局域网安全6 ARP攻击

 

1、ARP风险分析

·    缺乏认证：（DAI修正）

·    信息泄露：被知道A、B在通信（无方法修正）

·    可用性问题：浪费带宽

 

2、ARP欺骗攻击

原理：发送mac冒充的免费ARP（无故ARP），刷新交换机mac表及PC的映射表，只在同一个子网有效

攻击：修改自己的mac

防范

·    三层交换机，借助snooping表

·    主机忽略无故ARP

·    IDS

 

3、防范技术

1）动态ARP检测

（1） DHCP Snooping 环境 下

Switch (config)#ip arp ipspection vlan 5-10

Switch (config-if)#ip arp inspection trust

（2）其他环境（自定义 ARP ACL 检查）

Switch (config)#arp access-list arpacl

Switch (config-arp-acl)#permit ip host 10.0.0.1 mac host 0011.0011.0011

Switch (config)#ip arp inspection filter arpacl vlan 5  // 应用到 vlan5

Switch (config-if)#ip arp inspection trust       // 把该接口设为信任接口 ， 不受 ARP 监控

（3） 高级配置

Switch(config)#ip arp inspection log-buffer logs 100 interval 1

Switch(config)#ip arp inspection log-buffer entries 1024

Switch(config-if)#ip arp inspection limit rate 100 burst interval 1  

//1秒内最多100个ARP包，应设为主机数量的2倍

2）保护主机

·    忽略无故ARP

·    静态ARP绑定

·    IP电话可忽略无故ARP技术（可通过CCM进行配置）

3）IDS