目前本站已有 十几万 份求职资料啦!


Cisco环境下解决ARP欺骗的两种技术

10-15 21:47:25 来源:http://www.qz26.com 网络基础知识   阅读:8681
导读: 免费ARP当时设计出来是为了2个作用的: 1.IP地址冲突检测 2.ARP条目自动更新,更新网关。 arp欺骗就是利用这里面的第二条,攻击的主机发送一个arp更新,条目的ip地址是网关,但是mac地址一项,却不是网关,当其他主机接受到,会根据 arp协议的规则,越新的越可靠的原则,达到欺骗的目的。虽然arp不是tcp/ip协议簇中的一员,但是鉴于以太网的大行其道,所以放弃动态ARP协议,使用手动方式的来来做arp映射,好像不大现实(个别情况除外)。 介绍下cisco网络环境下解决这个问题的思路: 其实这里面使用到了2个技术:dhcp snooping和ARP inspection 一.dhcp snooping DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接
Cisco环境下解决ARP欺骗的两种技术,标签:网络基础,计算机网络基础知识,http://www.qz26.com

   免费ARP当时设计出来是为了2个作用的:

   1.IP地址冲突检测
   2.ARP条目自动更新,更新网关。

   arp欺骗就是利用这里面的第二条,攻击的主机发送一个arp更新,条目的ip地址是网关,但是mac地址一项,却不是网关,当其他主机接受到,会根据 arp协议的规则,越新的越可靠的原则,达到欺骗的目的。虽然arp不是tcp/ip协议簇中的一员,但是鉴于以太网的大行其道,所以放弃动态ARP协议,使用手动方式的来来做arp映射,好像不大现实(个别情况除外)。

   介绍下cisco网络环境下解决这个问题的思路:

   其实这里面使用到了2个技术:dhcp snooping和ARP inspection

   一.dhcp snooping

   DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

   当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

   作用:

   1.dhcp-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。

   2.建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的ip和mac地址生成的,二是可以手工指定。

   这张表是后续DAI(dynamic arp inspect)和IP Source Guard 基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。

   配置:
   switch(config)#ip dhcp snooping
   switch(config)#ip dhcp snooping vlan 10
   switch(config-if)#ip dhcp snooping limit rate 10
   /*dhcp包的转发速率,超过就接口就shutdown,默认不限制
   switch(config-if)#ip dhcp snooping trust
   /*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCP Offer报文,不记录ip和mac地址的绑定,默认是非信任端口
   switch#ip dhcp snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10
   /*这样可以静态ip和mac一个绑定
   switch(config)#ip dhcp snooping database tftp:// 10.1.1.1/dhcp_table
   /*因为掉电后,这张绑定表就消失了,所以要选择一个保存的地方,ftp,tftp,flash皆可。本例中的dhcp_table是文件名,而不是文件夹,同时文件名要手工创建一个。
   二. ARP inspection

   1.介绍

   DAI是以dhcp-snooping的绑定表为基础来检查mac地址和ip地址的合法性。

   2.配置

   switch(config)#ip dhcp snooping vlan 7
   switch(config)#ip dhcp snooping information option
   /*默认
   switch(config)#ip dhcp snooping
   switch(config)#ip arp inspection vlan 7
   /* 定义对哪些 VLAN 进行 ARP 报文检测
   switch(config)#ip arp inspection validate src-mac dst-mac ip
   /*对源,目mac和ip地址进行检查
   switch(config-if)#ip dhcp snooping limit rate 10
   switch(config-if)#ip arp inspection limit rate 15
   /* 定义接口每秒 ARP 报文数量
   switch(config-if)#ip arp inspection trust
   /*信任的接口不检查arp报文,默认是检测
   3.注意点

   对于前面dhcp-snooping的绑定表中关于端口部分,是不做检测的;同时对于已存在于绑定表中的mac和ip对于关系的主机,不管是dhcp获得,还是静态指定,只要符合这个表就可以了。如果表中没有就阻塞相应流量。

[1] [2]  下一页


Tag:网络基础知识网络基础,计算机网络基础知识电脑培训学习 - 网络知识 - 网络基础知识
【字号: 】 【打印】 【关闭
最新更新
推荐热门
联系我们 | 网站地图 | 财务资料 | 范文大全 | 求职简历 | 财会考试 | 成功励志
Copyright 二六求职资料网 All Right Reserved.
1 2 3 4 5 6 7 8 9 10