使用 eNSP 模拟交换机防御 ARP 泛洪

简介: 使用 eNSP 模拟交换机防御 ARP 泛洪攻击

一、介绍

ARP(地址解析协议)泛洪攻击是一种网络手法,利用 ARP 协议的工作方式来实施。ARP 协议用于将 IP 地址映射到 MAC 地址,以便在局域网中发送数据包。ARP 泛洪的基本原理是向网络中广播大量伪造的 ARP 请求,欺骗目标主机将其 ARP 缓存表中的 IP 地址映射到者控制的 MAC 地址上,导致数据包被发送到错误的目标,从而实现网络中断或拒绝服务(DoS)的攻击目的。


攻击者通过 ARP 泛洪攻击可以实现以下目的:

  1. 中断网络通信:通过欺骗网络中的设备,使其无法正确识别其他设备的 MAC 地址,导致网络通信中断。
  2. 中间人:攻击者可以利用 ARP 泛洪将自己的 MAC 地址欺骗成网关或其他关键设备的 MAC 地址,从而截取、篡改或窃取数据包,实施中间人攻击。
  3. 网络信息收集:通过监视网络中的 ARP 请求和响应,者可以收集有关网络拓扑和设备信息的情报,为进一步攻击或做准备。

为了防御 ARP 泛洪,可以采取以下措施:

  1. ARP 防护机制:使用 ARP 防护技术,如静态 ARP 表、动态 ARP 检测等,限制 ARP 请求和响应的数量,防止网络被洪水。
  2. 网络流量过滤:在网络边界部署防火墙、入侵检测系统(IDS)等设备,对异常的 ARP 请求进行过滤和监测。
  3. 安全策略:采用网络安全策略,限制网络设备之间的通信权限,阻止不必要的 ARP 请求和响应。
  4. 更新设备软件:及时更新网络设备的软件和固件,修补已知的 ARP 协议漏洞,提高系统的安全性和稳定性。

综上所述,ARP 泛洪是一种常见的网络手法,对网络安全构成威胁。通过采取有效的防御措施和安全策略,可以有效地减少 ARP 泛洪攻击的风险。

二、搭建实验环境

使用 eNSP 搭建以下环境

1. 先增加一个 UDP

2. 在绑定信息中选择 VMnet8,点击增加

3. 在下面表格中选择刚添加的 VMnet,端口映射设置中将出端口编号改为 2,勾选双向通道

配置路由器接口 IP 地址

两台路由器互相 Ping 通

三、

现在模拟者发起(需将网络改为 VMnet8)

再来查看 MAC 地址表发现大量无效 MAC 地址

四、防御措施一:配置静态 MAC 地址

先开启端口安全功能

先开启端口安全功能

[S1-GigabitEthernet0/0/3]port-security enable

mac-address:配置允许通过端口的静态 MAC 地址。

案例:配置允许通过端口的静态 MAC 地址为 0011-2233-4455:

[S1-GigabitEthernet0/0/3]port-security mac-address 0011-2233-4455

五、防御措施二:配置允许学习最大 MAC 地址数

先开启端口安全功能

[S1-GigabitEthernet0/0/3]port-security enable

max-mac-num:配置端口允许学习的 MAC 地址的最大数量。

案例:配置端口允许学习的 MAC 地址的最大数量为 10 个:

[S1-GigabitEthernet0/0/3]port-security max-mac-num 10

可以发现 MAC 地址表中学习到的地址固定到了 10 个,同时咱们还能配置超出端口允许学习的 MAC 地址数量时的动作

protect-action:配置当超出端口允许学习的 MAC 地址数量时采取的动作。动作可以是报警、关闭端口或者丢弃数据包。

protect:超出端口允许学习的 MAC 地址数量时,直接丢弃数据包,不产生任何警告。

案例:配置超出端口允许学习的 MAC 地址数量时直接丢弃数据包:

[S1-GigabitEthernet0/0/3]port-security protect-action protect

restrict:超出端口允许学习的 MAC 地址数量时,丢弃数据包并产生警告信息。

案例:配置超出端口允许学习的 MAC 地址数量时丢弃数据包并产生警告信息:

[S1-GigabitEthernet0/0/3]port-security protect-action restrict

shutdown:超出端口允许学习的 MAC 地址数量时,关闭该端口,禁止数据流通过。

案例:配置超出端口允许学习的 MAC 地址数量时关闭该端口:

[S1-GigabitEthernet0/0/3]port-security protect-action shutdown


相关文章
|
6月前
|
监控 数据安全/隐私保护 网络虚拟化
ensp命令练习及交换机 和个路由器的基本命令
ensp命令练习及交换机 和个路由器的基本命令
362 0
|
3月前
|
网络协议
卧槽!放个假,交换机受到ARP攻击了,怎么破?
卧槽!放个假,交换机受到ARP攻击了,怎么破?
|
3月前
|
网络协议
交换机ARP学习异常,看网工大佬是如何处理的?
交换机ARP学习异常,看网工大佬是如何处理的?
|
3月前
|
Shell 网络安全 Python
网络工程师如何在ensp模拟器上玩python自动化配置交换机。
网络工程师如何在ensp模拟器上玩python自动化配置交换机。
205 0
|
缓存 监控 网络协议
防御ARP攻击和ARP欺骗并查找攻击主机
防御ARP攻击和ARP欺骗并查找攻击主机
477 0
|
存储 缓存 网络协议
交换机、IP地址、ARP协议
划分洪泛范围—隔离广播域(收到所有洪泛信息的设备集合) 每一个接口都是一个广播域 转发数据 路由表
120 0
|
监控 数据安全/隐私保护 网络虚拟化
ensp命令练习及交换机 和个路由器的基本命令(上)
ensp命令练习及交换机 和个路由器的基本命令
|
监控 网络虚拟化 数据安全/隐私保护
ensp命令练习及交换机 和个路由器的基本命令(下)
ensp命令练习及交换机 和个路由器的基本命令
ensp 三层交换机、链路聚合和指定端口选举
ensp 三层交换机、链路聚合和指定端口选举
262 0
ensp 三层交换机、链路聚合和指定端口选举
|
网络虚拟化 网络架构
ensp 实现三层交换机和单臂路由之间的通信
ensp 实现三层交换机和单臂路由之间的通信
246 0
ensp 实现三层交换机和单臂路由之间的通信