防止同网段arp攻击典型配置案例防止同网段arp攻击典型配置案例
1 阻止仿冒网关IP的arp攻击......................................................................................... 2
1.1 二层交换机..................................................................................................... 2
1.1.1 配置组网..................
防止同网段arp攻击典型配置案例
1 阻止仿冒网关IP的arp攻击......................................................................................... 2
1.1 二层交换机..................................................................................................... 2
1.1.1 配置组网.............................................................................................. 2
1.1.2 防攻击配置举例 ................................................................................... 2
1.2 三层交换机..................................................................................................... 3
1.2.1 配置组网.............................................................................................. 3
1.2.2 防攻击配置举例 ................................................................................... 3 2 仿冒他人IP的arp攻击................................................................................................ 3
1 阻止仿冒网关IP的arp攻击
1.1 二层交换机
1.1.1 配置组网
84.1.1.1/24PC-A
3552100.1.1.1/24
e0/2e0/8
e0/2e0/2
3026C_A3026C_B
PC-DPC-BPC-C
100.1.1.3/24100.1.1.4/24100.1.1.2/24
图1
3552P是三层设备,其中ip:100.1.1.1是所有pc的网关,3552P上的网关mac地址为000f-e200-3999。PC-B上装有arp攻击软件。现在需要对3026_A进行一些特殊配置,目的是过滤掉仿冒网关IP的arp报文。 1.1.2 防攻击配置举例
对于二层交换机如3026c等支持ACL number为5000到5999的交换机,可以配置acl来进行报文过滤。
(1)全局配置deny 所有源IP是网关的arp报文(自定义
)
ACL num 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
rule0目的:把整个3026C_A端口冒充网关的ARP报文禁掉,其中蓝色部分64010101是网关ip地址的16进制表示形式:100.1.1.1=64010101。
rule1目的:把上行口的网关ARP报文允许通过,蓝色部分为网关3552的mac地址000f-e200-3999。
注意配置Rule时的配置顺序,上述配置为先下发后生效的情况。
在S3026C-A系统视图下发acl规则:
[S3026C-A]packet-filter user-group 5000
这样只有3026C_A上连设备能够下发网关的ARP报文,其它pc就不能发
送假冒网关的arp响应报文。
1.2 三层交换机
1.2.1 配置组网
3552
1.1.1.2/24
1.1.1.1/24
3526E100.1.1.5/24
PC-BPC-C
100.1.1.4/24100.1.1.3/24
图2
1.2.2 防攻击配置举例
对于三层设备,需要配置过滤源IP是网关的arp报文的acl规则,配置如下acl规则:
ACL num 5000
rule 0 deny 0806 ffff 24 64010105 ffffffff 40
rule0目的:把所有3526E端口冒充网关的ARP报文禁掉,其中蓝色部分64010105是网关ip地址的16进制表示形式:100.1.1.5=64010105。
2 仿冒他人IP的arp攻击
作为网关的设备有可能会出现arp错误表项,因此在网关设备上还需对仿冒他人IP的arp攻击报文进行过滤。
如图1,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习错误的arp,如下所示:
--------------------- 错误 arp 表项 -------------------------------- IP Address MAC Address VLAN ID Port Name Aging Type
100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic
100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic
PC-D的arp表项应该学习到端口e0/8上,而不应该学习到e0/2端口上。
?在3552上配置静态arp,可以防止该现象:
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
?同理,在图2 S3526C上也可以配置静态arp来防止设备学习到错误的
arp表项。
?对于二层设备(3050和3026E系列),除了可以配置静态arp外,还
可以配置IP,mac,port绑定,比如在3026C端口4上作如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4,则ip为100.1.1.4并且mac为000d-88f8-09fa的arp报文可以通过e0/4
端口,仿冒其它设备arp报文无法通过,从而不会出现错误arp表项。
本文档为【防止同网段arp攻击典型配置案例】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。