Catalyst 交换机对arp攻击抑制实例.doc

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Catalyst 交换机对arp攻击抑制实例

Catalyst 交换机对ARP攻击的抑制配置实例 概述: ARP 攻击的现象 ARP攻击的分析 Catalyst 交换机对ARP攻击的抑制 应用配置实例 Gratutious ARP的数据包格式 概述: 目前,很多局域网络都遇到了ARP攻击,典型现象是交换机的日志或Console口上出现大量的地址重复信息(Duplicate address)网络执法官网络剪刀手(NetCut) 1.ARP 攻击的现象 1.1 显示IP地址重复 当LAN遇到网络攻击时,典型的现象是在Console口上或在日志信息显示: 09:12:11: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa 09:12:11: %SYS-5-CONFIG_I: Configured from console by console 09:12:41: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa PC都不能上网,PC ARP表网关IP对应的MAC地址不正确 Vlan 上的PC不能上网,PC ping网关地址不通。 在不能上网的机器上不断显示ARP 表,网关IP对应的MAC地址在不断的变化,偶尔是正确的MAC地址,偶尔是攻击者的MAC地址: C:\Documents and Settings\jiangjunarp -a Interface: 210.53.131.161--- 0x2 Internet Address Physical Address Type 210.53.131.169 00-15-fa-87-3f-c0 dynamic C:\Documents and Settings\jiangjunarp -a Interface: 210.53.131.161 --- 0x2 Internet Address Physical Address Type 210.53.131.169 00-00-d2-34-83-aa dynamic 00-00-d2-34-83-aa 是攻击者的MAC地址。 2.ARP攻击的分析 2.1 攻击过程 实际上攻击过程很简单,主要是利用Gratuitous Arp更改所有VLAN PC的ARP表,攻击者A 发送一个Gratuitous Arp, 广播给同一的所有, 告诉所有PC,? 网关IP对应的MAC地址是攻击者的MAC地址, ? 因此所有PC接到这个Arp公告后,?更改它的arp表,将网关IP地址对应的mac地址改成攻击者的mac地址,因此所有流量并没有发给网关,而是发给攻击者,所有PC不能上网。 Gratuitous ARP的用途 ARP 是用来获得目标IP地址的MAC地址,有一种 ARP 叫做Gratuitous ARP,通常在网络上用来作为特殊用途: A) 检查IP地址重复 主机A为了检查IP地址重复,会发送一个?ratutious Arp 请求,这个请求很特殊,他会询问主机A自己的IP 地址对应的MAC地址是多少,如果有IP地址重复 ,则主机A收到一个响应,则表明有地址重复。 由于攻击者A发送的Gratuitous A 内容中包含网关的IP地址,因此,网关收到后,发现其它PC在通告自己IP的地址,因此网关(交换机)会报IP地址重复信息。B) 更新其他主机的ARP表 如HSRP的主网关A切换到网关B后,B会发送一个ratutious Arp,通知所有PC更换它的ARP表,因此所有PC将流量发送给新的网关BC) 通知交换机更新交换机的CAM表,使得交换机知道mac地址对应哪个端口 如当pc移动后,插在另外一个端口时,pc主动发送gratutious Arp,使得交换机及时更新CAM表 Cisco 交换机可以对Arp包进行分析,rp攻击的本质是篡改了IP地址和MAC地址的对应关系,因此在交换机中的 定义了网关IP地址和其正确MAC地址的对应关系,对于不正确的网关IP地址和地址对应的ARP packet,予以丢弃。C:\Documents and Settings\jiangjunping 210.53.131.169 Pinging 210.53.131.169 with 32 bytes of data: Reply from 210.53.131.169: bytes=32

文档评论(0)

xcs88858 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:8130065136000003

1亿VIP精品文档

相关文档