防止局域网中的ARP攻击

Ducktang1985

一般管理员对自己的机器防范工作做的一定很好，但是有没有注意过网络或协议的攻击呢？简单举个例子，攻击者进入了内网，知道的管理员的IP，那么下一步会做什么呢？溢出，扫描，DDOS，网络攻击？\r\n    对于网络攻击，最简单有效的摸过于ARP攻击，只要攻击者对同网段机器有管理劝就可以对你展开攻击，那么有的网管员会说，我将ARP绑定就OK了，但是ARP绑定是动态的，重启后就消失，即使你做了脚本开机自动绑定但是如果管理员很多，机器很多难免会有疏忽，这时被攻击的话后果严重。一下就是对于ARP攻击的简单防御方法，但是需要用到3层交换。不过需要先起用DHCP监听\r\n      ios 全局命令：\r\n　　\r\n　　ip dhcp snooping vlan 100,200\r\n　　\r\n　　no ip dhcp snooping information option\r\n　　\r\n　　ip dhcp snooping\r\n　　\r\n　　ip arp inspection vlan 100,200 /* 定义对哪些 vlan 进行 arp 报文检测\r\n　　\r\n　　ip arp inspection log-buffer entries 1024\r\n　　\r\n　　ip arp inspection log-buffer logs 1024 interval 10\r\n　　\r\n　　ios 接口命令：\r\n　　\r\n　　ip dhcp snooping trust\r\n　　\r\n　　ip arp inspection trust /* 定义哪些接口是信任接口，通常是网络设备接口， trunk 接口等\r\n　　\r\n　　ip arp inspection limit rate 15 (pps) /* 定义接口每秒 arp 报文数量\r\n　　\r\n　　对于没有使用 dhcp 设备可以采用下面办法：\r\n　　\r\n　　arp access-list static-arp\r\n　　\r\n　　permit ip host 10.66.227.5 mac host 0009.6b88.d387\r\n　　\r\n　　ip arp inspection filter static-arp vlan 201\r\n　　\r\n　　配置dai后的效果：\r\n　　\r\n　　在配置 dai技术的接口上，用户端不能采用指定地址地址将接入网络。\r\n　　\r\n　　由于 dai检查 dhcp snooping绑定表中的ip和mac对应关系，无法实施中间人攻击，攻击工具失效。下表为实施中间人攻击是交换机的警告：\r\n　　\r\n　　3w0d: %sw_dai-4-dhcp_snooping_deny: 1 invalid arps (req) on fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2\r\n　　\r\n　　由于对 arp请求报文做了速度限制，客户端无法进行认为或者病毒进行的ip扫描、探测等行为，如果发生这些行为，交换机马上报警或直接切断扫描机器。\r\n　　\r\n　　3w0d: %sw_dai-4-packet_rate_exceeded: 16 packets received in 184 milliseconds on fa5/30. ******报警\r\n　　\r\n　　3w0d: %pm-4-err_disable: arp-inspection error detected on fa5/30, putting fa5/ 30 in err-disable state ******切断端口\r\n　　\r\n　　i49-4500-1#.....sh int f.5/30\r\n　　\r\n　　fastethernet5/30 is down, line protocol is down (err-disabled)\r\n　　\r\n　　hardware is fast ethernet port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d)\r\n　　\r\n　　mtu 1500 bytes, bw 100000 kbit, dly 100 usec,\r\n　　\r\n　　reliability 255/255, txload 1/255, rxload 1/255\r\n　　\r\n　　i49-4500-1#......