arp攻擊是一種常見的網路問題,對此,需要恰當配置交換裝置。以下以h3c裝置為例,介紹典型的配置方法。
一、對於阻止仿冒閘道器ip的arp攻擊
1、二層交換機防攻擊配置舉例
3552p是三層裝置,其中ip:100.1.1.1是所有pc的閘道器,3552p上的閘道器mac位址為000f-e200-3999。現在pc-b裝有arp攻擊軟體。現在需要對3026_a進行一些特殊配置,目的是過濾掉仿冒閘道器ip的arp報文。
對於二層交換機如3026c等,可以配置acl
(1)全域性配置deny 所有源ip是閘道器的arp報文(自定義規則)
acl num 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
在s3026c-a系統檢視下發acl規則:
[s3026c-a]packet-filter user-group 5000
這樣只有3026c_a上連裝置能夠下發閘道器的arp報文,其它pc就不能傳送假冒閘道器的arp響應報文。
2、三層交換機防攻擊配置舉例
對於三層裝置,需要配置過濾源ip是閘道器的arp報文的acl規則,配置如下acl規則:
acl num 5000
rule 0 deny 0806 ffff 24 64010105 ffffffff 40
二、仿冒他人ip的arp攻擊
作為閘道器的裝置有可能會出現arp錯誤表項,在閘道器裝置上還需對仿冒他人ip的arp攻擊報文進行過濾。
當pc-b傳送pc-d的arp的reply攻擊報文,源mac是pc-b的mac (000d-88f8-09fa),源ip是pc-d的ip(100.1.1.3),目的ip和mac是閘道器(3552p)的,這樣3552上就會學錯arp,如下:
--------------------- 錯誤 arp 表項 --------------------------------
ip address mac address vlan id port name aging type
100.1.1.4 000d-88f8-09fa 1 ethernet0/2 20 dynamic
100.1.1.3 000f-3d81-45b4 1 ethernet0/2 20 dynamic
pc-d的arp表項應該學習到埠e0/8上,而不應該學習到e0/2埠上。
①在3552上配置靜態arp,可以防止該現象:
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
②同理,在圖2中,也可以配置靜態arp來防止裝置學習到錯誤的arp表項。
③對於二層裝置(3050和3026系列),除了可以配置靜態arp外,還可以配置ip+mac+port繫結,比如在3026c埠4上作如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
則ip為100.1.1.4並且mac為000d-88f8-09fa的arp報文可以通過e0/4埠,仿冒其它裝置arp報文無法通過,從而不會出現錯誤arp表項。
防止同網段ARP欺騙攻擊的配置方法
防止同網段arp欺騙攻擊的配置方法 二層交換機實現仿冒閘道器的arp防攻擊 一 組網需求 1.二層交換機阻止網路使用者仿冒閘道器ip的 arp攻擊 二 組網圖 圖1二層交換機防 arp攻擊組網 s3552p 是三層裝置,其中ip 100.1.1.1 是所有pc 的閘道器,s3552p 上的閘道器 m...
arp協議獲取mac位址,同網段和不同網段。
arp協議屬於osi模型第二層 資料鏈路層 那麼問題來了,傳送端能很簡單的獲取到傳送端的ip位址和mac位址,以及接收端的ip位址,而接收端的mac位址最開始是不知道的,而arp協議就是為了解決這個問題的,它能通過接收端的ip位址解析到mac位址。然而,arp協議是屬於資料鏈路層的協議,如果傳送端和...
ubuntu 防止ARP攻擊
現在用ubuntu上網經常掉線,但是windows好像沒什麼大問題,就在伺服器上裝了個 ccproxy 很好用。最後發現可能是區域網內有arp攻擊。在網上找了一些方案,發現還是很管用。記錄如下 一 手工繫結arp 1 先使用arp和 arp a檢視一下當前arp快取列表 root ftpsvr ar...