envenenamento ARP detectado a partir de nossos laptops linux e clientes vmware

1

Temos um problema recorrente em nossa rede de escritórios, onde o Firewall reporta ataques de envenenamento por ARP. A origem dos ataques são regularmente os nossos laptops Ubuntu 14.04, ou máquinas virtuais VMware executadas em cima deles.

Editar, mais informações:

Estamos executando o antivírus ESET e o firewall local em cada laptop, o que normalmente aciona o aviso de envenenamento ARP. Todos os laptops Windows estão sob controle de domínio, enquanto as máquinas Linux não são.

Qual é uma boa estratégia para colocar essas máquinas na linha novamente e evitar mais avisos de ataques ARP?

    
por Trygve 23.08.2016 / 09:06

1 resposta

2

Se esses dispositivos tiverem várias interfaces de rede que possuam um endereço IP na mesma sub-rede, é possível que você esteja sofrendo de ARP Flux :

When a linux box is connected to a network segment with multiple network cards, a potential problem with the link layer address to IP address mapping can occur. The machine may respond to ARP requests from both Ethernet interfaces.

On the machine creating the ARP request, these multiple answers can cause confusion, or worse yet, non-deterministic population of the ARP cache. Known as ARP flux [13], this can lead to the possibly puzzling effect that an IP migrates non-deterministically through multiple link layer addresses.

It's important to understand that ARP flux typically only affects hosts which have multiple physical connections to the same medium or broadcast domain.

Se você tem um sistema que detecta quando IP > Os mapeamentos de endereço MAC estão mudando, um dispositivo que anuncia dois endereços MAC diferentes para o mesmo endereço IP pode fazer com que esse sistema seja acionado.

Como teste, você pode modificar a variável sysctl% a no interfaces e ver se isso interrompe os avisos. Definir o valor dessa variável como 1 (padrão 0) garantirá que somente a interface que contém o endereço IP de destino da solicitação ARP responda.

Para modificar temporariamente o valor, defina a variável para cada uma das suas interfaces. Por exemplo:

echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
echo 1 > /proc/sys/net/ipv4/conf/default/arp_ignore
echo 1 > /proc/sys/net/ipv4/conf/eth0/arp_ignore
...
echo 1 > /proc/sys/net/ipv4/conf/eth6/arp_ignore

As alterações acima serão revertidas na reinicialização, por isso, se resolver o problema, você poderá tornar a alteração persistente adicionando um novo arquivo sysctl conf:

user@host: ~$ cat /etc/sysctl.d/90-no-arp-flux.conf 
net.ipv4.conf.all.arp_ignore=1
net.ipv4.conf.default.arp_ignore=1
net.ipv4.conf.eth0.arp_ignore=1
net.ipv4.conf.eth1.arp_ignore=1

Carregue o novo arquivo conf com arp_ignore

    
por 25.08.2016 / 14:39