www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 交換機(jī)上防arp機(jī)制

    2018-04-25 10:50:27 北京豐沃教育  點(diǎn)擊量: 評(píng)論 (0)
    什么是arp攻擊?攻擊者向電腦A發(fā)送一個(gè)偽造的ARP響應(yīng),告訴電腦A:電腦B的IP地址192.168.1.2對(duì)應(yīng)的MAC地址是00-aa-11-62-c6-03,電腦A信以...

    什么是arp攻擊?

    攻擊者向電腦A發(fā)送一個(gè)偽造的ARP響應(yīng),告訴電腦A:電腦B的IP地址192.168.1.2對(duì)應(yīng)的MAC地址是00-aa-11-62-c6-03,電腦A信以為真,將這個(gè)對(duì)應(yīng)關(guān)系寫(xiě)入自己的ARP緩存表中,以后發(fā)送數(shù)據(jù)時(shí),將本應(yīng)該發(fā)往電腦B的數(shù)據(jù)發(fā)送給了攻擊者。同樣的,攻擊者向電腦B也發(fā)送一個(gè)偽造的ARP響應(yīng),告訴電腦B:電腦A的IP地址192.168.1.1對(duì)應(yīng)的MAC地址是00-aa-11-62-c6-03,電腦B也會(huì)將數(shù)據(jù)發(fā)送給攻擊者。

    至此攻擊者就控制了電腦A和電腦B之間的流量,他可以選擇被動(dòng)地監(jiān)測(cè)流量,獲取密碼和其他涉密信息,也可以偽造數(shù)據(jù),改變電腦A和電腦B之間的通信內(nèi)容。這就是arp攻擊的大抵方式。

    今天向大家講講在交換機(jī)上如何防范arp攻擊。

    一、ARP表項(xiàng)嚴(yán)格學(xué)習(xí)(arp learning strict)

    如果大量用戶(hù)在同一時(shí)間段內(nèi)向設(shè)備發(fā)送大量ARP報(bào)文,或者攻擊者偽造正常用戶(hù)的ARP報(bào)文發(fā)送給設(shè)備,則會(huì)造成下面的危害:

    ·設(shè)備因處理大量ARP報(bào)文而導(dǎo)致CPU負(fù)荷過(guò)重,同時(shí)設(shè)備學(xué)習(xí)大量的ARP報(bào)文可能導(dǎo)致設(shè)備ARP表項(xiàng)資源被無(wú)效的ARP條目耗盡,造成合法用戶(hù)的ARP報(bào)文不能繼續(xù)生成ARP條目,進(jìn)而導(dǎo)致用戶(hù)無(wú)法正常通信。

    ·偽造的ARP報(bào)文將錯(cuò)誤地更新設(shè)備的ARP表項(xiàng),導(dǎo)致用戶(hù)無(wú)法正常通信。

    為避免上述危害,可以在網(wǎng)關(guān)設(shè)備上部署ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能。

    ARP表項(xiàng)嚴(yán)格學(xué)習(xí)是指只有本設(shè)備主動(dòng)發(fā)送的ARP請(qǐng)求報(bào)文的應(yīng)答報(bào)文才能觸發(fā)本設(shè)備學(xué)習(xí)ARP,其他設(shè)備主動(dòng)向本設(shè)備發(fā)送的ARP報(bào)文不能觸發(fā)本設(shè)備學(xué)習(xí)ARP,這樣,可以拒絕大部分的ARP報(bào)文攻擊。

    如圖:

    通常情況下,當(dāng)UserA向Gateway發(fā)送ARP請(qǐng)求報(bào)文后,Gateway會(huì)向UserA回應(yīng)ARP應(yīng)答報(bào)文,并且添加或更新UserA對(duì)應(yīng)的ARP表項(xiàng)。當(dāng)Gateway配置ARP表項(xiàng)嚴(yán)格學(xué)習(xí)功能以后:

    對(duì)于Gateway收到UserA發(fā)送來(lái)的ARP請(qǐng)求報(bào)文,Gateway不添加也不更新UserA對(duì)應(yīng)的ARP表項(xiàng)。如果該請(qǐng)求報(bào)文請(qǐng)求的是Gateway的MAC地址,那么Gateway會(huì)向UserA回應(yīng)ARP應(yīng)答報(bào)文。

    如果Gateway向UserB發(fā)送ARP請(qǐng)求報(bào)文,待收到與該請(qǐng)求對(duì)應(yīng)的ARP應(yīng)答報(bào)文后,Gateway會(huì)添加或更新UserB對(duì)應(yīng)的ARP表項(xiàng)。

    二、配置防止ARP中間人攻擊

    當(dāng)網(wǎng)絡(luò)中存在中間人攻擊時(shí),中間人仿冒服務(wù)器,向客戶(hù)端發(fā)送帶有自己的MAC和服務(wù)器IP的報(bào)文,讓客戶(hù)端學(xué)到中間人的IP和MAC,達(dá)到仿冒服務(wù)器的目的。然后,中間人向服務(wù)器發(fā)送帶有自己的MAC和客戶(hù)端IP的報(bào)文,讓服務(wù)器學(xué)到中間人的IP和MAC,達(dá)到仿冒客戶(hù)端的目的。這樣攻擊者就可以獲得服務(wù)器和客戶(hù)端的數(shù)據(jù)。

    為了避免受到中間人攻擊,可以在交換機(jī)上配置ARP報(bào)文檢查功能,對(duì)接口或VLAN下收到的ARP報(bào)文和綁定表進(jìn)行匹配檢查,當(dāng)報(bào)文的檢查項(xiàng)和綁定表中的特征項(xiàng)一致時(shí),轉(zhuǎn)發(fā)該報(bào)文,否則丟棄報(bào)文。

    如圖:

    Switch的Eth0/0/1和Eth0/0/2接口連接了兩個(gè)用戶(hù)。假設(shè)Eth0/0/2接口連接的用戶(hù)是一個(gè)攻擊者。為了防止ARP中間人攻擊,要求在Switch上配置ARP報(bào)文檢查功能,只有接收到的ARP報(bào)文信息和綁定表中的內(nèi)容一致才會(huì)被轉(zhuǎn)發(fā),否則報(bào)文將被丟棄。

    1.配置ARP報(bào)文檢查功能

    # 在連接Client的Eth0/0/1接口使能ARP報(bào)文檢查功能。

    [Quidway] interface ethernet 0/0/1

    [Quidway-Ethernet0/0/1] arp anti-attack check user-bind enable

    [Quidway-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan

    [Quidway-Ethernet0/0/1] quit

    # 在連接Attacker的Eth0/0/2接口使能ARP報(bào)文檢查功能。

    [Quidway] interface ethernet 0/0/2

    [Quidway-Ethernet0/0/2] arp anti-attack check user-bind enable

    [Quidway-Ethernet0/0/2] arp anti-attack check user-bind check-item ip-address mac-address vlan

    [Quidway-Ethernet0/0/2] quit

    2.配置靜態(tài)綁定表項(xiàng)

    # 配置Client為靜態(tài)綁定表項(xiàng)。

    [Quidway] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface Ethernet 0/0/1 vlan 10

    三、配置DHCP Snooping防arp攻擊(開(kāi)啟dhcp環(huán)境下)

    DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一種安全特性,通過(guò)截獲DHCP Client和DHCP Server之間的DHCP報(bào)文并進(jìn)行分析處理,可以過(guò)濾不信任的DHCP報(bào)文并建立和維護(hù)一個(gè)DHCP Snooping綁定表。該綁定表包括MAC地址、IP地址、租約時(shí)間、綁定類(lèi)型、VLAN ID、接口等信息。

    DHCP Snooping通過(guò)記錄DHCP Client的IP地址與MAC地址的對(duì)應(yīng)關(guān)系,保證合法用戶(hù)能訪問(wèn)網(wǎng)絡(luò),作用相當(dāng)于在DHCP Client和DHCP Server之間建立一道防火墻。

    DHCP Snooping可以解決設(shè)備應(yīng)用DHCP時(shí)遇到DHCP DoS(Denial of Service)攻擊、DHCP Server仿冒攻擊、DHCP仿冒續(xù)租報(bào)文攻擊等問(wèn)題。

    Dhcp Snooping

    配置內(nèi)容較多,需要的后面專(zhuān)門(mén)寫(xiě)篇配置dhcp snooping

    四、限制arp速率,防止arp洪范攻擊

    如圖:

     
    大云網(wǎng)官方微信售電那點(diǎn)事兒

    責(zé)任編輯:售電衡衡

    免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
    我要收藏
    個(gè)贊
    ?
    久久精品国产自在一线| 日韩精品无码一区二区中文字幕| 97在线观看视频| 国产成 人 亚洲 欧美 日韩| japan高清日本乱xxxxx| 亚洲一区二区三区乱码AⅤ蜜桃女| 91成人午夜性a一级毛片亚洲欧洲综合在线| 午夜人性色福利无码视频在线观看| 国产99视频精品免费视频7| ass芬兰大白屁股pic欧美日韩在线免费|