亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: Cisco環(huán)境下解決ARP欺騙問(wèn)題 [打印本頁(yè)]

作者: imliuli 時(shí)間: 2008-11-23 18:04
標(biāo)題: Cisco環(huán)境下解決ARP欺騙問(wèn)題
因?yàn)榻?jīng)常看到網(wǎng)上有看到求助ARP病毒防范辦法，其實(shí)ARP欺騙原理簡(jiǎn)單，利用的是ARP協(xié)議的一個(gè)“缺陷”，免費(fèi)ARP來(lái)達(dá)到欺騙主機(jī)上面的網(wǎng)關(guān)的ARP表項(xiàng)。\r\n\r\n　　其實(shí)免費(fèi)ARP當(dāng)時(shí)設(shè)計(jì)出來(lái)是為了2個(gè)作用的：\r\n　　1，IP地址沖突檢測(cè)\r\n　　2，ARP條目自動(dòng)更新，更新網(wǎng)關(guān)。\r\n\r\n　　ARP欺騙就是利用這里面的第二條，攻擊的主機(jī)發(fā)送一個(gè)ARP更新，條目的ip地址是網(wǎng)關(guān)，但是MAC地址一項(xiàng)，卻不是網(wǎng)關(guān)，當(dāng)其他主機(jī)接受到，會(huì)根據(jù)ARP協(xié)議的規(guī)則，越新的越可靠的原則，達(dá)到欺騙的目的。\r\n\r\n　　雖然ARP不是tcp/ip協(xié)議簇中的一員，但是鑒于以太網(wǎng)的大行其道，所以放棄動(dòng)態(tài)ARP協(xié)議，使用手動(dòng)方式的來(lái)來(lái)做ARP映射，好像不大現(xiàn)實(shí)（個(gè)別情況除外）。\r\n\r\n 一、深入ARP協(xié)議特征\r\n\r\n　　我在這里介紹Cisco網(wǎng)絡(luò)環(huán)境下解決這個(gè)問(wèn)題的思路：\r\n　　其實(shí)這里面使用到了2個(gè)技術(shù)：DHCP snooping和ARP inspection\r\n\r\n　　1、DHCP snooping\r\n　　DHCP Snooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)DHCP Snooping綁定表過(guò)濾不可信任的DHCP信息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息。\r\n\r\n　　當(dāng)交換機(jī)開啟了DHCP-Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。這樣，可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用，確�？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。\r\n\r\n　　作用：\r\n　　1.DHCP-snooping的主要作用就是隔絕非法的DHCP server，通過(guò)配置非信任端口。\r\n　　2.建立和維護(hù)一張DHCP-snooping的綁定表,這張表一是通過(guò)DHCP ack包中的ip和MAC地址生成的，二是可以手工指定。這張表是后續(xù)DAI（dynamic ARP inspect）和IP Source Guard 基礎(chǔ)。這兩種類似的技術(shù)，是通過(guò)這張表來(lái)判定ip或者M(jìn)AC地址是否合法，來(lái)限制用戶連接到網(wǎng)絡(luò)的。\r\n\r\n　　配置:\r\n　　switch（config）#ip DHCP snooping\r\n　　switch（config）#ip DHCP snooping vlan 10\r\n　　switch（config-if）#ip DHCP snooping limit rate 10\r\n　　/*DHCP包的轉(zhuǎn)發(fā)速率，超過(guò)就接口就shutdown，默認(rèn)不限制\r\n　　switch（config-if）#ip DHCP snooping trust\r\n　　/*這樣這個(gè)端口就變成了信任端口，信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，不記錄ip和MAC地址的綁定，默認(rèn)是非信任端口\r\n　　switch#ip DHCP snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10\r\n　　/*這樣可以靜態(tài)ip和MAC一個(gè)綁定\r\n　　switch（config）#ip DHCP snooping database tftp:// 10.1.1.1/DHCP_table\r\n　　/*因?yàn)榈綦姾�，這張綁定表就消失了，所以要選擇一個(gè)保存的地方，ftp，tftp，flash皆可。本例中的DHCP_table是文件名，而不是文件夾，同時(shí)文件名要手工創(chuàng)建一個(gè)\r\n　　2. ARP inspection\r\n　　1.介紹\r\n　　DAI是以DHCP-snooping的綁定表為基礎(chǔ)來(lái)檢查MAC地址和ip地址的合法性。\r\n　　2.配置\r\n　　switch（config）#ip DHCP snooping vlan 7\r\n　　switch（config）#ip DHCP snooping information option\r\n　　/*默認(rèn)\r\n　　switch（config）#ip DHCP snooping\r\n　　switch（config）#ip ARP inspection vlan 7\r\n　　/* 定義對(duì)哪些 VLAN 進(jìn)行 ARP 報(bào)文檢測(cè)\r\n　　switch（config）#ip ARP inspection validate src-MAC dst-MAC ip\r\n　　/*對(duì)源，目MAC和ip地址進(jìn)行檢查\r\n　　switch（config-if）#ip DHCP snooping limit rate 10\r\n　　switch（config-if）#ip ARP inspection limit rate 15\r\n　　/* 定義接口每秒 ARP 報(bào)文數(shù)量\r\n　　switch（config-if）#ip ARP inspection trust\r\n　　/*信任的接口不檢查ARP報(bào)文，默認(rèn)是檢測(cè)\r\n\r\n二.注意點(diǎn):交換機(jī)會(huì)錯(cuò)認(rèn)受DoS攻擊\r\n\r\n　　對(duì)于前面DHCP-snooping的綁定表中關(guān)于端口部分，是不做檢測(cè)的；同時(shí)對(duì)于已存在于綁定表中的MAC和ip對(duì)于關(guān)系的主機(jī)，不管是DHCP獲得，還是靜態(tài)指定，只要符合這個(gè)表就可以了。如果表中沒(méi)有就阻塞相應(yīng)流量。\r\n\r\n　　在開始應(yīng)用Dynamic ARP Inspection時(shí)，交換機(jī)會(huì)記錄大量的數(shù)據(jù)包，當(dāng)端口通過(guò)的數(shù)據(jù)包過(guò)多時(shí)，交換機(jī)會(huì)認(rèn)為遭受DoS攻擊，從而將端口自動(dòng)errdisable，造成通信中斷。為了解決這個(gè)問(wèn)題，我們需要加入命令errdisable recovery cause ARP-inspection\r\n\r\n　　在Cisco網(wǎng)絡(luò)環(huán)境下，boot request在經(jīng)過(guò)了啟用DHCP SNOOPING特性的設(shè)備上時(shí)，會(huì)在DHCP數(shù)據(jù)包中插入option 82的選項(xiàng)（具體見RFC3046）\r\n　　這個(gè)時(shí)候，boot request中數(shù)據(jù)包中的gateway ip address:為全0，所以一旦DHCP relay 設(shè)備檢測(cè)到這樣的數(shù)據(jù)包，就會(huì)丟棄。\r\n\r\n　　如果DHCP服務(wù)器使用了中繼服務(wù)，那需要在網(wǎng)關(guān)交換機(jī)上鍵入如下命令:\r\n　　方法一：\r\n　　inter vlan7\r\n　　ip DHCP relay information trusted\r\n　　方法二：\r\n　　switch（config）# ip DHCP relay information trust-all\r\n\r\n三.總結(jié)：防止非法的ARP請(qǐng)求\r\n\r\n　　雖然DHCP snooping是用來(lái)防止非法的DHCP server接入的，但是它一個(gè)重要作用是一旦客戶端獲得一個(gè)合法的DHCP offer。啟用DHCP snooping設(shè)備會(huì)在相應(yīng)的接口下面記錄所獲得IP地址和客戶端的MAC地址。這個(gè)是后面另外一個(gè)技術(shù)ARP inspection檢測(cè)的一個(gè)依據(jù)。ARP inspection是用來(lái)檢測(cè)ARP請(qǐng)求的，防止非法的ARP請(qǐng)求。\r\n\r\n　　認(rèn)為是否合法的標(biāo)準(zhǔn)的是前面DHCP snooping時(shí)建立的那張表。因?yàn)槟欠N表是DHCP server正�；貞�(yīng)時(shí)建立起來(lái)的，里面包括是正確的ARP信息。如果這個(gè)時(shí)候有ARP攻擊信息，利用ARP inspection技術(shù)就可以攔截到這個(gè)非法的ARP數(shù)據(jù)包。\r\n\r\n　　其實(shí)利用這個(gè)方法，還可以防止用戶任意修改IP地址，造成地址沖突的問(wèn)題。

作者: shengbaojun 時(shí)間: 2010-07-13 15:34
感謝樓主分享,學(xué)習(xí)了！

歡迎光臨 Chinaunix (http://72891.cn/)