返回
DCN交换机ARP GUARD功能技术白皮书

DCN交换机ARP GUARD功能技术白皮书

ID:37709751

大小:436.00 KB

页数:7页

时间:2019-05-29

DCN交换机ARP GUARD功能技术白皮书_第1页
DCN交换机ARP GUARD功能技术白皮书_第2页
DCN交换机ARP GUARD功能技术白皮书_第3页
DCN交换机ARP GUARD功能技术白皮书_第4页
DCN交换机ARP GUARD功能技术白皮书_第5页
资源描述:

《DCN交换机ARP GUARD功能技术白皮书》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、DCN交换机ARPGUARD功能技术白皮书文件编号文件类别技术白皮书编写孙团会日期2007/06/07审核日期批准日期神州数码网络有限公司神州数码网络有限公司修改记录版本日期修改纪要修改人审核人发现问题VX.XYYYY-MM-DD创建XXXXXX[说明:技术白皮书由研发人员编写初稿(要归档到研发中心CC服务器相关项目或部门中),提交给产品经理,产品经理进行修订润色,形成可提供给外部客户的最终稿(归档到产品部知识库)。[]内蓝色字体部分为文档内容编写提要,请产品经理注意技术白皮书最终定稿后请删除[]内容。]神州数码网

2、络有限公司目录1.概述12.缩写和术语13.技术介绍14.主要特性35.技术特色与优势36.典型应用指南37.参考资料4神州数码网络有限公司1.概述ARP协议用于IPV4网络中解析网络设备MAC地址,其基本原理是PC1已知PC2的IP地址,PC1向PC2发送IP报文之前必需首先获取PC2的MAC地址。为此,PC1发送ARPREQUEST报文向PC2请求MAC地址;PC2接收到ARPREQUEST报文之后,发送ARPREPLY报文,通告自己的MAC地址;PC1接收到PC2的ARPREPLY报文,就创建ARP表项,然后

3、就可以根据ARP表项向PC2发送IP数据。同时为了提交效率,RFC规定在PC2没有接收到ARPREQUEST的时候也可以主动发送ARPREPLY报文通告自己的MAC地址;其它网络设备接收到ARPREPLY报文之后就直接创建ARP表项,并据此向PC2发送IP数据。ARP协议的设计存在严重的安全漏洞,任何网络设备都可以发送ARP报文通告IP地址和MAC地址的映射关系。这就为ARP欺骗提供了可乘之机,攻击者发送ARPREQUEST报文或者ARPREPLY报文通告错误的IP地址和MAC地址映射关系,导致网络通讯故障。ARP

4、欺骗的危害主要表现为两种形式:1、PC4发送ARP报文通告PC2的IP地址映射为自己的MAC地址,将导致本应该发送给PC2的IP报文全部发送到了PC4,这样PC4就可以监听、截获PC2的报文;2、PC4发送ARP报文通告PC2的IP地址映射为非法的MAC地址,将导致PC2无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP欺骗,将导致整个网络瘫痪。图1-12.缩写和术语ARP:AddressResolutionProtocol,IPV4使用的地址解析协议。ARPGUARD:防止ARP欺骗的技术。3.

5、技术介绍ARP报文格式如下:DCN交换机ARPGUARD功能技术白皮书第4页/共7页神州数码网络有限公司正常情况下,ARP报文中的源IP地址(senderIPaddress),源MAC地址(senderhardwareaddress)就是发送ARP报文的网络设备的正确地址。接收到ARP报文的网络设备,根据ARP报文中的源IP地址和源MAC地址创建ARP表项,并据此和发送ARP报文的网络设备通讯。发生ARP欺骗攻击时,网络设备发送的ARP报文中源IP地址是被攻击的地址,源MAC地址是非法地址。这样其它网络设备就会创建

6、错误的ARP表项,被攻击设备就无法接收到发送给自己的报文。例如发动攻击的网络设备发送的ARP报文中源IP地址填写网关IP地址,而源MAC地址添加自己的MAC地址,这样网络内其它设备创建错误的网关ARP表项,并把应该发送给网关的报文发送给了攻击者。图1-2图1-3我们利用ARP欺骗的报文特点,通过检测ARP报文中源IP地址的合法性,防止ARP欺骗攻击。例如我们已知IP地址为IP1网关接入端口为A,则检查从交换机其它端口输入的ARP报文,如果ARP报文源IP地址为IP1就认为遭到ARP欺骗攻击,直接丢弃攻击报文;否则就

7、认为ARP报文合法,应该被正常转发。ARPGUARD功能防止ARP欺骗的命令行:命令解释端口配置模式arp-guardip:被保护的IP地址。此后从这个端口上接收到源IP地址为的ARP报文就认为报文非法,将被直接丢弃。DCN交换机ARPGUARD功能技术白皮书第4页/共7页神州数码网络有限公司1.主要特性该功能主要的特性为:每个端口最多可以配置16个被保护的IP地址,主要用来保护网关和重要服务器的ARP不被ARP欺骗攻击。目前支持的产品:DCS-3926S(V1V2)、DCS-3

8、926S(V3)、DCS-3950S、DCS-3950-X;正在开发DCRS-7600系列、DCRS-6800系列、DCRS-5900系列、DCRS-5500系列。2.技术特色与优势3.典型应用指南图1-4ARPGUARD一般应用在接入交换机,交换机本身不是接入用户的网关。如图1-2,交换机端口E连接网关Gateway,其它端口A、B、C、D接入用户PC1-

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。