1 简单说ARP表就是mac和IP的对应关系
arp原理:某机器A要向主机B发送报文,
-
会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,进行数据传输
-
如果未找到,则广播一个ARP请求报文
-
网上所有主机包括B都收到ARP请求,理想情况是只有主机B向主机A发回一个ARP响应报文,其中包含有B的MAC地址
风险:不幸的是,网内所有的主机均可向A发回一个ARP响应报文,并且可以随意修改ARP响应报文中的IP和MAC
发现arp攻击后的处理
命令:arp -a 查看 arp -d 删除 arp -s 1.1.1.1 MAC静态绑定
1.arp -a 如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。
2.arp -d 后临时可以上网,过会有上不了网,可能是ARP攻击。
3.tracert–d www.163.com 马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。
4.静态可以查编号,动态的话认为造成IP地址冲突,使病毒机报警。
5.找到主机后杀毒,重装。
防范
dhcp-snooping的主要作用就是隔绝非法的dhcp server
DAI
IP SOURCE Guard:相当于给接口配置了一个ACL
DAI,IP SOURCE Guard都需要DHCP-SNOOPING这张表
1.当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。(也就是说DHCP的Snooping技术,能够保证可以信任的端口,可以正常的发送和接受DHCP的那几个报文。而不可信任的端口,他只能发送请求报文,其他的都不可以。)
2.建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的ip和mac地址生成的,二是可以手工指定。这张表是后续DAI(dynamic arp inspect)和IP Source Guard 基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的.
3.DHCP snooping或者手工配置的绑定里面有哪些东西:表中的每一项都有一个IP地址,并和一个MAC地址和一个VLAN号相关联。而IP Source Guard就是基于这个表来工作的。如果没有这个表,那么也不会有IP Source Guard。同时IP source guard仅支持2层端口,包括acess和trunk口.可以配置IP source guard和源IP地址过滤或者IP/MAC地址过滤共同工作.(详细解释:Catalyst IP源地址保护(IP Source Guard)功能打开后,可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了。这个功能将只允许对拥有合法源地址的数据包进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCP Snooping绑定表。IP Source Guard不但可以配置成对IP地址的过滤,也可以配置成对MAC地址的过滤。这样,就只有IP地址和MAC地址都与DHCP Snooping绑定表匹配的通信包才能够被允许传输。)
本文转自 369蓝宝 51CTO博客,原文链接:http://blog.51cto.com/3739387/1702939,如需转载请自行联系原作者
