防arp攻击:如何配置交换机防止ARP攻击?

首先一点,ARP是只有二层MAC地址的广播包,如果有ARP攻击,也是连接在二层交换网络的主机所为,如果是企业网,也是内部员工干的,有时甚至是出问题的网卡触发的。这种ARP广播只要show interface summary 类似得命令,会看到每个接口 in/out unicast ,multicast ,broadcast 的统计,每10秒刷新一次,再 show一下就可以看到接口统计得变化,只要关心in方向的broadcast 增加最大得接口。那个接口就是肇事接口。如果是有线网络,如果交换机上有这个feature:arp inspection,可以很快发现这种行为,一般交换机接一个host,或host + IP电话,一个接口最多两个地址足够了,如果发现异常情况,可以直接触发error disable ,关掉接口。如果交换机下接Hub,可能会有多个主机,多个MAC,这种很难跟踪,因为HUB就是一个集线器,无从知道哪个端口发出来的。这个问题又牵扯到企业网的安全认证了,无论有线防arp攻击、无线,都需要认证,先802.1x认证,对应企业员工;MAC认证:打印机、不支持802.1x 的设备;web认证:临时访客,分配单独VLAN,分配最低权限,即只能访问Internet的权限。所有交换机、AP都启用这个安全认证,这样一旦发生攻击 可以很快定位某台交换机某个端口,可以找到惹事的个人,有证据在,不怕抵赖。

防arp攻击:如何配置交换机防止ARP攻击?

如何让电脑不受ARP攻?

ARP攻击防arp攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,它会发出大量的数据包造成路由器处理能力下降,就会导致目标电脑或者服务器网速慢,知道掉线,无法上网或者访问等,而arp病毒停止后又会恢复网络。

防arp攻击:如何配置交换机防止ARP攻击?

解决办法防arp攻击:首先确定是不是自己中毒了,用360安全卫士等安全软件对自己的电脑进行杀毒,如果不是就需要对电脑采取一些防范措施。

1、给自己或者服务器安装ARP防火墙

安装专业的彩影arp防火墙或者百度卫士、金山或者360卫士等安全软件自带的arp防火墙。

2、给电脑和网关绑定ip和mac地址

以360举例:点击木马防火墙---开启arp防火墙,然后再局域网防护界面点击手动绑定防火墙,这样可以很大程度上防止APR攻击

点开启以后会出现问:是不是局域网用户,点是。

如果当时arp病毒没有发作那看到的都是好的

如果已经在发作就会有提示,,论文在保护上有2中选择,自动和手动,一般都是自动,如果自动补行就要问管理员要服务器的正确的MAC码,手动绑定了。

这样设置完成用户电脑就不会受到arp病毒的骚扰了。但是根本的问题并没有解除,还是要慢慢的把中毒的电脑找出来,不然还是会影响整体网速的

CISCODAI该如何防ARP攻击?

  配置局域网的安全特性,防止地址乱配,ARP攻击等弊病!

1、启用DHCP SNOOPING

全局命令:

ip dhcp snooping vlan 10,20,30

no ip dhcp snooping information option

ip dhcp snooping database flash:dhcpsnooping。
  text //将snooping表保存到单独文档中,防止掉电后消失。

ip dhcp snooping

接口命令:

ip dhcp snooping trust //将连接DHCP服务器的端口设置为Trust,其余unTrust(默认)

2、启用DAI

防止ARP欺骗和中间人攻击!通过手工配置或者DHCP监听snooping,交换机将能够确定正确的端口。
  如果ARP应答和snooping不匹配,那么它将被丢弃,并且记录违规行为。违规端口将进入err-disabled状态,攻击者也就不能继续对网络进行进一步的破坏了!

全局命令

ip arp inspection vlan 30

接口命令(交换机之间链路配置DAI信任端口,用户端口则在默认的非信任端口):

ip arp inspection trust

ip arp inspection limit rate 100

3、启用IPSG

前提是启用IP DHCP SNOOPING,能够获得有效的源端口信息。
  cisco认证网,加入收藏IPSG是一种类似于uRPF(单播反向路径检测)的二层接口特性,uRPF可以检测第三层或路由接口。

接口命令:

switchport mode acc

switchport port-security

ip verify source vlan dhcp-snooping port-security

4、关于几个静态IP的解决办法

可通过ip dhcp snooping binding 1。
  1。1 vlan 1 1。1。1。1 interface gi0/8

通过arp access-list添加静态主机:

arp access-list static-arp

permit ip host 192。168。1。1 mac host 0000。
  0000。0003

ip arp inspection filter static-arp vlan 30

DHCP 中绑定固定IP:

ip dhcp pool test

host 192。168。1。18 255。255。255。0 (分给用户的IP)

client-identifier 0101。
  0bf5。395e。55(用户端mac)

client-name test

开展及总结:

思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,但DHCP SNOOPING INFORMATION OPTION功能默认是开启的,此时DHCP报文在到达一个SNOOPING UNTRUSTED端口时将被丢弃。
  因此,必须在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默认关闭),以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文。
  建议在交换机上关闭DHCP INFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

1、对于允许手工配置IP地址等参数的客户端,可以手工添加绑定条目到DHCP SNOOPING BINDING数据库中。
  ip dhcp snooping binding 00d0。2bd0。d80a vlan 100 222。25。77。100 interface gig1/1 expiry 600表示手工添加一条MAC地址为00d0。2bd0。d80a,IP地址为222。
  25。77。100,接入端口为GIG1/1,租期时间为600秒的绑定条目。

2、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基础上,形成IP SOURCE BINDING表,只作用在二层端口上。启用IPSG的端口,会检查接收到所有IP包,只转发与此绑定表的条目相符合的IP包。
  默认IPSG只以源IP地址为条件过滤IP包,如果加上以源MAC地址为条件过滤的话,必须开启DHCP SNOOPING INFORMAITON OPTION 82功能。

3、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE为基础的,也区分为信任和非信任端口,DAI只检测非信任端口的ARP包,可以截取、记录和丢弃与SNOOPING BINDING中IP地址到MAC地址映射关系条目不符的ARP包。
  如果不使用DHCP SNOOPING,则需要手工配置ARP ACL。