针对假冒网关IP的ARP攻击
1层和二层交换机的抗攻击配置
网络拓扑就像一个图。
图1
3552p是一个三层的装置,其中IP:100.1.1.1是所有电脑的网关,并在3552p网关的MAC地址是000f-e200-3999。现在pc-b有ARP攻击的软件,现在有一些特殊的配置3026_a过滤出来的假冒网关IP ARP报文需要。
二层交换机,如3026c,您可以配置ACL
(1)全局配置拒绝所有源IP是网关的ARP消息(自定义规则)
aclnum5000
rule0deny0806ffff2464010101ffffffff40
rule1permit0806ffff24000fe2003999ffffffffffff34
rule0的目的是阻止整个3026c_a端口冒充网关的ARP报文,和蓝色部分64010101是网关的IP地址的16位二进制形式:100.1.1.1 = 64010101。
目的:为规则的上端口网关ARP报文被允许通过,和蓝色部分是MAC地址000f-e200-3999。网关3552
ACL规则是在s3026c-a系统视图发布。
{ } packet-filteruser-group5000 s3026c-a
在这种方式中,只有3026c_a装置可以发送网关的ARP报文,和其他电脑无法发送的假网关的ARP应答报文。
2层和三层交换机的抗攻击配置
网络拓扑如下所示:
图2
对于三层设备,您需要将过滤器源IP配置为网关ARP消息的ACL规则,配置以下ACL规则:
aclnum5000
rule0deny0806ffff2464010105ffffffff40
rule0的目的是禁止所有3526e港口冒充网关的ARP报文,和蓝色部分64010105是网关的IP地址的16位二进制形式:100.1.1.5 = 64010105。
二、模仿其他IP的ARP攻击
作为网关设备,ARP错误表很可能出现,网关设备需要过滤假冒IP的ARP攻击消息。
如图1所示,pc-b发送ARP攻击pc-d的回复邮件时,源MAC MAC pc-b(000d-88f8-09fa),和源IP是pc-d的IP(IP),其目的是连接网关到网关,使3552将错误的学习方法。
错误的ARP表--------------------------------数据交换贸易
ipaddressmacaddressvlanidportnameagingtype
100.1.1.4000d-88f8-09fa1ethernet0 / 220dynamic
100.1.1.3000f-3d81-45b41ethernet0 / 220dynamic
对pc-d ARP表项应该学习端口E0 / 8不应该学会对E0 / 2端口。
(1)在3552上配置静态ARP可以防止这种现象:
arpstatic100.1.1.3000f-3d81-45b41e0 / 8
同样,在图2中,静态ARP也可以配置为防止设备学习错误的ARP表项。
(3)两层设备(3050和3026系列),同时配置静态ARP、IP和MAC +端口绑定也可以配置,例如,在3026c端口4,
amuser-bindip-addr100.1.1.4mac-addr000d-88f8-09fainte0 / 4
IP和MAC 100.1.1.4 000d-88f8-09fa,ARP报文可以通过E0 / 4端口模拟和ARP报文不能通过其他设备,所以不会有错误的ARP表项。
