配置防止ARP中间人攻击示例

最新推荐文章于 2024-04-01 16:53:38 发布
最新推荐文章于 2024-04-01 16:53:38 发布
阅读量182 收藏 1
点赞数
文章标签: 网络 java 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GUOJUNWEI11/article/details/134663160
版权

ARP安全简介

定义

ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。

目的

ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。在网络中,常见的ARP攻击方式主要包括:

  • ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景:

    • 设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。

    • 攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。

  • ARP欺骗攻击,是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。

ARP攻击行为存在以下危害:

  • 会造成网络连接不稳定,引发用户通信中断。
  • 利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。

为了避免上述ARP攻击行为造成的各种危害,可以部署ARP安全特性。

配置思路

采用如下思路在SwitchA上进行配置:

  1. 使能动态ARP检测功能,使SwitchA对收到的ARP报文对应的源IP、源MAC、VLAN以及接口信息进行DHCP Snooping绑定表匹配检查,实现防止ARP中间人攻击。
  2. 使能动态ARP检测丢弃报文告警功能,使SwitchA开始统计丢弃的不匹配DHCP Snooping绑定表的ARP报文数量,并在丢弃数量超过告警阈值时能以告警的方式提醒管理员,这样可以使管理员根据告警信息以及报文丢弃计数来了解当前ARP中间人攻击的频率和范围。
  3. 配置DHCP Snooping功能,并配置静态绑定表,使动态ARP检测功能生效。

拓扑图

S1基本配置

<Huawei>system-view 
[Huawei]sysname S1	
[S1]undo info-center enable 

创建VLAN,将接口加入到VLAN中 
# 创建VLAN10,并将接口GE0/0/1、GE0/0/2、GE0/0/3、GE0/0/4加入VLAN10中。
[S1]interface GigabitEthernet 0/0/1	
[S1-GigabitEthernet0/0/1]port link-type access 
[S1-GigabitEthernet0/0/1]port default vlan 10 
[S1-GigabitEthernet0/0/1]q

[S1]interface GigabitEthernet 0/0/2	
[S1-GigabitEthernet0/0/2]port link-type access 
[S1-GigabitEthernet0/0/2]port default vlan 10
[S1-GigabitEthernet0/0/2]q

[S1]interface GigabitEthernet 0/0/3
[S1-GigabitEthernet0/0/3]port link-type access 
[S1-GigabitEthernet0/0/3]port default vlan 10
[S1-GigabitEthernet0/0/3]q
	
[S1]interface GigabitEthernet 0/0/4	
[S1-GigabitEthernet0/0/4]port link-type access 
[S1-GigabitEthernet0/0/4]port default vlan 10
[S1-GigabitEthernet0/0/4]q


使能动态ARP检测功能和动态ARP检测丢弃报文告警功能 
# 在接口GE0/0/1、GE0/0/2、GE0/0/3下使能动态ARP检测功能和动态ARP检测丢弃报文告警功能。以GE0/0/1为例,GE0/0/2、GE0/0/3的配置与GE0/0/1接口类似
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]arp anti-attack check user-bind enable 	
[S1-GigabitEthernet0/0/1]arp anti-attack check user-bind alarm enable 
[S1-GigabitEthernet0/0/1]q

[S1]interface GigabitEthernet 0/0/2	
[S1-GigabitEthernet0/0/2]arp anti-attack check  user-bind  enable 	
[S1-GigabitEthernet0/0/2]arp anti-attack check  user-bind alarm enable 
[S1-GigabitEthernet0/0/2]q

[S1]interface GigabitEthernet 0/0/3	
[S1-GigabitEthernet0/0/3]arp anti-attack check  user-bind  enable 	
[S1-GigabitEthernet0/0/3]arp anti-attack check user-bind alarm enable 
[S1-GigabitEthernet0/0/3]q


配置DHCP Snooping功能 
# 全局使能DHCP Snooping功能。
[S1]dhcp enable 	
[S1]dhcp snooping enable 

在VLAN10内使能DHCP Snooping功能。
[S1]vlan 10
[S1-vlan10]dhcp snooping enable 
[S1-vlan10]q

 配置接口GE0/0/4为DHCP Snooping信任接口。
[S1]interface GigabitEthernet 0/0/4	
[S1-GigabitEthernet0/0/4]dhcp snooping  trusted 
[S1-GigabitEthernet0/0/4]q

 配置静态绑定表。
[S1]user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface Gi
gabitEthernet 0/0/3 vlan 10

验证结果查看各接口下动态ARP检测的配置信息
[S1]display arp anti-attack configuration check user-bind interface GigabitEther
net 0/0/1
 arp anti-attack check user-bind enable
 arp anti-attack check user-bind alarm enable
  1. 验证配置结果

    # 执行命令display arp anti-attack configuration check user-bind interface,查看各接口下动态ARP检测的配置信息

郭 子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
arp anti-attack check user-bind enable 接口或VLAN下动态ARP检测(DAI)功能,即对ARP报文进行绑定表匹配检查功能。
weixin_40239644的博客
08-17 1781
arp anti-attack check user-bind enable 接口或VLAN下动态ARP检测(DAI)功能,即对ARP报文进行绑定表匹配检查功能。
防止ARP攻击的shell代码
09-15
攻击者可以通过这两种方式来截获数据包,甚至可以进行中间人攻击。 #### 二、ARP攻击防御原理 防御ARP攻击的核心在于确保本地ARP缓存表中的条目正确无误,即IP地址与其对应的MAC地址匹配准确。在Linux系统中,可以...
ARP攻击
purvispanwu的博客
04-10 502
学习笔记 arp攻击原理 模拟攻击 防御 DHCP snooping DHCP-SNOOPING开启之后-交换机创建DHCP-SNOOPING表 五元素表 交换机可以监听DHCP消息内容 ,将监听到的内容添加到DHCP-SNOOPING五元素表 交换机配合DHCP-SNOOPING五元素表 继续开启 ARP anti attack ARP攻击防范(交换机接口/VLAN下),开启该功能之后,交换机接口收到了ARP消息后,交换机查询该ARP消息中的send-mac/send-ip.对应关系。 .
华为配置防止ARP中间人攻击实验
最新发布
专研计算机网络,数据通信,网络安全,系统集成
04-01 1323
ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。网络中针对ARP的攻击层出不穷,中间人攻击是常见的一种ARP欺骗攻击方式。通过中间人攻击窃取合法用户的数据。为了防御中间人攻击,可以在设备上部署动态ARP检测DAI(Dynamic ARP Inspection)功能。
arp miss攻击_华为S27/S5700交换机配置配置防止ARP中间人攻击
weixin_35421203的博客
12-24 1866
display arp anti-attack configuration check user-bind interface ethernet 0/0/1arp anti-attack check user-bind enablearp anti-attack check user-bind alarm enablearp anti-attack check user-bind alarm t...
ARP安全
weixin_46041124的博客
02-23 1318
如图3-247所示,SwitchA通过接口GE2/0/1连接DHCP Server,通过接口GE1/0/1、GE1/0/2连接DHCP客户端UserA和UserB,通过接口GE1/0/3连接静态配置IP地址的用户UserC。动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。
Win7静态绑定网关MAC防止arp攻击
02-27
2. **中间人攻击**:攻击者可以利用ARP欺骗技术成为数据传输过程中的“中间人”,对数据进行监听或篡改。 3. **网络瘫痪**:当大量错误的ARP缓存条目充斥着网络设备时,可能会导致合法的ARP缓存无法被正常处理,从而...
ARP欺骗示例
10-22
这样,攻击者可以监听、修改或丢弃这些数据包,进行中间人攻击。 在本"ARP欺骗示例"中,使用C#编程语言实现了一个简单的ARP欺骗工具。C#是一种常用的多用途编程语言,特别适合开发Windows桌面应用和网络应用。使用...
mininet_sshmitm:这是使用Mininet和Ettercap的SSH中间人(MITM)攻击的示例
05-07
在此演示中,我们将演示恶意攻击者如何通过称为ARP欺骗的方法窃听SSH客户端和SSH服务器之间的流量,从而成为中间人主机。 入门 此示例需要两个至关重要的软件,分别称为Mininet和Ettercap。 我们将在下面介绍如何...
ARP攻击VC源代码
07-01
1. **ARP欺骗**:攻击者冒充网关,将自己作为中间人,接收并转发所有通信。攻击者可以监听、篡改或阻止网络流量,对用户隐私和数据安全构成威胁。 2. **ARP毒化**:攻击者将自己映射为网络中任意两个设备的IP,使得...
ARP 防御措施
kuaizai__的博客
10-20 2470
ARP 防御措施 arp没有认证机制,围绕信任名单来做防御机制 主机: 通过人工添加静态表项 : PC> arp -s 192.168.206.14 54-89-98-C2-65-B0 通过软件来检测arp表项构建信任arp表,把非信任arp信息或者异常arp包丢弃 交换机的arp防御技术: [Huawei]arp speed-limit source-ip 192.168.206.11 maximum 10 //限制源ip发送arp包的量 ​ [Hua
华为设备ARP安全配置命令
Tony_long7483的博客
08-21 1591
华为设备ARP安全配置命令
配置ARP安全综合功能示例
2301_76769041的博客
01-27 1057
ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。常见的ARP攻击如下:用户主机直接接入网关,攻击者将伪造网关的ARP报文发送给用户主机,使用户主机误以为攻击者即为网关。
ARP安全配置与管理——2
热门推荐
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
05-14 1万+
配置ARP欺骗攻击ARP表项攻击、网关攻击、中间人攻击ARP欺骗攻击的主要应用场景。下表列出了针对不同ARP欺骗攻击类型所提供的不同解决方案,以增强网络抗击ARP欺骗攻击的能力。在这些配置ARP欺骗攻击安全特性中,各项配置均是并列关系,无严格配置顺序,也并不是要求配置所有的ARP安全特性方案,用户可根据需要选择配置一种或多种方案。一、配置ARP表项固化为了防止ARP地址欺骗攻击,可以配置AR...
ARP-attrack ARP内网毒化/欺骗攻击
qq_43390703的博客
09-26 2085
文章目录ARP-ATTACK原理ARP介绍要素/媒介工作原理RARPARP欺骗实战分析环境断网攻击过程欺骗攻击过程毒化欺骗监听图片访问其他ARP攻击基础代码实现如何防治ARP毒化攻击 ARP-ATTACK 原理 ARP 介绍 ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并
任务三:ARP欺骗攻击与防御策略
2301_76274559的博客
10-18 643
简单的ARP欺骗攻击与防御策略
【黑客渗透】-- 中间人攻击
可惜已不在
02-14 2612
随着信息技术的飞速发展,网络搭建和服务器搭建已成为现代社会的基石。它们如同数字世界的骨架,支撑着各类应用的运行,让信息的传递和共享变得前所未有的便捷。然而,这仅仅是开始,对于真正渴望在信息技术领域探索的人们来说,学习的道路上仍有无数高峰等待我们去攀登。此刻,我们正站在一个崭新的起点,带着对知识和技术的渴望,开启一段全新的学习篇章。在这个篇章中,我们将不满足于仅仅搭建起稳固的网络和服务器,更将深入网络攻击.学习新篇章的道路或许充满挑战,但正是这些挑战,将激发我们不断前行的动力。
HCIE(1)——arp欺骗供攻击原理及防御
qq_45782298的博客
10-21 1484
一、ARP协议概述 ARP协议,地址解析协议 。是将IP地址与MAC地址对应起来,属于数据链路层协议。 1、ARP的数据包可分为两种: 请求包(广播): 源IP:本机的IP 目标IP:目标主机的IP 源MAC:本机的AMC 目标MAC:全F 应答包(单播) 源IP:本机的IP 目标IP:目标主机的IP 源MAC:本机的AMC 目标MAC:目标主机MAC 2、通信方式 局域网内通信: 主机A和主机B的通信过程: (1)主机A首先检查自己的缓存列表中有没有主机B的IP与其MAC的对应关
ARP渗透和防御
BRMTSW的博客
03-01 445
ARP攻击和防御
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值