防止arp攻击怎么做?ARP攻击防范的解决办法

防止arp攻击怎么做? ARP攻击防范是通过对ARP表的控制以及ARP报文的限制、检查等手段来保护网络设备的安全。之所以ARP攻击泛滥是由于ARP协议上的缺陷，没有相应的安全性验证;对于大型网络来说，找出攻击源是比较困难的一件事情，通过网络设备的配置也只能缓解ARP攻击对整个网络造成的压力。新睿云小编也会一一详解！

免费ARP的用途：

1 当我更新我得DHCP地址后,发送一份免费的ARP请求,告诉网段内所有的节点我更换了IP地址了,以便更新它们对我的ARP表项

2.用于检测网段内是否有人跟我使用了相同的IP 地址

3．用于ARP攻击.

推荐文章阅读《permitrootlogin是什么？如何保证系统的安全性》

解决方法一：

1. 静态绑定IP地址和MAC地址

2. R1(config)#arp 192.168.100.2 aaaa.bbbb.ccccfastEthernet 0/1

缺陷：如果是通过DHCP自动获取的地址,租期到了以后,绑定就会失效,病情重新发包请求IP地址.也不会分配到IP地址.扩展性很差。

2.Dynamic ARP Inspection 动态ARP监测,交换机上开启.

DAI (Dynamic ARP Inspection) 动态ARP监测，用于基于VLAN的防护机制

交换机开启DAI后，类似DHCP snooping，交换机上的所有接口都是untrusted接口,untrusted接口接收到ARP或ARP映带的时候,会提取ARP请求和应答中的三层或二层地址,与DHCP binding database中的信息进行对比,查看请求者IP应答或者IP是否合法.如果不合法会丢弃报文,合法才会转发.另外,要启用DAI首先要启用DHCP snooping。

当交换机接口手工配置为trusted接口,当收到RP请求或者ARP应答,都不会与DHCP binding database中的信息进行对比,如果报文合法就被方形,不合法就直接丢弃。

因此，在网络拓扑中交换机连接PC的接口应该设置为untrusted接口，交换经济互联的接口以及减缓及连接合法DHCP服务器的接口应该设置为trusted接口。

交换机全局模式下启动DAI

SW1(config)#iparp inspection vlan 20

SW2(config)#iparp inspection vlan 200

把中继链路的接口设置为 trusted接口

SW1(config)#interface fastethernet 0/1

SW1(config-if)#iparp inspection trust

SW2(config)#interface fastethernet 0/2

SW2(config-if)#iparp inspection trust

 

 

 

 

配置DAI的基本步骤：

1：部署DHCP. 2：部署DHCP Snooping 3:部署DAI 4：把中继接口和连接DHCP服务器的接口设置为trusted接口,并且限制连接PC接口接受ARP报文的速率

ARP报文的rate limit

默认DAI untrust接口的rate limit是15个P/S也就是15pps,trust接口则完全没有限制,可以通过iparp inspection limit 这条接口级的命令来修改。

当接口收到ARP报文超出这个阈值,接口进入err-disable。端口自动关闭.可以使用no shutdown 的方式重新恢复这个接口.或者.使用全局命令errdisble recovery 来让接口在一定时间间隔后自动恢复

SW1(config)#interface fastethernet 0/1

SW1(config-if)#iparp inspection limit rate 20

把接口接受的ARP报文的速率限制20P/S

当接口设置为err-disable状态,自动回复的时间为30S

SW1(config)#errdisable recover cause arp-inspection

SW1(config)#errdisable recovery interval 30

解决方法二

1，防火墙开启arp防攻击功能，查看arp异常IP地址或mac地址。

2，跟踪异常设备，在交换机或防火墙学习异常mac地址所属端口。

3，防止arp病毒广播扩撒应及时关闭下联端口，根据端口查找下联设备做病毒查杀，另外该网断所有关联设备都要做病毒查杀防止病毒感染。

ARP欺骗的三个阶段

初期：ARP欺骗

这种有目的的发布错误ARP广播包的行为，被称为ARP欺骗。ARP欺骗，最初为黑客所用，成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。

中期：ARP恶意攻击

后来，有人利用这一原理，制作了一些所谓的“管理软件”，例如网络剪刀手、执法官、终结者等，这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人，以恶意破坏为目的，多是为了让别人断线，逞一时之快。

特别是在网吧中，或者因为商业竞争的目的、或者因为个人无聊泄愤，造成恶意ARP攻击泛滥。

随着网吧经营者摸索出禁用这些特定软件的方法，这股风潮也就渐渐平息下去了。

现在：综合的ARP攻击

最近这一波ARP攻击潮，其目的、方式多样化，冲击力度、影响力也比前两个阶段大很多。

首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主，最有效的攻击方式是DDOS攻击。但是随着防范能力的提高，病毒制造者将目光投向局域网，开始尝试ARP攻击，例如最近流行的威金病毒，ARP攻击是其使用的攻击手段之一。

相对病毒而言，盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗，同时又会影响到其他电脑上网。  https://www.xinruiyun.cn/zhishiku/2641.html