ARP 攻击防御术心法

西子湖畔

——几乎不涉及到产品
心法卷首语
世间万物有因有果，自从无为老祖自创了IP 之后…………这个世界乱了。
在一个电闪雷鸣的下午一个邪教中人发现了ip 中最脆弱的部分“arp”。自从arp attack 被发
明以后…………更乱了。无数密码、帐号被盗，无数网络在瞬间瘫痪，网管被领导骂得狗血
喷头（画外音：我这联众怎么又上不去了，你是干什么吃的。）。
难道我们就这么坐以待毙吗？不，身为无为老祖第N 代传人的我，继承了无为老祖不断探
索，勇于尝试的优秀品质，经过不断的search，终于找到解决办法。双管齐下，整治ARP attack。
整个江湖已经被浓厚的商业味道所占领，每个门派都在推出自己的产品，经过多年的拼杀，
终于江湖上的两大门派诞生了，一个是以“任我行”任正非为首，总坛设在华夏大地深圳的
huawei 派，一个是以“就是耐用”John T. Chambers 为首总坛设在新大陆美洲的CISCO 派。
两大派高手云集，两派的产品也在不断加入新的功能，这些功能为我实现阻断arp attack 提
供了基础入门心法。
心法修炼要点
一、本心法分上下两卷，第一卷为入门心法可实现初级的arp attack 防御。第二卷为高阶心
法，修炼此心法任督二脉具通者，2 个时辰即可大功告成，否则……………………。
二、心法修炼过程中往往会出现气脉涩滞，修炼者万不可强行冲关，导致气海受损。应屏气
凝神，以小周天仔细检查心法修炼过程中各环节，勿求快，但求稳。
卷一：
卷一卷首语：
本卷以huawei 派武功为基础，huawei 派武功秉承我中华上下五千文化，不求冗长复杂，但
求简单易练。第一卷为第一式L2 的ARP 防御术+辅助心法静态ARP 转发表项。
第一式：L2 的ARP 防御术
Huawei 开创了自定义ACL（acl number 5000‐5999）利用这个我们可以在L2 层面上阻击ARP
attack。在这里我仅以S3026 举例。
全局配置ACL 禁止所有源IP 是网关的ARP 报文
acl num 5001
rule 0 deny 0806 ffff 24 c0a80001 ffffffff 40
rule 1 permit 0806 ffff 24 0013320207ba ffffffffffff 34
其中rule0 把整个S3026 的端口冒充网关的ARP 报文禁掉，其中红色字体部分c0a80001 是
网关IP 地址192.168.0.1 的16 进制表示形式。Rule1 允许通过网关发送的ARP 报文，红色字
体部分为网关的mac 地址0013‐3202‐07ba。
注意：配置Rule 时的配置顺序，上述配置为先下发后生效的情况。
在S3026 系统视图下发acl 规则：
[S3026C] packet‐filter user‐group 5001
这样只有S3026C 上连网关设备才能够发送网关的ARP 报文，其它主机都不能发送假冒网关
的arp 响应报文。
如何验证第一式修炼成功呢？修炼者练成之后，换一个网关设备，网关ip 不变，网络肯定
就不通了，只有将rule 1 里面的MAC 地址换成新网关的地址后才能正常通讯。
辅助心法：在这一式里面，如果想气脉更为通畅，还需再修炼一个辅助心法（可能有的修炼
者已经练成），就是在网关处设置静态的ARP 转发表项。
第二卷（DAI 心法）
第二卷较为复杂，需要修炼者具有较深厚的内力，任督二脉具通者修炼更为神速。修炼第二
卷需要一些先天条件：DHCPserver 一台、CISCO4506 一台（仅用于举例）、CISCO3550\2950
若干。
第一式：搭建DHCPserver
这是第二卷心法的基础，DHCPserver 可以用windows 搭建也可以用linux\UNIX 搭建。我比
较懒，就用windows 搭建吧。基本上有多少个VLAN 就要在DHCPserver 里面做多少个域。
但是有一点就是，server 就不需要做DHCP 了。
第二式：在4506 上面启用DHCP relay
Switch(Config)#Service Dhcp
Switch(Config)#Ip Dhcp Relay Information check
第三式：给每个VLAN 定义DHCPserver
在VLAN 虚接口下
interface Vlan2 （这个是服务器所在的VLAN）
description server
ip address 10.167.88.8 255.255.255.0
!
interface Vlan3
ip address 10.167.89.62 255.255.255.192
ip helper‐address 10.167.88.7（这就是给VLAN 添加DHCP 服务器的命令）
ip pim dense‐mode
!
第四式：启动ip dhcp snooping
ip dhcp snooping vlan 3‐7,9,101‐105（需要在哪个VLAN 上启用就写哪个VLAN 的VLAN 号）
no ip dhcp snooping information option
ip dhcp snooping
这一步按照我的理解就是建立一个IP 和MAC 的对应关系，但是，这个对应关系的来源是来
自DHCP。
第五式：启动ip arp inspection 并记录日志（记录日志非常重要，后面需要用它找到网段中
发送ARP 异常的机器。）
ip arp inspection vlan 3‐7,9,101‐105,200（设置需要启用ip arp inspection 的VLAN）
ip arp inspection log‐buffer entries 1024（这个就不用说了吧，字面上都看得出来）
ip arp inspection log‐buffer logs 1024 interval 10
ip arp inspection limit rate 30（这是设置ARP 阀值，超过此阀值会直接导致端口因发生
err‐disable 错误而DOWN）
这已是里面我认为最重要的就是最后一条，如何能保证网络的稳定运行，就靠它了，那个端
口发生问题就把那个关掉，以免影响VLAN 内其它机器。
第六式：设置err‐disable 恢复条件
第五式中端口会被DOWN 掉，那怎么恢复呢？不能一直被DOWN。在这里我们有两个
选择。
一、手动将端口shutdown 、no shutdown，对于我这个天下第一懒武术家怎么能忍受这种
笨到家的办法呢！
二、使用errdisable recovery 心法
errdisable recovery cause arp‐inspection（对arp‐inspection 产生的errdisable 事件使用自
动恢复）
errdisable recovery interval 30（恢复时间为相对时间30 秒）
第七式：设置端口为untrust
Switch(Config)#interface range fastEthernet 2/1 – 48
Switch(config‐if‐range)#no ip arp inspection trust（设置端口为untrust 端口，这样ip arp
inspection 才会在这个端口上生效）
第八式：设置日志服务器
logging source‐interface GigabitEthernet1/2（发送日志的源接口）
logging 10.167.88.7（日志服务器地址）
第九式：法外开恩
有些网段里面可能有一些计算机不能更改地址，或者是一些设备不能使用DHCP。那么我们
就要法外开恩，不对他们进行检测。
第一招：定义arp access‐list
arp access‐list caiwuliwai
permit ip host 10.167.91.10 mac any log
arp access‐list shengchanliwai
permit ip host 10.167.90.101 mac any log
permit ip host 10.167.90.66 mac any log
第二招：ip arp inspection filter
ip arp inspection filter caiwuliwai vlan 4
ip arp inspection filter shengchanliwai vlan 103
第十式：搭建日志服务器
我用的是KiwiSyslogDaemon 轻量级的日志系统。
至此第二卷全部结束。
心法要领说明：
17:56:00: %SW_DAI‐4‐DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa4/19, vlan
200.([000a.e43e.c463/192.168.200.100/0000.0000.0000/192.168.200.100/08:12:15 UTC Wed
Apr 26 2006])这个设备的时间我没调整
这个日志说明用户没有使用DHCP，而是使用手工指定的方式配置Ip 地址。
03:23:09: %SW_DAI‐4‐PACKET_RATE_EXCEEDED: 16 packets received in 4 milliseconds on Fa6/10.
（阀值值超过报警）
03:23:09: %PM‐4‐ERR_DISABLE: arp‐inspection error detected on Fa6/10, putting Fa6/10 in
err‐disable state（端口自动关闭）
这个日志说明这个端口接收到的ARP 报文超过了阀值，端口自动关闭。
本心法还可防止用户手工配置IP 地址，有利于管理。
这个心法对于那种疯狂发送ARP 报文，还有那种ARP 扫描都很有效。Arp 扫描我使用的是
WinArpAttacker3.50。
除此之外，为防止交换机下面挂的傻HUB、杂牌交换机上的PC 互相攻击的问题，采用编写
脚本下发的模式，脚本在附件里。

施老2005

用360ARP防火墙。

godhua

用金山arp防火墙，很好的。

xgtao

够复杂的，看着有点晕！
不过还是谢谢楼主了！

卧侬先生

还是用ARP防火墙吧，看得头晕了!

lookbooker

不用局域网
单线
不就行了