如何解决arp攻击(arp攻击是怎么回事)
如何解决arp攻击(arp攻击是怎么回事)、本站经过数据分析整理出如何解决arp攻击(arp攻击是怎么回事)相关信息,仅供参考!
ARP攻击是通过伪造IP地址和MAC地址来欺骗ARP,可以在网络中产生大量ARP广播包,造成网络拥塞。只要攻击者连续发送伪造的RP响应包,就可以增加目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP的类型:常规ARP,代理ARP和免费ARP
免费使用ARP:
当我更新我的DHCP地址时,我发送一个免费的ARP请求,告诉网段中的所有节点我已经更改了我的IP地址,以便为我更新它们的ARP条目。
2.用于检测网段内是否有人使用与我相同的IP地址。
3.用于ARP攻击。
解决方法:
1.静态绑定IP地址和MAC地址
R1(配置)# ARP 192 . 168 . 100 . 2 AAAA . bbbb . cccc FastEthernet 0/1
缺陷:如果通过DHCP自动获取地址,租期到期后绑定失效,因病重新发放IP地址,无法分配到IP地址,扩展性差。
2.动态ARP检查在交换机上启动动态ARP监控。
DAI(动态ARP检测)动态ARP监控用于基于VLAN的保护机制。
打开DAI后,类似于DHCP snooping,交换机上的所有接口都是不可信接口。当不可信接口收到ARP或ARP磁带时,会提取ARP请求和响应的三层或二层地址,与DHCP绑定数据库中的信息进行比对,看请求方的IP响应或IP是否合法。如果不合法,该消息将被丢弃,只有合法的消息才会被转发。此外,要启用DAI,您必须首先启用DHCP侦听。
当交换机接口被手动配置为可信接口时,当收到RP请求或ARP回复时,不会与DHCP绑定数据库中的信息进行比较。消息合法就平方,不合法就直接丢弃。
因此,在网络拓扑中,交换机与PC之间的接口应设置为不可信接口,用于交换经济互连的接口和用于减速和连接合法DHCP服务器的接口应设置为可信接口。
在切换全局模式下启动DAI
SW1(配置)#iparp检查vlan 20
SW2(配置)#iparp检查vlan 200
将中继链路的接口设置为可信接口。
SW1(配置)#接口fastethernet 0/1
SW1(配置-if)#iparp检验信任
SW2(配置)#接口fastethernet 0/2
SW2(配置-if)#iparp检验信任
配置DAI的基本步骤:
1.部署DHCP。2.部署DHCP侦听3。部署戴4。将中继接口和连接到DHCP服务器的接口设置为可信接口,并限制连接的PC接口接受ARP消息的速率。
ARP报文的速率限制
DAI untrust接口默认的速率限制是15 P/S,也就是15 pps,而trust接口根本没有限制,可以通过iparp检查限制这个接口级命令来修改。
当接口收到的ARP消息超过此阈值时,接口进入err-disable状态。端口会自动关闭。您可以通过不关机来恢复此接口。或者,使用全局命令errdisble recovery使接口在一定时间间隔后自动恢复。
SW1(配置)#接口fastethernet 0/1
SW1(配置-if)#iparp检验极限速率20
将接口接受ARP消息的速率限制为20p/s
当接口设置为err-disable状态时,自动应答时间为30S。
SW1(配置)#errdisable恢复原因ARP-检查
SW1(配置)#错误禁用恢复间隔30
更多关于如何解决arp攻击(arp攻击是怎么回事)的请关注本站。
本文由发布,不代表新营销立场,转载联系作者并注明出处:https://www.newmarketingcn.com/gywm/249610.html