WEB开发网
开发学院网络安全安全技术 实战:cisco环境下解决arp欺骗问题 阅读

实战:cisco环境下解决arp欺骗问题

 2008-09-04 13:20:31 来源:WEB开发网   
核心提示:因为经常看到网上有看到求助ARP病毒防范办法,其实ARP欺骗原理简单,实战:cisco环境下解决arp欺骗问题,利用的是ARP协议的一个“缺陷”,免费ARP来达到欺骗主机上面的网关的arp表项的,确保客户端从合法的DHCP Server获取IP地址,作用:1.dhcp-snooping的主要作用

因为经常看到网上有看到求助ARP病毒防范办法,其实ARP欺骗原理简单,利用的是ARP协议的一个“缺陷”,免费ARP来达到欺骗主机上面的网关的arp表项的。

其实免费ARP当时设计出来是为了2个作用的:

1,IP地址冲突检测

2,ARP条目自动更新,更新网关。

arp欺骗就是利用这里面的第二条,攻击的主机发送一个arp更新,条目的ip地址是网关,但是mac地址一项,却不是网关,当其他主机接受到,会根据arp协议的规则,越新的越可靠的原则,达到欺骗的目的。

虽然arp不是tcp/ip协议簇中的一员,但是鉴于以太网的大行其道,所以放弃动态ARP协议,使用手动方式的来来做arp映射,好像不大现实(个别情况除外)。

我在这里介绍cisco网络环境下解决这个问题的思路:

其实这里面使用到了2个技术:dhcp snooping和ARP inspection

一.dhcp snooping

DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

作用:

1.dhcp-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。

1 2 3  下一页

Tags:实战 cisco 环境

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接