博客

防止同网段ARP欺骗攻击的配置方法

  • Post author:
  • Post category:其他




防止同网段




ARP




欺骗攻击的配置方法



二层交换机实现仿冒网关的




ARP




防攻击:




一、组网需求:



1.




二层交换机阻止网络用户仿冒网关




IP









ARP




攻击



二、组网图:








1


二层交换机防


ARP


攻击组网


S3552P


是三层设备,其中


IP





100.1.1.1


是所有


PC


的网关,


S3552P


上的网关


MAC


地址为


000f-e200-3999





PC-B


上装有


ARP


攻击软件。现在需要对


S3026C_A


进行一些特殊配置,目的是过滤掉仿冒网关


IP





ARP


报文。




三、配置





步骤


对于二层交换机如


S3026C


等支持用户自定义


ACL





number





5000





5999


)的交换机,可以配置


ACL


来进行


ARP


报文过滤。


全局配置


ACL


禁止所有


Sender ip address字段


是网关

IP

地址的


ARP


报文


acl num


5000




rule 0 deny 0806 ffff 24

64010101

ffffffff 40




rule 1 permit 0806 ffff 24

000fe2003999

ffffffffffff 34


其中


rule0


把整个


S3026C_A


的端口冒充网关的


ARP Reply


报文禁掉,其中斜体部分


64010101


是网关


IP


地址


100.1.1.1





16


进制表示形式。


Rule1


允许通过网关发送的


ARP


报文,斜体部分为网关的


mac


地址


000f-e200-3999


注意:配置


Rule


时的配置顺序,上述配置为先下发后生效的情况。





S3026C-A


系统视图下发


acl


规则:


[S3026C-A] packet-filter user-group 5000


这样只有


S3026C_A


上连网关设备才能够发送网关的


ARP


报文,其它主机都不能发送假冒网关的


arp


响应报文。





三层






交换机





实现仿冒网关的




ARP




防攻击



一、组网需求:


1.


三层交换机实现防止同网段的用户仿冒网关


IP





ARP


攻击




二、组网图








2


三层交换机防


ARP


攻击组网




三、配置步骤


1.


对于三层设备自己作为网关,需要配置过滤


Sender ip address字段


是网关的


ARP


报文的


ACL


规则,配置如下


ACL


规则:


acl number 5000




rule 0 deny 0806 ffff 24

64010105

ffffffff 40


rule0


禁止


S3526E


的所有端口接收冒充网关的


ARP


报文,其中斜体部分


64010105


是网关


IP


地址


100.1.1.5





16


进制表示形式。


2.


下发


ACL


到全局


[S3526E] packet-filter user-group 5000





仿冒他人






IP













ARP






防攻击




一、组网需求:


作为网关的设备有可能会出现错误


ARP


的表项,因此在网关设备上还需对用户仿冒他人


IP





ARP


攻击报文进行过滤。



二、组网图:


参见图


1


和图


2



三、配置步骤:


1.


如图


1


所示,当


PC-B


发送源


IP


地址为


PC-D





arp reply


攻击报文,源


mac





PC-B





mac (000d-88f8-09fa)


,源


ip





PC-D





ip(100.1.1.3)


,目的


ip





mac


是网关(


3552P


)的,这样


3552


上就会学习到错误的


arp


,如下所示:


———————


错误


arp


表项


——————————–


IP Address


MAC Address


VLAN ID


Port Name


Aging Type


100.1.1.4


000d-88f8-09fa


1


Ethernet0/2


20


Dynamic


100.1.1.3


000f-3d81-45b4


1


Ethernet0/2








20


Dynamic


从网络连接可以知道


PC-D





arp


表项应该学习到端口


E0/8


上,而不应该学习到


E0/2


端口上。但实际上交换机上学习到该


ARP


表项在


E0/2


。上述现象可以在


S3552


上配置静态


ARP


实现防攻击:


arp static 100.1.1.3 000f-3d81-45b4 1 e0/8


2.


在图


2 S3526C


上也可以配置静态


ARP


来防止设备学习到错误的


ARP


表项。


3.


对于二层设备(


S3050C





S3026E


系列),除了可以配置静态


ARP


外,还可以配置


IP





MAC





port


绑定,比如在


S3026C


端口


E0/4


上做如下操作:


am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4





IP





100.1.1.4


并且


MAC





000d-88f8-09fa





ARP


报文可以通过


E0/4


端口,仿冒其它设备的


ARP


报文则无法通过,从而不会出现错误


ARP


表项。



四、配置关键点:


此处仅仅列举了部分


Quidway S


系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义


ACL


和地址绑定。仅仅具有上述功能的交换机才能防止


ARP


欺骗。


版权声明:本文为xiaohua327原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。