ARP 攻击和防御(动态 ARP 检测).docVIP

ARP 攻击与防御（动态 ARP 检测）【实验名称】ARP 攻击与防御（动态 ARP 检测）【实验目的】使用交换机的 DAI（动态 ARP 检测）功能增强网络安全性【背景描述】 某企业的网络管理员发现最近经常有员工抱怨无法访问互联网，经过故障排查后，发现客户端 PC 上缓存的网关的 ARP 绑定条目是错误的，从此现象可以判断出网络中可能出现了 ARP 欺骗攻击，导致客户端 PC 不能获取正确的 ARP 条目，以至不能够访问外部网络。如果通过交换机的 ARP 检查功能解决此问题，需要在每个接入端口上配置地址绑定，工作量过大，因此考虑采用 DAI 功能解决 ARP 欺骗攻击的问题。【需求分析】ARP 欺骗攻击是目前内部网络中出现最频繁的一种攻击。对于这种攻击，需要检查网络中 ARP 报文的合法性。交换机的 DAI 功能可以满足这个要求，防止 ARP 欺骗攻击。【实验拓扑】【实验设备】 二层交换机 1 台（支持 DHCP 监听与 DAI） 三层交换机 1 台（支持 DHCP 监听与 DAI） PC 机 3 台（其中 1 台需安装 DHCP 服务器，另 1 台安装 ARP 欺骗攻击工具WinArpSpoofer（测试用））【预备知识】交换机转发原理交换机基本配置DHCP 监听原理DAI 原理ARP 欺骗原理【实验原理】交换机的 DAI 功能可以检查端口收到的 ARP 报文的合法性，并可以丢弃非法的 ARP报文，防止 ARP 欺骗攻击。【实验步骤】第一步：配置 DHCP 服务器将一台 PC 配置为 DHCP 服务器，可以使用 Windows Server 配置 DHCP 服务器，或者使用第三方 DHCP 服务器软件。DHCP 服务器中的地址池为 172.16.1.0/24。第二步：SW2 基本配置及 DHCP 监听配置（接入层）Switch#configureSwitch(config)#hostname SW2SW2(config)#vlan 2SW2(config-vlan)#exitSW2(config)#interface range fastEthernet 0/1-2SW2(config-if-range)#switchport access vlan 2SW2(config-if-range)#exitSW2(config)#interface fastEthernet 0/24SW2(config-if)#switchport mode trunkSW2(config-if)#exitSW2(config)#ip dhcp snoopingSW2(config)#interface fastEthernet 0/24SW2(config-if)#ip dhcp snooping trustSW2(config-if)#endSW2#第三步：SW1 基本配置、DHCP 监听配置及 DHCP Relay 配置（分布层）Switch#configureSwitch(config)#hostname SW1SW1(config)#interface fastEthernet 0/24SW1(config-if)#switchport mode trunkSW1(config-if)#exitSW1(config)#vlan 2SW1(config-vlan)#exitSW1(config)#interface vlan 2SW1(config-if)#ip address 172.16.1.1 255.255.255.0SW1(config-if)#exitSW1(config)#vlan 100SW1(config-vlan)#exitSW1(config)#interface vlan 100SW1(config-if)#ip address 10.1.1.2 255.255.255.0SW1(config-if)#exitSW1(config)#interface fastEthernet 0/1SW1(config-if)#switchport access vlan 100SW1(config-if)#exitSW1(config)#ip dhcp snooping！启用 DHCP snooping 功能SW1(config)#interface fastEthernet 0/1SW1(config-if)#ip dhcp snooping trust！配置 F0/1 端口为 trust 端口SW1(config-if)#exitSW1(config)#interface fastEthernet 0/24SW1(config-if)#ip dhcp snooping trust！配置 F0/24 端口为