ARP***防范技术详解

最新推荐文章于 2024-11-08 13:43:44 发布

weixin_34227447

最新推荐文章于 2024-11-08 13:43:44 发布

阅读量155

点赞数

文章标签：操作系统

原文链接：http://blog.51cto.com/sishui/550169

版权

1.ARP***之基本原理

1.1 ARP***之基本类型

ARP***从运作效果上看，主要可以分为以下两大类

1. DoS （Deny of Service）：拒绝服务，消耗交换机资源，让其做广播flooding，从而达到抓取和阅读数据包

2. Man in the middle ：中间人，通过伪造gateway MAC地址响应PC，从而让PC将数据包发往attacker，达到窃取，篡改数据的目的

总结：

不论是哪种ARP的***，底层都是地址欺骗！！！

n1.2 ARP***之基本原理

ARP***，不管是DOS 还是 Man in the middle***，最初步的手段都是通过伪造MAC地址，来做欺骗，从而将流量抓取过来。

区别在于DoS***是不停的伪造MAC地址，做Flooding，Man in the middle是通过将自己的MAC伪造成gateway之mac地址，也就是只伪造一次。

2.ARP***之防范措施

2.1 防范ARP***之主要方法

1. Port Security

2. Dhcp Snooping

3. Dynamic ARP Inspection

4. IP Source Guard

Port Security：

Port –security 是cisco交换机端口安全的一个基本安全特性，提供MAC地址动态绑定，和MAC地址对大限制。从而防止ARP flooding***。对违规之操作有如下之操作：

1. 关闭：关闭端口进入errdisable状态

2. 保护： Drop packet

3. 限制： Drop packet Send log to snmp

DHCP Snooping

DHCP Snooping 提供IP和mac的动态绑定，但是单纯的DHCP防范***安全系数较低，DHCP Snooping也是DAI和IP Source Guard等技术的核心底层架构

Dynamic ARP Inspection

Cisco IP DAI技术。提供了安全的局域网ARP监测机制，可以有效的防治ARP Flooding 和Man in the middle***，

DAI技术底层依靠DHCP snooping 产生的IP&MAC动态绑定的表项，对ARP请求报文能够做到监测，限制等功能，安全系数较高。架构在DHCP服务器的前提之下的，PC机从DHCP服务器获取IP后，就不能够任意的改动IP或者MAC，DAI就能够做出报警处理，将接口errdisable，并且log报警，对我们排除错误，准确定位，防范***有很好的效果

IP Source Guard

IP source Guard 原理和DAI技术相同，但是监测的不单纯是ARP报文，经过端口的所有Packet都将进行检测，架构在DHCP Snooping之上的技术，

通过DHCP Snooping产生的动态绑定表，对入站的packet所有的source mac & source IP都与DHCP动态绑定的表项进行比较。

安全系数较高，但是对CPU消耗过

技术类型参数	Port-security	Dynamic ARP Inspection	IP Source Guard
防范范围	Arp flooding	Arp flooding Man in the middle	Arp flooding Man in the middle
防范类型	MAC数量	包检测	包检测
CPU损耗	很低	一般	较高
底层架构	端口学习	DHCP Snooping	DHCP snooping
安全等级	低	一般	较高

Switch（config）#ip dhcp snooping vlan 1