实验4.6 网络攻击检测和防范实验.pptVIP

XXX 实验4.6 网络攻击检测与防范实验 实验背景 1 实验目的与内容 2 实验设备 3 实验步骤 4 实验背景 ARP协议有简单、易用的优点，但是也因为其没有任何安全机制而容易被攻击发起者利用。攻击者可以仿冒用户、仿冒网关发送伪造的ARP报文，使网关或主机的ARP表项不正确，从而对网络进行攻击；攻击者通过向设备发送大量目标IP地址不能解析的IP报文，使得设备试图反复地对目标IP地址进行解析，导致CPU负荷过重及网络流量过大；攻击者向设备发送大量ARP报文，对设备的CPU形成冲击。 攻击检测及防范是一个重要的网络安全特性，它通过分析经过设备的报文的内容和行为，判断报文是否具有攻击特征，并根据配置对具有攻击特征的报文执行一定的防范措施，例如输出告警日志、丢弃报文、加入黑名单或客户端验证列表。本特性能够检测ARP攻击、单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击，并能对各类型攻击采取合理的防范措施。 实验目的与内容 【实验目的】 （1）掌握ARP攻击的原理与检测及防范的方法。 （2）掌握客户端验证的配置方法。 【实验内容】 （1）ARP攻击防御。 （2）攻击检测及防范。 实验设备 H3C系列交换机一台，H3C系列路由器两台，计算机5台，专用配置电缆一根，网线6根，配置电缆一根，标准V35电缆一对。网络拓扑结构如图4.6所示。 图4.6网络攻击检测与防范实验网络拓扑结构图 实验步骤 （1）按照图4.6所示将网络拓扑结构搭建好，并将各个计算机配置好。 （2）将网络连通，配置路由器的接口地址为后面的实验做准备。 对路由器做如下配置： H3Csystem-view [H3C]interface Gigabitethernet0/0 [H3C-GigabitEthernet0/0]ip address 192.168.0.1 255.255.255.0 [H3C-GigabitEthernet0/0]interface GigabitEthernet0/1 [H3C-GigabitEthernet0/1]ip address 212.0.0.1 255.255.255.0 [H3C-GigabitEthernet0/1]interface GigabitEthernet0/2 [H3C-GigabitEthernet0/2]ip address 202.0.0.1 255.255.255.0 [H3C-GigabitEthernet0/2]quit （3）ARP防止IP报文攻击的配置 H3C system-view [H3C] arp source-suppression enable [H3C] arp source-suppression limit 100 //使能ARP源抑制功能，并配置ARP源抑制的阈值为100 [H3C] arp resolving-route enable //配置ARP黑洞路由功能 实验步骤 （4）源MAC地址固定的ARP攻击检测配置 假设IP地址10.11.10.23作为攻击源，其MAC为0012-3f86-e94c。 H3C system-view [H3C] arp source-mac filter //使能源MAC固定ARP攻击检测功能，并选择过滤模式 [H3C] arp source-mac threshold 30//配置源MAC固定的ARP报文攻击检测阈值为30个 [H3C] arp source-mac aging-time 60 //配置源MAC固定的ARP攻击检测表项的老化时间为60秒 [H3C] arp source-mac exclude-mac 0012-3f86-e94c //攻击检查的保护MAC地址为0012-3f86-e94c （5）用户合法性和报文有效性检查配置 ⑤将路由器配置为DHCP服务器 [H3C] interface gigabitethernet 0/0 [H3C-GigabitEthernet0/0] ip address 192.168.0.1 24 [H3C-GigabitEthernet0/0] arp authorized enable //使能接口授权ARP功能 [H3C-GigabitEthernet0/0] quit [H3C] dhcp enable [H3C] dhcp server ip-pool 1 [H3C-dhcp-pool-1] network 192.168.0.0 mask 255.255.255.0 [H3C-dhcp-pool-1] quit 实验步骤 ⑥配置交换机 H3C system-view [H3C] dhcp snooping ena