ARP攻击防备处理方案
发表时间:2023-07-16 来源:明辉站整理相关软件相关文章人气:
[摘要]下面我们介绍几种常见ARP攻击典型的症状: 上网的时候经常会弹出一些广告, 有弹出窗口形式的, 也有嵌入网页形式的。 下载的软件不是原本要下载的, 而是其它非法程序。 网关设备ARP表...
下面我们介绍几种常见ARP攻击典型的症状:
上网的时候经常会弹出一些广告, 有弹出窗口形式的, 也有嵌入网页形式的。
下载的软件不是原本要下载的, 而是其它非法程序。
网关设备ARP表项存在大量虚假信息, 上网时断时续;网页打开速度让使用者无
法接受。
终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。 对于ARP攻击, 可以简单分为两类:
一、ARP欺骗攻击, 又分为ARP仿冒网关攻击和ARP仿冒主机攻击。
二、ARP泛洪(Flood)攻击, 也可以称为ARP扫描攻击。
对于这两类攻击, 攻击程序都是通过构造非法的ARP报文, 修改报文中的源IP地址与(或)源MAC地址, 不同之处在于前者用自己的MAC地址进行欺骗, 后者则大量发送虚假的ARP报文, 拥塞网络。
一、接入交换机篇
接入交换机是最接近用户侧的网络设备, 也最适于通过它进行相关网络攻击防护。 通过对接入交换机的适当设置, 我们可以将很多网络威胁隔离在交换机的每端口内, 而不至于对整网产生危害。
1、AM功能
AM(access management)又名访问管理, 它利用收到数据报文的信息(源IP 地址 或者源IP+源MAC)与配置硬件地址池(AM pool)相比较, 如果找到则转发, 否则丢弃。
AM pool 是一个地址列表, 每一个地址表项对应于一个用户。 每一个地址表项包括了地址信息及
其对应的端口。 地址信息可以有两种:
IP 地址(ip-pool), 指定该端口上用户的源IP 地址信息。
MAC-IP 地址(mac-ip pool), 指定该端口上用户的源MAC 地址和源IP 地址信息。
当AM使能的时候, AM模块会拒绝所有的IP报文通过(只允许IP地址池内的成员源地址通过)。
我们可以在交换机端口创建一个MAC+IP 地址绑定, 放到地址池中。 当端口下联主机发送的IP报文(包含ARP报文)中, 所含的源IP+源MAC不符合地址池中的绑定关系, 此报文就将被丢弃。 配置命令示例如下:
举例:使能AM 并允许交接口4 上源IP为192.1.1.2, 源MAC是00-01-10-22-33-10 的用户通过。
Switch(Config)#am enable
Switch(Config)#interface Ethernet 0/0/4 Switch(Config-Ethernet0/0/4)#am port
Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2
(1)功能优点
配置简单, 除了可以防御ARP攻击, 还可以防御IP扫描等攻击。 适用于信息点不多、规模不大的静态地址环境下。
(2)功能缺点
1、需要占用交换机ACL资源;
2、网络管理员配置量大, 终端移动性差。
2、ARP Guard功能
基本原理就是利用交换机的过滤表项, 检测从端口输入的所有ARP 报文, 如果ARP 报文的源IP 地址是受到保护的IP 地址, 就直接丢弃报文, 不再转发。
举例:在端口Ethernet0/0/1 启动配置ARP Guard 地址192.168.1.1(设为网关地址)。
Switch(Config)#interface ethernet0/0/1
Switch(Config- Ethernet 0/0/1)# arp-guard ip 192.168.1.1
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。