ARP 攻击与防御(动态 ARP 检测).docVIP

ARP 攻击与防御（动态 ARP 检测） 【实验名称】 ARP 攻击与防御（动态 ARP 检测） 【实验目的】 使用交换机的 DAI（动态 ARP 检测）功能增强网络安全性 【背景描述】 某企业的网络管理员发现最近经常有员工抱怨无法访问互联网，经过故障排查后，发现 客户端 PC 上缓存的网关的 ARP 绑定条目是错误的，从此现象可以判断出网络中可能出现 了 ARP 欺骗攻击，导致客户端 PC 不能获取正确的 ARP 条目，以至不能够访问外部网络。 如果通过交换机的 ARP 检查功能解决此问题，需要在每个接入端口上配置地址绑定，工作 量过大，因此考虑采用 DAI 功能解决 ARP 欺骗攻击的问题。 【需求分析】 ARP 欺骗攻击是目前内部网络中出现最频繁的一种攻击。对于这种攻击，需要检查网 络中 ARP 报文的合法性。交换机的 DAI 功能可以满足这个要求，防止 ARP 欺骗攻击。 【实验拓扑】 【实验设备】 二层交换机 1 台（支持 DHCP 监听与 DAI） 三层交换机 1 台（支持 DHCP 监听与 DAI） PC 机 3 台（其中 1 台需安装 DHCP 服务器，另 1 台安装 ARP 欺骗攻击工具 WinArpSpoofer（测试用）） 【预备知识】 交换机转发原理 交换机基本配置 DHCP 监听原理 DAI 原理 ARP 欺骗原理 【实验原理】 交换机的 DAI 功能可以检查端口收到的 ARP 报文的合法性，并可以丢弃非法的 ARP 报文，防止 ARP 欺骗攻击。 【实验步骤】 第一步：配置 DHCP 服务器 将一台 PC 配置为 DHCP 服务器，可以使用 Windows Server 配置 DHCP 服务器，或 者使用第三方 DHCP 服务器软件。DHCP 服务器中的地址池为 172.16.1.0/24。 第二步：SW2 基本配置及 DHCP 监听配置（接入层） Switch#configure Switch(config)#hostname SW2 SW2(config)#vlan 2 SW2(config-vlan)#exit SW2(config)#interface range fastEthernet 0/1-2 SW2(config-if-range)#switchport access vlan 2 SW2(config-if-range)#exit SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport mode trunk SW2(config-if)#exit SW2(config)#ip dhcp snooping SW2(config)#interface fastEthernet 0/24 SW2(config-if)#ip dhcp snooping trust SW2(config-if)#end SW2# 第三步：SW1 基本配置、DHCP 监听配置及 DHCP Relay 配置（分布层） Switch#configure Switch(config)#hostname SW1 SW1(config)#interface fastEthernet 0/24 SW1(config-if)#switchport mode trunk SW1(config-if)#exit SW1(config)#vlan 2 SW1(config-vlan)#exit SW1(config)#interface vlan 2 SW1(config-if)#ip address 172.16.1.1 255.255.255.0 SW1(config-if)#exit SW1(config)#vlan 100 SW1(config-vlan)#exit SW1(config)#interface vlan 100 SW1(config-if)#ip address 10.1.1.2 255.255.255.0 SW1(config-if)#exit SW1(config)#interface fastEthernet 0/1 SW1(config-if)#switchport access vlan 100 SW1(config-if)#exit SW1(config)#ip dhcp snooping ！启用 DHCP snooping 功能 SW1(config)#interface fastEthernet 0/1 SW1(config-if)#ip dhcp snooping trust ！配置 F0/1 端口为 trust 端口 SW1(config-if)#exit SW1(config)#i