十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制

接着跟大家讲讲网工方面的课题。大家在工作的时候最怕就是出现大面积网络瘫痪的情况,如果整个局域网都无法上网,那很好判断肯定是出口路由出问题了,查出口路由或者查IS

各位老铁们,大家好,今天由我来为大家分享十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制,以及的相关问题知识,希望对大家有所帮助。如果可以帮助到大家,还望关注收藏下本站,您的支持是我们最大的动力,谢谢大家了哈,下面我们开始吧!

攻击者向计算机A发送伪造的ARP响应,告诉计算机A计算机B的IP地址192.168.2.101对应的MAC地址是6c-72-e7-5f-02-ea。计算机A 相信这是真的并写下了这封信。写入自己的ARP缓存表中,以后发送数据时,将应该发送给计算机B的数据发送给攻击者。同样,攻击者也向计算机B发送伪造的ARP响应,告诉计算机B:计算机A的IP地址192.168.2.100对应的MAC地址是d8-96-95-4e-ca-a5,计算机B也会得到该数据被发送给攻击者。

此时,攻击者控制了计算机A和计算机B之间的流量。他可以选择被动监控流量并获取密码和其他机密信息,也可以伪造数据并改变计算机A和计算机B之间的通信内容。是arp攻击的一般方法。

局域网中ARP攻击该怎么办?

如果您的局域网存在ARP攻击,在排查过程中,您必须紧急先允许部分计算机访问互联网,以保证公司最低限度的运转。

Windows XP系统紧急操作: 1.开始–运行–CMD–输入命令“arp -a”; 2、静态绑定网关IP和MAC,输入命令“arp -s 192.168.2.1 2c-b2-1a-5f-87-2d”,如图:

arp -a 命令

arp -s 命令

Windows 7/Windows 10 系统紧急操作: 1. 在DOS 命令提示符下输入命令“netsh interface ipv4 show interface”,然后按Enter。检查计算机上所有网卡的idx,确定要绑定的idx。一般为11; 2、输入命令“netsh interface ipv4 set Neighbors 11 192.168.2.1 2c-b2-1a-5f-87-2d”实现静态绑定。如图所示:

查询Idx命令

Win 7静态绑定命令

今天向大家讲讲在交换机上如何防范arp攻击

1.严格学习ARP表项(arp Learning strict)

如果同一时间段内大量用户向设备发送大量ARP报文,或者攻击者伪造正常用户的ARP报文发送给设备,则会造成以下危害:

设备CPU因处理大量ARP报文而过载。同时,设备学习到大量的ARP报文,可能会导致设备的ARP表资源被无效的ARP表项耗尽,导致合法用户的ARP报文无法再生成ARP表项。这进而导致用户无法正常通信。

伪造的ARP报文会错误地更新设备的ARP表项,导致用户无法正常通信。

为了避免上述危害,可以在网关设备上部署ARP表项的严格学习功能。

严格学习ARP表项是指只有设备主动发送的ARP请求报文的响应报文才能触发设备学习ARP。其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP。这样就可以拒绝了。大多数ARP 消息攻击。如图所示:

正常情况下,当UserA向Gateway发送ARP请求报文时,Gateway会向UserA回复ARP应答报文,并添加或更新UserA对应的ARP表项。网关配置ARP表项严格学习功能后:

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制

当Gateway收到UserA发送的ARP请求报文时,不会添加或更新UserA对应的ARP表项。如果请求消息请求网关的MAC地址,则网关将向UserA响应ARP应答消息。

如果Gateway向UserB发送ARP请求报文,则Gateway收到该请求对应的ARP应答报文后,会添加或更新UserB对应的ARP表项。

2.配置防止ARP中间人攻击

当网络中存在中间人攻击时,中间人伪造服务器,向客户端发送带有自己的MAC和服务器IP的消息,使客户端获知中间人的IP和MAC,从而实现伪造服务器的目的。然后,中间人向服务器发送带有自己的MAC和客户端IP的消息,让服务器获知中间人的IP和MAC,从而达到伪造客户端的目的。这使得攻击者能够获取服务器和客户端数据。

1.配置ARP报文检查功能

# 在与客户端相连的Eth0/0/1接口上使能ARP报文检测功能。

[Quidway] 接口以太网0/0/1

[Quidway-Ethernet0/0/1] arp防攻击检查用户绑定启用

[Quidway-Ethernet0/0/1] arp 防攻击检查user-bind check-item ip-address mac-address vlan

[Quidway-Ethernet0/0/1] 退出

# 在连接Attacker的Eth0/0/2接口上开启ARP报文检测功能。

[Quidway] 接口以太网0/0/2

[Quidway-Ethernet0/0/2] arp 防攻击检查user-bind 启用

[Quidway-Ethernet0/0/2] arp 防攻击检查user-bind check-item ip-address mac-address vlan

[Quidway-Ethernet0/0/2] 退出

2.配置静态绑定表项

# 配置Client为静态绑定表项。

用户评论

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
相知相惜

这篇文章真是太棒了!对于一个想深入学习网络安全的同学来说,掌握ARP攻击和防御方法非常重要。文中提到的方法我以前用过几次,效果确实不错

    有12位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
凉笙墨染

十几年老网工的经验总结真是金玉良言啊!一直想要弄懂这个交换机上防ARP机制的事情,这篇文章讲解得详细透彻,看得出作者对技术的深入理解和实践经验!

    有7位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
不忘初心

ARP攻击一直是我比较关注的技术之一。因为在实际工作中接触过几次这类攻击,给我的网络带来了不少困扰。感谢博主分享这个技术方案,让我可以参考学习

    有20位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
莫失莫忘

这篇博客真的太实用了!我一直在使用的是Cisco设备,文中提到的方法能否适用于其他品牌的交换机呢? 如果能兼容更多厂商的产品就好了。

    有19位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
烟雨离殇

交换机防ARP机制确实挺重要的。之前我的网络系统也遭受过ARP攻击的困扰,导致网络无法正常工作。幸好后来找到了解决方法,不过这篇文章写的还是非常详细,很有参考价值

    有13位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
素婉纤尘

虽然文章说得很好理解,但是我个人觉得在实际操作步骤上可以更详细一点,比如如何配置具体命令等,这样对于没接触过这些设置的人来说会更容易入门!

    有15位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
放肆丶小侽人

我觉得这篇文章最大的问题就是没有提供具体的案例分析,仅仅讲理论知识可能不够吸引人。如果能结合真实场景来讲解,效果会更好!

    有9位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
来自火星球的我

文中提到的ARP Proxy功能听起来很强大,希望能详细介绍一下它的工作原理和优缺点,这样我才能更好地理解它的应用场景!

    有7位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
海盟山誓总是赊

交换机防攻击的知识点比较多,这篇文章只是触及了其中的一部分我觉得可以延伸更多内容,比如其他的安全策略等等!

    有18位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
涐们的幸福像流星丶

ARP攻击确实是个威胁,但文中提到的方法能否抵御所有类型的攻击呢?还是需要结合其他安全措施才能更加全面地保障网络安全!

    有12位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
余笙南吟

我关注的是数据中心级的网络环境,文章里提到的方法对于大型网络是否适用呢? 或许可以针对大型网络的安全策略进行深入探讨!

    有17位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
迷路的男人

这篇博文对新手入门来说挺友好,但是对于有一定经验的读者来说可能会觉得不够深度。能够有一些更高级的技术细节,比如可扩展性、性能优化等方面的内容会更好!

    有14位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
绳情

我一直认为网络安全是一个持续学习的过程,这篇文章就很有必要,让我更新一下自己的ARP防御知识。作者分享的经验很宝贵,值得深入研究!

    有12位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
命运不堪浮华

ARP攻击对中小企业的影响不小,希望将来能看到更多針對不同规模企业的防ARP机制解决方案!

    有18位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
烟花巷陌

作者的总结和方法很有用,我打算在实践中尝试一下这套方案。 希望以后博主能继续分享其他网络安全方面的经验!

    有13位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
肆忌

对于老网工来说,这篇博客更像一种回顾和整理知识的方式,没有带来太大新知。期待博主能够分享更多前沿的网络安全技术!

    有13位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
罪歌

我认为文章的结构还可以改进一下,比如先介绍ARP攻击的常见场景,然后讲解对应的防禦机制,这样更容易让读者理解!

    有7位网友表示赞同!

十多年资深网络工作者的经验之谈:如何在交换机上建立防ARP机制
残留の笑颜

虽然文章提供了很多实用的建议,但一些具体的配置细节还是需要自己参考相关的官方文档进行学习。希望博主可以提供更多的详细指南!

    有20位网友表示赞同!

原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/187358.html

(0)
小su's avatar小su
上一篇 2024年9月23日 下午5:27
下一篇 2024年9月23日 下午5:29

相关推荐

  • 你真的不在乎B站的卡顿问题吗?

    大概是一周前快到两周吧,B站的某些接口调整了,同时也发现,看视频的时候会卡顿。表现状况是点开某个视频,在前5秒没有问题,看起来还很贴心的做了首帧加载优化呢,结果

    2024年9月18日
    0
  • 核桃编程什么是代码块

    代码块是程序设计中的基础结构,是由一系列按特定顺序执行的语句组成。通常用于数据处理、执行循环、建立分支条件等。代码块的独特之处在于它们允许您以模块化方式组织代码。这不仅提高了程序的…

    网站运维 2024年5月12日
    0
  • Excel订单管理技巧,流程追踪,自动统计,多方位查询

    我们来看范例图片,首页点击单元格跳转超链接工作表。先输入商品信息,方便后面引用。再输入客户信息,一样的道理。订单查询通过下拉菜单(手动输入也可以),自动生成订单

    2024年9月22日
    0
  • vite编程

    vite编程 CDN面纱: CDN是Content Delivery Network的缩写,即内容分发网络。它是一种基于互联网的分布式服务,旨在加快网站内容的加载速度,提升用户访问网站

    网站运维 2024年6月22日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注