如何防止网络网段ARP攻击

{原理}

1。让·阿普是什么

ARP(地址解析协议,地址解析协议)是TCP / IP协议栈的低层协议,它对应于数据链路层,并负责一个IP地址解析成对应的MAC地址,它的基本功能是通过确保通信目标设备的IP地址查询目标设备的MAC地址。

有从IP地址到物理地址的映射:两种形式和非tabular.arp具体指的是网络层地址(IP层,即OSI第三层等效),为数据连接层(MAC层,而MAC地址相当于OSI的第二级)。

2,让·阿普的欺骗是什么

我们假设有两个主机A、B,然后,在局域网中,黑客入侵后收到ARP请求的广播包,可以偷听到其他节点(IP、MAC)地址,黑客伪装成宿主,然后告诉主机B(我们假设为受害者主机B)一个假地址,使B发送一个数据包被黑客截取,和现象,主机A和B不知道。

目前,很多黑客都会用ARP欺骗,但我们不能制止它,因为我们不能在这个阶段组织ARP欺骗,但我们可以减少欺骗的程度。

3、ARP攻击原理

我们已经知道,ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信使网络拥塞现象,只要攻击者持续发送伪造的ARP响应包可以改变目标主机ARP缓存中的IP-MAC条目,该网络或中间人攻击中断。

ARP攻击主要是存在于局域网,局域网如果电脑感染木马ARP,然后系统会感染ARP木马企图欺骗ARP 信息沟通手段截取网络中的其他计算机,并因此导致其他计算机网络通信故障。值得一提的是,ARP将首先访问本地ARP缓存时,缓存的攻击,仍然是动态的

{实际案例}

我们把配置切换装置H3C为例介绍了防止同一网段的典型方法:

1、拦截ARP网关的IP攻击

1)两层交换机抗ARP攻击

描述:

3552p是一个三层的设备

网关:100.1.1.1

在3552p网关的MAC地址是000f-e200-3999

现在pc-b配备了ARP攻击的软件,现在有一些特殊的配置3026_a过滤出来的假冒网关IP ARP报文需要。两层交换机,如3026c,您可以配置ACL;全局配置否认所有的源IP是网关的ARP报文(自定义规则):

访问数5000

规则0 0806 40 2464010101 ffffffff否认FFFF

规则1允许0806 24 34 000fe2003999 ffffffffffff FFFF

注:rule0的目的是禁止整个3026c_a端口冒充网关的ARP报文,和64010101是网关的IP地址的16位二进制形式:100.1.1.1 = 64010101。

目的:为上行端口规则的网关ARP报文被允许通过,和蓝色的部分是网关的MAC地址000f-e200-3999 3552。

ACL规则是在s3026c-a系统视图发布。

{ s3026c-a }包过滤用户组5000

在这种方式中,只有3026c_a装置可以发送网关的ARP报文,和其他电脑无法发送的假网关的ARP应答报文。

2)三层交换机的抗攻击配置

对于三层设备,您需要将过滤器源IP配置为网关ARP消息的ACL规则,配置以下ACL规则:

访问数5000

规则0 0806 40 2464010105 ffffffff否认FFFF

注:rule0的目的是禁止所有3526e端口冒充网关的ARP报文,和64010105是网关的IP地址的16位二进制形式:100.1.1.5 = 64010105。

2,模仿其他IP的ARP攻击

作为一个网关设备的ARP表,错误可能会出现,和网关设备需要过滤的假冒IP ARP攻击的消息。当pc-b发送ARP应答pc-d的攻击报文,源MAC MAC pc-b(000d-88f8-09fa),源IP是pc-d的IP(IP),和目的是连接网关到网关,使3552将学习错误。

错误的ARP表--------------------------------数据交换贸易

IP地址MAC地址VLAN ID端口名称老化类型

1 100.1.1.4 000d-88f8-09fa Ethernet0 / 2 20动态

1 100.1.1.3 000f-3d81-45b4 Ethernet0 / 2 20动态

对pc-d ARP表项应该学习端口E0 / 8不应该学会对E0 / 2端口。

配置3552上的静态ARP可以防止:

静态ARP 100.1.1.3 000f-3d81-45b4 1 E0 / 8






同样,静态ARP也可以配置为防止设备学习错误的ARP表项。

两层设备(3050和3026系列),除了配置静态ARP、IP和MAC +端口绑定也可以配置,例如,在3026c端口4。

是用户绑定IP地址100.1.1.4 MAC地址000d-88f8-09fa int E0 / 4

IP和MAC 100.1.1.4 000d-88f8-09fa,ARP报文可以通过E0 / 4端口模拟和ARP报文不能通过其他设备,所以不会有错误的ARP表项。

{摘要}

那里是一个网络,有一个网络安全。我们知道,在局域网中ARP欺骗攻击,是不可预见的和绝对的预防,但我们可以尽可能的减少它。其中,网关的设置是特别重要的,他是网络的进出口,它是一个ARP攻击的脆弱点。 U3000