一、介绍
ARP(地址解析协议)泛洪攻击是一种网络手法,利用 ARP 协议的工作方式来实施。ARP 协议用于将 IP 地址映射到 MAC 地址,以便在局域网中发送数据包。ARP 泛洪的基本原理是向网络中广播大量伪造的 ARP 请求,欺骗目标主机将其 ARP 缓存表中的 IP 地址映射到者控制的 MAC 地址上,导致数据包被发送到错误的目标,从而实现网络中断或拒绝服务(DoS)的攻击目的。
攻击者通过 ARP 泛洪攻击可以实现以下目的:
- 中断网络通信:通过欺骗网络中的设备,使其无法正确识别其他设备的 MAC 地址,导致网络通信中断。
- 中间人:攻击者可以利用 ARP 泛洪将自己的 MAC 地址欺骗成网关或其他关键设备的 MAC 地址,从而截取、篡改或窃取数据包,实施中间人攻击。
- 网络信息收集:通过监视网络中的 ARP 请求和响应,者可以收集有关网络拓扑和设备信息的情报,为进一步攻击或做准备。
为了防御 ARP 泛洪,可以采取以下措施:
- ARP 防护机制:使用 ARP 防护技术,如静态 ARP 表、动态 ARP 检测等,限制 ARP 请求和响应的数量,防止网络被洪水。
- 网络流量过滤:在网络边界部署防火墙、入侵检测系统(IDS)等设备,对异常的 ARP 请求进行过滤和监测。
- 安全策略:采用网络安全策略,限制网络设备之间的通信权限,阻止不必要的 ARP 请求和响应。
- 更新设备软件:及时更新网络设备的软件和固件,修补已知的 ARP 协议漏洞,提高系统的安全性和稳定性。
综上所述,ARP 泛洪是一种常见的网络手法,对网络安全构成威胁。通过采取有效的防御措施和安全策略,可以有效地减少 ARP 泛洪攻击的风险。
二、搭建实验环境
使用 eNSP 搭建以下环境
1. 先增加一个 UDP
2. 在绑定信息中选择 VMnet8,点击增加
3. 在下面表格中选择刚添加的 VMnet,端口映射设置中将出端口编号改为 2,勾选双向通道
配置路由器接口 IP 地址
两台路由器互相 Ping 通
三、
现在模拟者发起(需将网络改为 VMnet8)
再来查看 MAC 地址表发现大量无效 MAC 地址
四、防御措施一:配置静态 MAC 地址
先开启端口安全功能
先开启端口安全功能
[S1-GigabitEthernet0/0/3]port-security enable
mac-address:配置允许通过端口的静态 MAC 地址。
案例:配置允许通过端口的静态 MAC 地址为 0011-2233-4455:
[S1-GigabitEthernet0/0/3]port-security mac-address 0011-2233-4455
五、防御措施二:配置允许学习最大 MAC 地址数
先开启端口安全功能
[S1-GigabitEthernet0/0/3]port-security enable
max-mac-num:配置端口允许学习的 MAC 地址的最大数量。
案例:配置端口允许学习的 MAC 地址的最大数量为 10 个:
[S1-GigabitEthernet0/0/3]port-security max-mac-num 10
可以发现 MAC 地址表中学习到的地址固定到了 10 个,同时咱们还能配置超出端口允许学习的 MAC 地址数量时的动作
protect-action:配置当超出端口允许学习的 MAC 地址数量时采取的动作。动作可以是报警、关闭端口或者丢弃数据包。
protect:超出端口允许学习的 MAC 地址数量时,直接丢弃数据包,不产生任何警告。
案例:配置超出端口允许学习的 MAC 地址数量时直接丢弃数据包:
[S1-GigabitEthernet0/0/3]port-security protect-action protect
restrict:超出端口允许学习的 MAC 地址数量时,丢弃数据包并产生警告信息。
案例:配置超出端口允许学习的 MAC 地址数量时丢弃数据包并产生警告信息:
[S1-GigabitEthernet0/0/3]port-security protect-action restrict
shutdown:超出端口允许学习的 MAC 地址数量时,关闭该端口,禁止数据流通过。
案例:配置超出端口允许学习的 MAC 地址数量时关闭该端口:
[S1-GigabitEthernet0/0/3]port-security protect-action shutdown
