大家好,感谢邀请,今天来为大家分享一下ARP攻击防范技术的问题,以及和的一些困惑,大家要是还不太明白的话,也没有关系,因为接下来将为大家分享,希望可以帮助到大家,解决大家的问题,下面就开始吧!
功能介绍
当设备作为三层使用时,当用户发送ARP报文修改设备的ARP表项时,可以通过以下方式防止防地址欺骗:
将ARP 数据包与ARP 表中的相关条目进行比较,并通过禁止修改ARP 表中的某些字段来防止ARP 欺骗。
实施方法
防止地址欺骗的方法有两种: 1)ARP学习主动确认法; 2)防止表项更新的锁定方法,如第1章所述
ARP表一旦学习完毕,就不允许再次更新。
ARP学习主动确认方法
第一次学习ARP时,收到用户的更新ARP请求时,暂时不会更新本地ARP表,而是先将本地ARP表发送给用户。
发送ARP 请求。如果用户响应请求,则将学习到该用户的ARP。否则,将无法学习到用户的ARP。
注意:目前主动确认模式下的ARP 学习存在缺陷。请参考主动确认模式下ARP学习的缺陷。
锁定模式以防止ARP 更新
当用户第一次学习ARP时,ARP表项的部分或全部字段被锁定,不允许更新ARP表项。
包括两种锁定方式:1)固定mac模式,MAC和IP不允许更新,但其他信息如端口、VLAN等可以更新; 2)fixed-all模式,不允许所有更新,包括ARP的老化时间。
防ARP网关冲突
功能介绍
当设备作为网关时,ARP网关冲突检查可以防止用户欺骗网关的IP,非法修改网关和网络。
系统中其他用户的ARP表项。
实施方法
当CPU收到ARP报文时,会比较ARP报文的源IP与其所在VLANIF的IP地址是否相同。
如果相同,则说明网关IP被用户欺骗,丢弃ARP报文,记录日志,并发出告警。同时下发ACL,
丢弃用户的ARP报文。该ACL的有效时间为3分钟。 3分钟后删除该ACL规则。
ARP严格研究
功能介绍
对ARP表项进行严格学习,防止恶意修改ARP表项。开启ARP严格学习功能后,交换机只学习
自身发送的ARP请求报文的回复报文。
实施方法
ARP严格学习是指设备在发送ARP请求时,会记录当前发送的请求表项,称为发送列表。
当收到ARP应答报文时,比较该报文的源地址是否在发送列表中。如果它在发送列表中,请更新它。
ARP表项,否则ARP表不会更新。另外,收到的ARP请求和空闲ARP报文不会更新ARP表项。
注:该功能在VRP平台上实现。
1.3.4 动态ARP检测(DAI)
功能介绍
动态ARP检测(DAI)通过DHCP SNOOPING表项检查接收到的ARP报文的合法性。
如果ARP报文内容与DHCP SNOOPING绑定表一致,则允许用户的ARP报文通过;否则,用户的ARP报文将被丢弃。
ARP 消息。
为了防止ARP中间人攻击,可以配置ARP报文检查功能,检查接口或VLAN收到的ARP报文及其绑定情况。
同时可以配置报警功能。当丢弃的数据包数量超过限制阈值时,将发出警报消息。
实施方法
DAI通过DHCP SNOOPING检查ARP报文的合法性。目前有两种实现方式: 1)通过软件实现
目前盒式交换机均采用这种方式; 2)通过芯片实现,盒式交换机采用这种方式。如下所述
两种实现方法。
软件方式DAI
当VLAN 上启用DAI 时,下发规则会将VLAN 下的所有ARP 数据包发送到软件层。在软件层,检查
查找DHCP SNOOPING绑定表,检查ARP报文是否与绑定表匹配。主要检查源MAC、源IP、
硬件模式DAI
硬件方法是通过芯片的ACL规则、检查内容和软件检查来检查用户ARP报文的合法性。
一致且可配置。
当DHCP SNOOPING 用户上线时,DAI 模块会收到通知。 DAI模块将用户表中的源MAC、源IP、VLAN进行转换
这些信息加上匹配的ARP 协议,被组装成ACL 规则并传送到芯片。
当ARP报文从某个端口进入芯片时,通过下发的ACL规则进行匹配。如果匹配,则发送。
如果用户非法,则通过匹配端口下的默认ACL规则来丢弃该数据包(该规则是在端口启用DAI时发出的,例如
如果是基于VLAN的DAI,则当VLAN使能时,DAI会下发到VLAN中)。
ARP报文速率限制
在城域以太网中,针对ARP表项的攻击非常多,因此有必要对ARP表项进行攻击。
通过层层配置,防止ARP表项受到攻击,保护网络安全。
为了防止大量的ARP报文增加CPU的负载并占用大量的ARP表项,可以配置ARP报文。
报文速率抑制将ARP报文上送主控板处理的速率限制在合理的范围内。
为了防止主机通过发送大量目标IP地址无法解析的IP报文来攻击设备,可以配置ARPMiss。
源抑制功能丢弃来自攻击者的数据包。
接口使能ARP报文检查功能后,经过该接口的ARP报文将被发送到安全模块进行检查。
为了防止大量ARP报文对安全模块造成影响,可以配置ARP报文速率抑制。如果速率超过限制,
处理后的数据包将被丢弃。
ARP攻击防范解决方案
二层交换机攻击防范解决方案
如上图所示,在二层交换机上部署DAI,保证全网的ARP安全,并部署ARP限速
确保设备本身的安全;
三层网关攻击防御解决方案
如上图所示,在三层交换机上,部署防ARP地址欺骗,避免ARP网关冲突,并进行严格的ARP学习,保证
原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/187337.html
用户评论
情深至命
ARP攻击真是太可怕了,之前我公司网络刚遇到过一次,导致所有设备都无法上网,损失惨重!还好后来找到了防火墙来防护,大家一定要注意安全!
有17位网友表示赞同!
凉话刺骨
ARP 攻击 防范技术?最近一直在学习网络安全知识,这个话题还挺感兴趣的。感觉像电影里一样, hackers 利用黑客技能破坏系统!希望能够了解更多相关技术细节,这样才能 mieux proteger our systems.
有15位网友表示赞同!
败类
这篇文章讲得不错,介绍了很多常用的 ARP 攻击防护手段,比如ARP 检查和ARP 代理。我打算把这些方法都试试看,看看能不能有效防止网络内网渗透。
有6位网友表示赞同!
冷月花魂
看了标题就头大了! 我还是个新手程序员,这些网络安全的专业术语很难理解… 希望以后能有更多通俗易懂的讲解,让我们小白也能了解这个行业的需求!
有12位网友表示赞同!
久爱不厌
ARP 攻击确实防不胜防啊,现在的网络安全问题越来越严重了! 建议大家定期检测网络设备的安全漏洞,及时修复,才能有效降低风险。
有10位网友表示赞同!
嘲笑!
这篇文章写的有点枯燥乏味,缺乏生动案例和实例分析,读起来没意思。感觉更像是一个学术论文,不如用一些故事来引人入胜。
有6位网友表示赞同!
别在我面前犯贱
ARP攻击防护技术这篇文章我关注了! 网络安全是现在社会发展的重要课题,需要我们重视! 我想多了解一些最新的网络安全知识和技术,提高自己的安全意识。
有16位网友表示赞同!
沐晴つ
我觉得还是得依赖专业的防火墙和安全解决方案来应对 ARP 攻击这种威胁,自己只能做到尽量避免网络暴露风险才好。毕竟我不是专业的网络安全工程师!
有7位网友表示赞同!
断桥残雪
这个 "ARP 攻击防范技术" 的文章我一看就知道是干货!学习了很多实用的技巧,比如如何配置路由器、如何使用 ACL 等。这些知识对提高网络安全性非常有用。
有8位网友表示赞同!
夏日倾情
说实话,ARP 攻击这种黑客攻击手段听起来真是太可怕了! 不知道该如何预防呢?希望这篇技术文章能给我一些启发!
有13位网友表示赞同!
龙吟凤
我平时经常上网冲浪,看到这篇文章就觉得很重视 ARP 的安全问题。我觉得可以定期扫描网络设备,及时修复漏洞 ,加强密码保护等等。 提高自己的网络安全意识真的很重要!
有16位网友表示赞同!
清羽墨安
ARP 攻击防范技术 , 看起来很有挑战性! 希望以后能够继续学习和研究这些领域知识 , 为自己的网络安全事业贡献一己之力!
有19位网友表示赞同!
忘故
这篇文章的介绍虽然简单易懂,但对于我这种对网络架构比较模糊的人来说,还是有些难以理解。希望能够加入一些图示或者案例分析,更直观地展示 ARP 工作原理和攻击过程。
有7位网友表示赞同!
别留遗憾
ARP 攻击防范技术 , 这个主题很有意思! 希望了解更多具体的实践案例和防御方法,以便自己在实际工作中能够更好地应对网络安全挑战!
有8位网友表示赞同!
風景綫つ
这篇博文写的不错,重点突出,内容干练。 希望以后能看到更多关于 ARP 防御技术的文章,提供更深入的讲解和实用技巧。
有9位网友表示赞同!
作业是老师的私生子
ARP 攻击防范真是太重要了! 要提高计算机安全水平 ,需要不断学习新知识和掌握最新的技能 。 这篇文章给我了一些启发!
有19位网友表示赞同!
淡抹烟熏妆丶
我觉得这篇文章太理论化了,缺乏实操性。希望能结合一些实际案例,比如常见的 ARP 攻击方式和防御策略,这样更容易理解和记忆。
有15位网友表示赞同!
陌上蔷薇
网络安全确实越来越重要,ARP 的问题也是需要引起重视的! 我更想了解一下最新的防护技术,比如使用 SDN 来隔离攻击流量,有没有类似的方法?
有18位网友表示赞同!