【IT解决方案】ARP攻击防御解决方案….pptVIP

胶片说明 本胶片适合公司内部培训和外部交流使用。 本胶片的解决方案现H3C全部可以实现： －DHCP SNOOPING －CAMS+iNode配合进行客户端绑定，和接入设备弱相关。 我司的解决方案不仅限于这两种方式，其他方案后续推出，如有需求可以和网络产品部解决方案沟通。 ARP欺骗攻击——仿冒网关 攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。 主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 ARP欺骗攻击——欺骗网关 攻击者伪造虚假的ARP报文，欺骗网关 网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网 ARP欺骗攻击——欺骗终端用户 攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。 网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。 ARP泛洪攻击 攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网 ARP攻击防御的三个控制点 校园网ARP攻击分析 DHCP Snooping模式 方案适合场景 全网采用动态分配IP地址方式 接入交换机采用H3C支持DHCP Snooping的产品，比如E126A，E152 解决方案 第一步：接入交换机通过DHCP