龙空技术网

ARP攻击解决方法

无情河边柳 861

前言:

眼前咱们对“arp攻击防御方法”都比较讲究,看官们都需要了解一些“arp攻击防御方法”的相关内容。那么小编同时在网络上汇集了一些关于“arp攻击防御方法””的相关资讯,希望姐妹们能喜欢,我们快快来学习一下吧!

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP广播包致使网络拥塞,攻击者只要持续不断的发送伪造的RP响应包就能更高目标主机的ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

ARP种类:常规ARP、代理ARP、免费ARP

免费ARP的用途:

1 当我更新我得DHCP地址后,发送一份免费的ARP请求,告诉网段内所有的节点我更换了IP地址了,以便更新它们对我的ARP表项

2.用于检测网段内是否有人跟我使用了相同的IP 地址

3.用于ARP攻击.

解决方法:

1.静态绑定IP地址和MAC地址

R1(config)#arp 192.168.100.2 aaaa.bbbb.ccccfastEthernet 0/1

缺陷:如果是通过DHCP自动获取的地址,租期到了以后,绑定就会失效,病情重新发包请求IP地址.也不会分配到IP地址.扩展性很差。

2.Dynamic ARP Inspection 动态ARP监测,交换机上开启.

DAI (Dynamic ARP Inspection) 动态ARP监测,用于基于VLAN的防护机制

交换机开启DAI后,类似DHCP snooping,交换机上的所有接口都是untrusted接口,untrusted接口接收到ARP或ARP映带的时候,会提取ARP请求和应答中的三层或二层地址,与DHCP binding database中的信息进行对比,查看请求者IP应答或者IP是否合法.如果不合法会丢弃报文,合法才会转发.另外,要启用DAI首先要启用DHCP snooping。

当交换机接口手工配置为trusted接口,当收到RP请求或者ARP应答,都不会与DHCP binding database中的信息进行对比,如果报文合法就被方形,不合法就直接丢弃。

因此,在网络拓扑中交换机连接PC的接口应该设置为untrusted接口,交换经济互联的接口以及减缓及连接合法DHCP服务器的接口应该设置为trusted接口。

交换机全局模式下启动DAI

SW1(config)#iparp inspection vlan 20

SW2(config)#iparp inspection vlan 200

把中继链路的接口设置为 trusted接口

SW1(config)#interface fastethernet 0/1

SW1(config-if)#iparp inspection trust

SW2(config)#interface fastethernet 0/2

SW2(config-if)#iparp inspection trust

配置DAI的基本步骤:

1:部署DHCP. 2:部署DHCP Snooping 3:部署DAI 4:把中继接口和连接DHCP服务器的接口设置为trusted接口,并且限制连接PC接口接受ARP报文的速率

ARP报文的rate limit

默认DAI untrust接口的rate limit是15个P/S也就是15pps,trust接口则完全没有限制,可以通过iparp inspection limit 这条接口级的命令来修改。

当接口收到ARP报文超出这个阈值,接口进入err-disable。端口自动关闭.可以使用no shutdown 的方式重新恢复这个接口.或者.使用全局命令errdisble recovery 来让接口在一定时间间隔后自动恢复

SW1(config)#interface fastethernet 0/1

SW1(config-if)#iparp inspection limit rate 20

把接口接受的ARP报文的速率限制20P/S

当接口设置为err-disable状态,自动回复的时间为30S

SW1(config)#errdisable recover cause arp-inspection

SW1(config)#errdisable recovery interval 30

标签: #arp攻击防御方法