防止同網(wǎng)段ARP欺騙攻擊的配置方法_第1頁
防止同網(wǎng)段ARP欺騙攻擊的配置方法_第2頁
防止同網(wǎng)段ARP欺騙攻擊的配置方法_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、防止同網(wǎng)段ARP欺騙攻擊的配置方法一、組網(wǎng)需求:1. 二層交換機阻止網(wǎng)絡(luò)用戶仿冒網(wǎng)關(guān)IP的ARP攻擊二、組網(wǎng)圖:圖1二層交換機防ARP攻擊組網(wǎng)S3552P是三層設(shè)備,其中IP:100.1.1.1是所有PC的網(wǎng)關(guān),S3552P上的網(wǎng)關(guān)MAC地址為000f-e200-3999。PC-B上裝有ARP攻擊軟件。現(xiàn)在需要對S3026C_A進行一些特殊配置,目的是過濾掉仿冒網(wǎng)關(guān)IP的ARP報文。三、配置步驟對于二層交換機如S3026C等支持用戶自定義ACL(number為5000到5999)的交換機,可以配置ACL來進行ARP報文過濾。全局配置ACL禁止所有源IP是網(wǎng)關(guān)的ARP報文acl num5000r

2、ule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整個S3026C_A的端口冒充網(wǎng)關(guān)的ARP報文禁掉,其中斜體部分64010101是網(wǎng)關(guān)IP地址100.1.1.1的16進制表示形式。Rule1允許通過網(wǎng)關(guān)發(fā)送的ARP報文,斜體部分為網(wǎng)關(guān)的mac地址000f-e200-3999。注意:配置Rule時的配置順序,上述配置為先下發(fā)后生效的情況。在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則:S3026C-A packet-filter user

3、-group 5000 這樣只有S3026C_A上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送網(wǎng)關(guān)的ARP報文,其它主機都不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報文。 三層交換機實現(xiàn)仿冒網(wǎng)關(guān)的ARP防攻擊一、組網(wǎng)需求:1.三層交換機實現(xiàn)防止同網(wǎng)段的用戶仿冒網(wǎng)關(guān)IP的ARP攻擊二、組網(wǎng)圖圖2 三層交換機防ARP攻擊組網(wǎng)三、配置步驟1. 對于三層設(shè)備,需要配置過濾源IP是網(wǎng)關(guān)的ARP報文的ACL規(guī)則,配置如下ACL規(guī)則:acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充網(wǎng)關(guān)的ARP報文,其中斜體部分64010105是網(wǎng)

4、關(guān)IP地址100.1.1.5的16進制表示形式。2. 下發(fā)ACL到全局S3526E packet-filter user-group 5000仿冒他人IP的ARP防攻擊一、組網(wǎng)需求:作為網(wǎng)關(guān)的設(shè)備有可能會出現(xiàn)錯誤ARP的表項,因此在網(wǎng)關(guān)設(shè)備上還需對用戶仿冒他人IP的ARP攻擊報文進行過濾。二、組網(wǎng)圖:參見圖1和圖2三、配置步驟:1. 如圖1所示,當(dāng)PC-B發(fā)送源IP地址為PC-D的arp reply攻擊報文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是網(wǎng)關(guān)(3552P)的,這樣3552上就會學(xué)習(xí)到錯誤的arp,如

5、下所示:-錯誤 arp 表項 -IP Address MAC Address VLAN IDPort Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic從網(wǎng)絡(luò)連接可以知道PC-D的arp表項應(yīng)該學(xué)習(xí)到端口E0/8上,而不應(yīng)該學(xué)習(xí)到E0/2端口上。但實際上交換機上學(xué)習(xí)到該ARP表項在E0/2。上述現(xiàn)象可以在S3552上配置靜態(tài)ARP實現(xiàn)防攻擊:arp static 100.1.1.3 000f-3d81-45b4 1 e0/82. 在圖2 S3526C上也可以配置靜態(tài)ARP來防止設(shè)備學(xué)習(xí)到錯誤的ARP表項。 3. 對于二層設(shè)備(S3050C和S3026E系列),除了可以配置靜態(tài)ARP外,還可以配置IPMACport綁定,比如在S3026C端口E0/4上做如下操作: am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4則IP為100.1.1.4并且MAC為000d-88f8-09fa的ARP報文可以通過E0/4端口,仿冒其它設(shè)備的ARP報文則無法通過,從而不會出現(xiàn)錯誤ARP表項。 四、配置關(guān)鍵點

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論