基于智能交换机防御arp攻击

《基于智能交换机防御arp攻击》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、基于智能交换机防御ARP攻击由于ARP协议本身的漏洞，ARP攻击特别频繁。目前解决ARP攻击的思路多集中在客户端安装ARP防火墙或在X络中部署安全设备。通过分析ARP攻击的基本原理和交换机功能特性，本文列举了七种基于智能交换机防御ARP攻击的方案。X络管理员结合X络环境合理选用方案，能提高X络管理的便捷性和X络的安全性。关键词：ARP；智能交换机；防御1．ARP攻击基本原理　　?IP数据包常通过以太X发送是以48位以太X地址传输以太X数据包的。因此，IP驱动器必须把IP目的地址转换成以太XX目的地址。ARP表中存在IP地址到MAC地址的映射。地址解析协议

2、ARP就是用来确定这些映射的协议。在这个过程中ARP协议缺少相应的认证和鉴别机制，所以通过伪造或篡改IP地址和MAC地址映射实现ARP欺骗，能够在X络中产生大量的ARP通信量使X络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成X络中断或中间人攻击。ARP攻击原理虽然简单，易于分析，但是X络攻击往往是越简单越易于散布，造成的危害越大。2．智能交换机防御ARP的多种方案　　在客户端、交换机、X关均可以防御ARP攻击，考虑交换机更为常见和易于管理，本文重点介绍基于交换机的各种ARP防御方案。　　2.1保护X

3、关IP　　　利用交换机的过滤机制检测进入端口的所有ARP报文，如果ARP报文的源IP地址是受到保护的IP地址，就直接丢弃报文。如交换机所连接的X段的X关为192.168.1.1，在端口Ether0/10启动配置ARPGuard。该方案配置非常简单，仅适用于ARP仿冒X关攻击。　　Senable　　Sport　　Smac-ip-pool00-01-10-2E-33-18192.168.1.2　　2.3DHCPSnooping　　在动态地址X络环境中，交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从

4、而在根本上阻断非法ARP报文的传播。该方案是被动侦听，自动绑定，信息点数量不限，适用于动态IP地址分配环境。　　　　当主机A向DHCPServer发请求，交换机记录下主机A对应的端口和MAC地址。　　当DHCPServer返回分配给用户的IP地址，交换机上记录下DHCP返回的IP地址。　　交换机依据记录下来的信息，在相应的交换机端口上绑定合法的IP、MAC信息。　　Se90　//设置自动恢复的时间90秒　　该方案特点是全局使能，无须在端口模式下配置，配置简单。　　2.6端口隔离　　端口隔离是一个基于端口的功能，作用于端口和端口之间，隔离相互之间的流量，利

5、用端口隔离的特性，可以实现vlan内部的端口隔离。如ARPproxy图所示，在交换机上配置端口隔离后，交换机的e0/2和e0/3不通，但e0/2和e0/3都可以和上联口e0/1通,其中vlan100为主vlan，vlan200为隔离vlan，配置如下。该方案需与代理功能配合使用，因为该方案会导致正常的ARP请求报文无法应答，X络不能正常通信。　　Smle.CA学习指南［M］.北京：电子工业出版社，2008.50-65[3]张海燕.局域X中的ARP欺骗及安全防范［J］.X络安全技术与应用，2011(10)：30-32[4]王帆.浅谈校园XARP攻击原理与防

6、范［J］.信息与电脑，2011.(6)：10-12