利用DAI防止ARP欺骗攻击的实现.pdfVIP

184 福 建 电 脑 2012年第 2期 利用 DAI防止 ARP欺骗攻击的实现 叶谷平 (湛江师范学院 实验教学管理处 广东 湛江 524048) 【摘 要】：ARP欺骗攻击给网络正常运行带来了及大的隐患，本文从ARP欺骗的原理引入DAI的 具体实现策略与方法，有效地控制 了ARP欺骗攻击的行为。 关【键词】：DAI；ARP欺骗 0、引言 “中问人 ”ARP欺骗攻击 ．在这里我们基本了解了ARP ARP协议本身的缺陷．ARP协议本身不对收到的 欺骗攻击的工作原理 ARP报文进行合法性检查 ．这就造成了攻击者利用协 二、了解 DAI的工作方式 议 的漏洞轻易的进行 ARP欺骗攻击 ．如果在数据交换 ARP报文是否合法 的依据是 DHCP三 nooping 设备上进行动态ARP检测 ．即对接收到的ARP报文 binding数据库 ．DAI为了让只有合法的ARP报文才会 进行合法性检查 ．不合法 的ARP报文会被丢弃 ．即 被数据交换设备转发 ．在打开 DAI检查功能的VLAN DynamicARPInspection简称为 DAI 这样就有效地控 所对应 的非信任端 口上拦截所有 ARP请求和应答报 制了ARP欺骗攻击 文 ，在做数据处理之前会根据 DHCP三 no0pingbind— 一 ARP欺骗攻击原理 ing数据库的设置 ，对拦截住的报文进行合法性检查 ． 、 这里以最典型的 “中间人”ARP攻击为例 ．如图示 然后释放丢弃没有通过检查的报文 ．继续检查通过的 报文做相应的处理．送给相应的 目的地 ．这样就确保了 C ARP报文的正确转发从而防止了ARP欺骗攻击 (n,c,Mac0一 _ 三、DAI策略实现 DAI是一个基于 ARP协议的安全过滤技术 ．简而 言之就是配置一系列 的过滤策略．使和经过数据交换 设备 的ARP报文的合法性得到此传统更加有效 的检 验。 】AMACA)一 B，MACB)~ ， l、启用指定 VLAN的DAI报文检查功能，缺省情 设备 A。B，C均连接在 中心数据交换设备上 ，并且 况下 ．所有 VLAN的DAI报文检查功能都是关闭的。 它们位于同一个子网．它们 的IP和 MAC分别表示为 如果没有启用 VLANvid的DAI报文检查功能 ．v1an— (IPA，MACA)(IPB，MACB)(IPC，MACC)，当设备 A需 id=vid的ARP报文会跳过DAI相关的安全检查 在设 要和设备B进行网络层通信时．设备A将会在子网内 备操作命令如下： 广播一个 ARP请求 ．询问设备 B的MAC值 。当设备 B DAI(config)#iparpinspectionvlan v【lan—id]／启用 接收到此ARP请求报文时．会更新 自己的ARP缓存 ． VLANvlan-id的DAI报文检查功能开关 使用的是 IPA和 MACA．并发出ARP应答。设备A收 DAI(config)#noiParpinspectionvlanv【lan—id]／关 到此应答后 ．会更新 自己的ARP缓存 。使用的是 IPB 闭