name forwarding-options dhcp-security] user@device# set arp-inspection
应用 CoS 转发类来确定被检查的数据包的优先级
您可能需要使用服务等级 (CoS) 来保护数据包免遭在网络拥塞和延迟期间被丢弃的关键应用程序,并且您可能需要在这些关键数据包进出的相同端口上使用 DHCP 侦听的端口安全功能。
要将 CoS 转发类和队列应用于 DAI 数据包:
验证 DAI 是否工作正常
目的
验证动态 ARP 检查 (DAI) 是否在交换机上工作。
行动
从连接到交换机的网络设备发送一些 ARP 请求。
显示 DAI 信息:
user@switch> show arp inspection statistics ARP inspection statistics: Interface Packets received ARP inspection pass ARP inspection failed --------------- --------------- -------------------- --------------------- ge-0/0/1.0 7 5 2 ge-0/0/2.0 10 10 0 ge-0/0/3.0 12 12 0
意义
样本输出显示每个接口接收和检查的 ARP 数据包数量,其中列出了经过的数据包数量和每个接口上的检查失败数。交换机将 ARP 请求和回复与 DHCP 侦听数据库中的条目进行比较。如果 ARP 数据包中的 MAC 地址或 IP 地址与数据库中的有效条目不匹配,则数据包将被丢弃。