实训4-2：ARP攻击与防御.pptVIP

9.验证测试 9.验证测试 通过使用Ethereal捕获攻击机发出的报文，可以看出攻击机发送了经过伪造的ARP应答（Reply）报文，目的MAC地址为PC1的MAC地址（0016.D393.22C6）。攻击者“声称”网关（IP地址为172.16.1.1）的MAC地址为自己的MAC地址（0015.F2DC.96A4），并声称自己（IP地址为172.16.1.2）的MAC地址为网关的MAC地址（00D0.F821.A543），如所示。 9.验证测试 在PC1的命令窗口ping网关地址，发现无法ping通。查看PC1的ARP缓存，可以看到PC1收到了伪造的ARP应答报文后，更新了ARP表，表中的条目为错误的绑定，即网关的IP地址与攻击机的MAC地址进行了绑定，如所示。 10.配置 DAI 10.配置 DAI （1）在SW2上对于 VLAN 2配置DAI，防止VLAN 2中的主机进行ARP欺骗。 SW2#configure terminal SW2(config)#ip arp inspection SW2(config)#ip arp inspection vlan 2 （2）配置F0/24 端口为监控信任端口 SW2(config)#interface f0/24 SW2(config-if)#ip arp inspection trust 11.验证测试 11.验证测试 启用了ARP检查功能后，当交换机端口收到非法ARP报文后，会将其丢弃。这时在PC机上查看ARP缓存，发现ARP表中的条目是正确的，并且PC1可以ping通网关。 注意，由于PC机之前缓存了错误的ARP条目，所以需要等到错误条目超时或者使用arp –d命令进行手动删除之后，PC1才能解析出正确的网关MAC地址，如所示。 11.验证测试 【注意事项】 DHCP监听只能够配置在物理端口上，不能配置在VLAN接口上。 DAI只能够配置在物理端口上，不能配置在VLAN接口上。 如果端口所属的VLAN启用了DAI，并且为Untrust端口，当端口收到ARP报文后，若查找不到DHCP监听表项，则丢弃ARP报文，造成网络中断。 WinArpSpoofer软件仅可用于实训。 * 第4章 交换机安全配置 实训4-2：ARP攻击与防御 实训目的 使用交换机的 DAI（动态 ARP检测）功能增强网络安全性 实训背景 某企业的网络管理员发现最近经常有员工抱怨无法访问互联网，经过故障排查后，发现客户端 PC 上缓存的网关的 ARP 绑定条目是错误的，从此现象可以判断出网络中可能出现了ARP欺骗攻击，导致客户端 PC 不能获取正确的 ARP条目，以至不能够访问外部网络。 如果通过交换机的 ARP 检查功能解决此问题，需要在每个接入端口上配置地址绑定，工作量过大，因此考虑采用 DAI 功能解决 ARP欺骗攻击的问题。 实训拓扑 实训设备 设备 数量 DHCP服务器 （安装windows2000/2003操作系统） 1台 计算机（安装windows操作系统） 2台 二层交换机（支持 DHCP监听与 DAI） 1 台 三层交换机（支持 DHCP监听与 DAI） 1 台 WinArpSpoofer软件 1套 实训步骤 1.按拓扑图连接实训设备 2.配置DHCP服务器 3.配置SW1 4.配置SW2 5.验证测试 6.验证测试 7.使用WinArpSpoofer进行扫描 8.进行ARP欺骗 9.验证测试 10.配置DAI 11.验证测试 1.按拓扑图连接实训设备 2.配置 DHCP服务器 2.配置 DHCP服务器 将一台 PC 配置为 DHCP 服务器，可以使用 Windows Server 配置 DHCP服务器，或者使用第三方 DHCP服务器软件。DHCP服务器中的地址池为 172.16.1.0/24。 3.配置SW1 3.配置SW1 （1）SW1基本配置 Switch#configure Switch(config)#hostname SW1 SW1(config)#interface fastEthernet 0/24 SW1(config-if)#switchport mode trunk SW1(config-if)#exit SW1(config)#vlan 2 SW1(config-vlan)#exit SW1(config)#interface vlan 2 SW1(config-if)#ip address 172.16.1.1 255.255.255.0 SW1(config-if)#exit SW1(config)#vlan 100 SW1(config-vlan)#exit 3.配置SW1