ARP攻击与防御动态ARP检测.docVIP

ARP 攻击与防御（动态 ARP 检测） 【实验名称】 ARP 攻击与防御（动态 ARP 检测） 【实验目的】 使用交换机的 DAI（动态 ARP 检测）功能增强网络安全性 【背景描述】 某企业的网络管理员发现最近经常有员工抱怨无法访问互联网，经过故障排查后，发现 客户端 PC 上缓存的网关的 ARP 绑定条目是错误的，从此现象可以判断出网络中可能出现 了 ARP 欺骗攻击，导致客户端 PC 不能获取正确的 ARP 条目，以至不能够访问外部网络。 如果通过交换机的 ARP 检查功能解决此问题，需要在每个接入端口上配置地址绑定，工作 量过大，因此考虑采用 DAI 功能解决 ARP 欺骗攻击的问题。 【需求分析】 ARP 欺骗攻击是目前内部网络中出现最频繁的一种攻击。对于这种攻击，需要检查网 络中 ARP 报文的合法性。交换机的 DAI 功能可以满足这个要求，防止 ARP 欺骗攻击。 【实验拓扑】 【实验设备】 二层交换机 1 台（支持 DHCP 监听与 DAI） 三层交换机 1 台（支持 DHCP 监听与 DAI） PC 机 3 台（其中 1 台需安装 DHCP 服务器，另 1 台安装 ARP 欺骗攻击工具 WinArpSpoofer（测试用）） 【预备知识】 交换机转发原理 交换机基本配置 DHCP 监听原理 DAI 原理 ARP 欺骗原理 【实验原理】