防arp攻击.pdf

  1. 1、本文档共26页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防arp攻击

防ARP 攻击配置举例 关键词:ARP、DHCP Snooping 摘 要:本文主要介绍如何利用以太网交换机 DHCP 监控模式下的防 ARP 攻击功能,防止校 园网中常见的 “仿冒网关”、 “欺骗网关”、 “欺骗终端用户”、ARP 泛洪等攻击形 式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实 际配置。 缩略语:ARP (Address Resolution Protocol,地址解析协议) MITM (Man-In-The-Middle,中间人攻击) 第1章 ARP 攻击防御功能介绍 近来,许多校园网络都出现了 ARP 攻击现象。严重者甚至造成大面积网络不能正常 访问外网,学校深受其害。H3C 公司根据 ARP 攻击的特点,提出了 “全面防御, 模块定制”的ARP 攻击防御理念,并给出了两种解决方案。 (1) DHCP 监控模式下的 ARP 攻击防御解决方案 这种方式适合动态分配 IP 地址的网络场景,需要接入交换机支持 DHCP Snooping 功能。通过全网部署,可以有效的防御 “仿冒网关”、 “欺骗网关”、 “欺骗终端 用户”、 “ARP 中间人攻击”、 “ARP 泛洪攻击”等校园网中常见的 ARP 攻击方 式;且不需要终端用户安装额外的客户端软件,简化了网络配置。 (2) 认证方式下的 ARP 攻击防御解决方案 这种方式适合网络中动态分配 IP 地址和静态分配 IP 地址共存的网络场景,且只能 防御 “仿冒网关”的ARP 攻击方式。它不需要在接入交换机上进行特殊的防攻击配 置,只需要客户端通过认证协议 (802.1x )登录网络,认证服务器 (如 CAMS 服务 器)会识别客户端,并下发网关的 IP/MAC 对应关系给客户端,来防御 “仿冒网关” 攻击。 1.1 ARP 攻击简介 按照 ARP 协议的设计,一个主机即使收到的 ARP 应答并非自身请求得到的,也会 将其 IP 地址和 MAC 地址的对应关系添加到自身的 ARP 映射表中。这样可以减少 网络上过多的ARP 数据通信,但也为 “ARP 欺骗”创造了条件。 校园网中,常见的 ARP 攻击有如下几中形式。 (1) 仿冒网关 攻击者伪造 ARP 报文,发送源 IP 地址为网关 IP 地址,源 MAC 地址为伪造的 MAC 地址的 ARP 报文给被攻击的主机,使这些主机更新自身 ARP 表中网关 IP 地址与 MAC 地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的 MAC 地址,导致该用户无法正常访问外网。 图1-1 “仿冒网关”攻击示意图 (2) 欺骗网关 攻击者伪造 ARP 报文,发送源 IP 地址为同网段内某一合法用户的 IP 地址,源 MAC 地址为伪造的 MAC 地址的 ARP 报文给网关;使网关更新自身 ARP 表中原合法用 户的 IP 地址与 MAC 地址的对应关系。这样一来,网关发给该用户的所有数据全部 重定向到一个错误的 MAC 地址,导致该用户无法正常访问外网。 图1-2 “欺骗网关”攻击示意图 (3) 欺骗终端用户 攻击者伪造 ARP 报文,发送源 IP 地址为同网段内某一合法用户的 IP 地址,源 MAC 地址为伪造的 MAC 地址的 ARP 报文给同网段内另一台合法主机;使后者更新自身 ARP 表中原合法用户的 IP 地

文档评论(0)

561190791 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档