防止同網段arp欺騙攻擊的配置方法
二層交換機實現仿冒閘道器的arp防攻擊:一、組網需求:
1. 二層交換機阻止網路使用者仿冒閘道器ip的
arp攻擊
二、組網圖:
圖1二層交換機防
arp攻擊組網
s3552p
是三層裝置,其中ip:
100.1.1.1
是所有pc
的閘道器,
s3552p
上的閘道器
mac位址為
000f-e200-3999
。pc-b
上裝有arp
攻擊軟體。現在需要對
s3026c_a
進行一些特殊配置,目的是過濾掉仿冒閘道器ip的
arp報文。
三、配置步驟
對於二層交換機如
s3026c
等支援使用者自定義
acl(
number
為5000
到5999
)的交換機,可以配置
acl來進行
arp報文過濾。
全域性配置
acl禁止所有
sender ip address欄位
是閘道器ip位址的
arp報文
acl num5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
其中rule0
把整個s3026c_a
的埠冒充閘道器的
arp reply
報文禁掉,其中斜體部分
64010101
是閘道器ip
位址100.1.1.1的16
進製表示形式。
rule1
允許通過閘道器傳送的
arp報文,斜體部分為閘道器的
mac位址
000f-e200-3999。
注意:配置
rule
時的配置順序,上述配置為先下發後生效的情況。
在s3026c-a
系統檢視下發
acl規則:
[s3026c-a] packet-filter user-group 5000
這樣只有
s3026c_a
上連閘道器裝置才能夠傳送閘道器的
arp報文,其它主機都不能傳送假冒閘道器的
arp響應報文。
三層
交換機實現仿冒閘道器的arp防攻擊
一、組網需求:
1.
三層交換機實現防止同網段的使用者仿冒閘道器ip的
arp攻擊
二、組網圖
圖2 三層交換機防
arp攻擊組網
三、配置步驟
1. 對於三層裝置自己作為閘道器,需要配置過濾
sender ip address欄位
是閘道器的
arp報文的
acl規則,配置如下
acl規則:
acl number 5000
rule 0 deny 0806 ffff 24 64010105 ffffffff 40
rule0
禁止s3526e
的所有埠接收冒充閘道器的
arp報文,其中斜體部分
64010105
是閘道器ip
位址100.1.1.5的16
進製表示形式。
2. 下發acl
到全域性
[s3526e] packet-filter user-group 5000
仿冒他人
ip
的
arp
防攻擊
一、組網需求:
作為閘道器的裝置有可能會出現錯誤
arp的表項,因此在閘道器裝置上還需對使用者仿冒他人ip的
arp攻擊報文進行過濾。
二、組網圖:
參見圖1和圖
2 三、配置步驟:
1. 如圖1
所示,當
pc-b
傳送源ip
位址為pc-d
的arp reply
攻擊報文,源
mac是
pc-b
的mac (000d-88f8-09fa)
,源ip
是pc-d
的ip(100.1.1.3)
,目的ip
和mac
是閘道器(
3552p
)的,這樣
3552
上就會學習到錯誤的
arp,如下所示:
---------------------
錯誤arp
表項--------------------------------
ip addressmac addressvlan idport nameaging type
100.1.1.4000d-88f8-09fa1ethernet0/220dynamic
100.1.1.3000f-3d81-45b41ethernet0/2
20dynamic
從網路連線可以知道
pc-d
的arp
表項應該學習到埠
e0/8
上,而不應該學習到
e0/2
埠上。但實際上交換機上學習到該
arp表項在
e0/2
。上述現象可以在
s3552
上配置靜態
arp實現防攻擊:
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
2. 在圖2 s3526c
上也可以配置靜態
arp來防止裝置學習到錯誤的
arp表項。
3. 對於二層裝置(
s3050c
和s3026e
系列),除了可以配置靜態
arp外,還可以配置ip+
mac+
port
繫結,比如在
s3026c
埠e0/4
上做如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
則ip為
100.1.1.4
並且mac
為000d-88f8-09fa
的arp
報文可以通過
e0/4
埠,仿冒其它裝置的
arp報文則無法通過,從而不會出現錯誤
arp表項。
四、配置關鍵點:
此處僅僅列舉了部分
quidway s
系列乙太網交換機的應用。在實際的網路應用中,請根據配置手冊確認該產品是否支援使用者自定義
acl和位址繫結。僅僅具有上述功能的交換機才能防止
arp欺騙。
防止同網段ARP攻擊
arp攻擊是一種常見的網路問題,對此,需要恰當配置交換裝置。以下以h3c裝置為例,介紹典型的配置方法。一 對於阻止仿冒閘道器ip的arp攻擊 1 二層交換機防攻擊配置舉例 3552p是三層裝置,其中ip 100.1.1.1是所有pc的閘道器,3552p上的閘道器mac位址為000f e200 399...
ARP攻擊與欺騙的原理
arp攻擊的原理 arp 攻擊很惡意,主要目的是使網路無法正常通訊 arp攻擊原理 1 pc2向pc1傳送乙個虛假的閘道器mac位址 2 pc1向pc2傳送資料時,就會傳送到虛假的mac位址當中,不 會傳到正常internet閘道器,而虛假位置不提供internet網路服務,所以pc1的資料一直發不...
ARP協議攻擊與欺騙的原理
二 arp攻擊與arp欺騙的原理和應用 在區域網中,交換機通過mac位址進行通訊,要獲得目的主機的mac位址就需要使用arp協議將目的ip位址解析成目的mac位址。所以,arp a的dressr二solutionp融通從來,位址解析協議 的基本功能是負責將乙個已知的ip位址解析成mac位址,以便在交...