ARP攻击与防御(动态ARP检测)

1、ARP攻击与防御（动态ARP检测）【实验名称】攻击与防御（动态检测）【实验目的】使用交换机的（动态检测）功能增强网络安全性【背景描述】某企业的网络管理员发现最近经常有员工抱怨无法访问互联网，经过故障排查后，发现客户端上缓存的网关的绑定条目是错误的，从此现象可以判断出网络中可能出现了欺骗攻击，导致客户端不能获取正确的条目，以至不能够访问外部网络。如果通过交换机的检查功能解决此问题，需要在每个接入端口上配置地址绑定，工作量过大，因此考虑采用功能解决欺骗攻击的问题。【需求分析】欺骗攻击是目前内部网络中出现最频繁的一种攻击。对于这种攻击，需要检查网络中报文的合法性。交换机的功能可以满足这个要求，防止欺

2、骗攻击。【实验设备】二层交换机台（支持监听与）三层交换机台（支持监听与）机台（其中台需安装服务器，另台安装欺骗攻击工具（测试用）【预备知识】交换机转发原理交换机基本配置监听原理原理欺骗原理【实验原理】交换机的功能可以检查端口收到的报文的合法性,报文，防止欺骗攻击。【实验步骤】第一步：配置服务器将一台配置为服务器，可以使用者使用第三方服务器软件。服务器中的地址池为并可以丢弃非法的配置服务器，或第三步：基本配置、监听配置及配置（分布层）！启用功能第二步：基本配置及监听配置（接入层）并可以丢弃非法的配置服务器，或第三步：基本配置、监听配置及配置（分布层）！启用功能！配置/端！配置/端1口为端口!配置

3、端口为端口!配置中继，指明服务器地址第四步：验证测试确保服务器可以正常工作。将客户端和（攻击机）配置为自动获取地址后，接入交换机端口，此时可以看到从服务器获得了地址。地址配置信息，获取地址为：Ethernetadapter本地连按匕ConnMtinn-KpscifirNSSiiFfivsifmtsiLNICPhystcdilAddress.；fi-1S-F2-&C-6-fl4DltcpEnabledVesAuhnnonifEnnhledi.P；YgsITAdilres|17216SuLticttlakb*255.255.255.9Defa,ultGQcvoijyi1172.l&.l.1DHCP

4、Server-甲INLcffObtained.:200711K|J1?：38：1BLoanaBcpiroa*：ISE地址配置信息，获取地址为iltlihmiiKlndniitF本-抽彈:ConnocciGftciwcAficSHEiltlihmiiKlndniitF本-抽彈:ConnocciGftciwcAficSHESufflxEMscritition,Kh5ic-flLA-ddiir-jE.Efidhlejd.c.P.P,Antocoinifi$!urnt1anEAblod.1PArldireasv.g,SulmPtH.kHBBbiDufaultB.DHGPServerbOhLA.,.Ly

5、&b.i-HWfBlflinFtireeCoritrftllevsaa-lfi-B3-93-22-Cfii-Y=Vne:i72.i&Pm,:i?255.2W,255+aL?2Uori172.16.1.1；Jjvtes=32time=lnsTTL=6Fteplyfroit17216.1.1：hiftts32tiiKlms：TT阴fI&nbytes-32tirtcln3TTL-t-JPeyilijFport173A6-1.1:bytrep=12time41nisTTL=G4Flnc(scatisticsfor丄72_16.1_L：Pctukels-SmiL-4,-4,Lut-Parp-aInter

6、face:172_1G.1InternetAddiwss.1172.16U.2Interface:172_1G.1InternetAddiwss.1172.16U.2IcdlAddieT/pe0015-f2-dc?6*43JJ71iI!：=|赳3苇|祜如nc|Lrlrct*5hrbjunrl.Drrvicr1?ItI2&*AJ1-st:3JJ71iI!：=|赳3苇|祜如nc|Lrlrct*5hrbjunrl.Drrvicr1?ItI2&*AJ1-st:RpTlart-c(1UMJD71UK0TL7;54rtejTb5.M衣Hf：tsCJJt全卄诉.吹AdMii；轴:jtd:RlSI-：-rar

7、nBFtFarEefretI4CjSJ_JBH空甌-盼賦imiiAS4317215-M在“”页面中，选择正确的网卡后，会显示网卡的地址、掩码、网关、地址以及网关的地址信息。第七步：在界面中选择“”页签，界面如下显示IHV|JVLfe3i411-曲/1缈lbJi4jj|eIHV|JVLfe3i411-曲/1缈lbJi4jj|e斶DMiTIWBJESSKFBaEil-itin占ftrIr勺口兀-Jc*.(nM的并曲Ryr*JKt=RCii-rciGrtir-gl-nc*Ld!,e,liw;-ffTcr木在“”页面中，去掉“（）”选项,如果选中，软件还将进行第八步：使用中间人攻击。配置完毕后，点击按

8、钮。进行扫描单击工具栏中的地址等信息。按钮，软件将会扫描网络中的主机，并获取其地址、tLkitillcJ-WiriArpSfiQQE-1口小lEilOplCir!itAtautLivUpOpcredccuTehtIPidJ切-:*却七注血阳XP孤1TTfk|17216J.2MyftiaiV1?1.13MomAbd17MC-.11Mbhi创Ll/L5jt7W：1925W9.5.3(Fteifi-eD(n/!.5/r7jn：i9?5Fx忆f晖蚀刖环soyi：ij初皿甘茁riresfreell/LS/t?W;193ftvrtmii；iiin.sjtiT8in：J933rs/ehrersof益*ml弟

9、(ll/L5回】:13!JBjCQfnpleted%rAnrlngl00:00:00第九步：进行欺骗单击工具栏中的按钮，软件将进行欺骗攻击。第十步：验证测试通过使用捕获攻击机发出的报文，可以看出攻击机发送了经过伪造的应W1STirai-.gj：22;-6：6Wlicr:i!_9：22!WhTF0i_?123:4皆化昨01肩W1STirai-.gj：22;-6：6Wlicr:i!_9：22!WhTF0i_?123:4皆化昨01肩殍；耳畠witr;：rrsetW-；!T|-t：lJ：?：f.叮J心.277帀讣rmMlStroU3iS2i*MlSXi!,CrtSji3a2trtwisArcnUJ;2

10、:q6答月itrcn,J:22;cEiwlstrm_S-S2J*：-5:4-1Aawtckdk;海：*3LR,tekr：_dc:!*5:J-It5LSt*kc_CC!：L:dJJfcL.jTU!_爲上巴Lr：,：邙MT咄?;lSaf2;di：6:a4曲怀曲憎:：uh翱冊L-J：JS!r2：i|.：hLa4oo：i3o：re!2i：4：a?3泊丄:忖则:j4鮒讯如ffh2=*5轴3QO;!：:f2:-dr泻(i4iO：dO：tB：21KElliTldCEW：J.瑁J业W仏夫LTJ-1&-J.忙ATiau-ia忙我ml氣九：k帖i7i*44壮杭丄Wi-b1.?-ntl?2.1.1!.l1；jliT

11、a.&aM和L7Plft.3.3Isatxnxift.a.i怕dii3ST|广Frn亡d($4faurii亍住.亦eh社aiptureSJErElhtrrtKI,srC34iunicuic：96moouji对皿工衬二欧审八iUjifjm-EEo*lyt1qtPrstQ1!(T燮卫丫Hirctai-e1石亡：Hirctai-e1石亡：Etherr-JEt1POCOCOltLt严加讷Ji?)HJfcFgQ沪豐?l?fl：寻prnc-QC：1Mu；JufijjAB“平】ytTMM；JdrlrSST：22!rli!l3rWS?ri：JTjrgeTif:ir-;.応座込).17?ifJ第十二步：配置在上

12、对于配置防止第十二步：配置在上对于配置防止中的主机进行欺骗。：Opirff172.16.1.11*72.1.1uXtli32huytecofda.ta-ReduesttiredoutHequ(ttiftsttiiwdnot.Pinqstatisticsfor172.16.1.1；Packets:Ecnt-4ReceivedH0Lat-4,Cr-aInterface：172.16.1.36x2IqiLntAdcipcQPhysicalRddvossXypc172,lb.ia0B-lS-f2dc-Vba4dsmani-C172.1&.1.2dynamic！在上启用！在!配置端口为监控信任端口第十二

13、步：验证测试启用了检查功能后，当交换机端口收到非法报文后，会将其丢弃。这时在机上查看缓存，发现表中的条目是正确的，并且可以通网关。注意，由于机之前缓存了错误的条目，所以需要等到错误条目超时或者使用-命令进行手动删除之后，才能解析出正确的网关地址。Ro箏fronKm举丄yfromRf?|iTyfmnRuplyfrdn172.1G.1.1:1.1:172.16.1.1Ro箏fronKm举丄yfromRf?|iTyfmnRuplyfrdn172.1G.1.1:1.1:172.16.1.1；bytoa_32bifles-32tino-3PGtinecafor1.72-1_Lf1:Packets:Sen

14、t=4jK&ceiued=4*Lest=ULos$*roundtinrtil：Mlnlnun=0nsrMaxlnum=3msfluerage=PinsC：eirpaInterfinternetAddress172xixi.lFliysicalAddressaG-lO-Ffi-21-41TypedynanicInterfinternetAddress172xixi.lFliysicalAddressaG-lO-Ffi-21-41Typedynanic【注意事项】监听只能够配置在物理端口上，不能配置在接口上。只能够配置在物理端口上，不能配置在接口上。如果端口所属的启用了，并且为端口，当端口收到报文

15、后,若查找不到监听表项，则丢弃报文，造成网络中断。软件仅可用于实验。参考配置】vlan1vlan2!vlan100!servicedhcpiphelper-address10.1.1.1ipdhcpsnoopinginterfaceFastEthernet0/1switchportaccessvlan100ipdhcpsnoopingtrust!interfaceFastEthernet0/2!interfaceFastEthernet0/3!interfaceFastEthernet0/4!interfaceFastEthernet0/5!interfaceFastEthernet0/6!i

16、nterfaceFastEthernet0/7!interfaceFastEthernet0/8!interfaceFastEthernet0/9!interfaceFastEthernet0/10!interfaceFastEthernet0/11!interfaceFastEthernet0/12!interfaceFastEthernet0/13interfaceFastEthernet0/14网络安全实验教程endSW2#showrunning-configBuildingconfiguration.Currentconfiguration:1325bytes!hostnameSW2!

17、vlan1!vlan2!ipdhcpsnoopingiparpinspectionvlan2iparpinspection!interfaceFastEthernet0/1switchportaccessvlan2!interfaceFastEthernet0/2switchportaccessvlan2!interfaceFastEthernet0/3!interfaceFastEthernet0/4!interfaceFastEthernet0/5!interfaceFastEthernet0/6!interfaceFastEthernet0/7!interfaceFastEthernet

18、0/8interfaceFastEthernet0/9interfaceFastEthernet0/10interfaceFastEthernet0/11!interfaceFastEthernet0/121interface!FastEthernet0/13interface!FastEthernet0/14interface!FastEthernet0/15interface!FastEthernet0/16interface!FastEthernet0/17interface!FastEthernet0/18interface!FastEthernet0/19interface!FastEthernet0/20interface!FastEth