局域网ARP欺骗攻击及安全防范策略毕业设计

1、.新疆机电职业技术学院毕业论文PAGE ：.；PAGE 28新疆机电职业技术学院计算机系毕业论文题 目：局域网ARP攻击及防备专 业：计算机网络技术年 级：高计算机10班学生姓名：王文瑞学 号：20211898指点教师：李 欣2021年12月12日局域网ARP攻击及防备摘要： ARP攻击，是针对以太网地址解析协议ARP的一种攻击技术。此种攻击可让攻击者获得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或一切计算机无法正常衔接。目前，ARP欺骗是黑客常用的攻击手段之一，且ARP欺骗攻击的后果普通都是比较非常严重的，大多数情况下会呵斥大面积掉线。有些网管员对此不甚了解，出现缺点时，以为P

2、C没有问题，交换机没掉线的“身手，电信也不成认宽带缺点。而且假设第一种ARP欺骗发生时，只需重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽领路由器被以为是“罪魁祸首，而现实并非如此。鉴于此，本文将论述ARP地址解析协议的含义和任务原理，分析了ARP协议所存在的平安破绽，分析网段内和跨网段ARP欺骗的实现过程。最后，结合网络管理的实践任务，引见IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等技术等几种可以有效防御ARP欺骗攻击的平安防备战略。最后经过运用文中引见平安防备战略胜利阻止P2P终结者、Arpkiller等ARP攻击软件的攻击验证了该平安战略的有效性。

3、关键词： ARP协议 IP地址 局域网 MAC地址 网络平安 LAN ARP attack and protectionAbstract: ARP attack, which is based on Ethernet addresses analytical protocol (ARP) an attack technology. This attack may let the attacker has a local-area network packets of data or even tamper with the packet, and allows network on speci

4、fic computer or all computer cannot normal connection. At present, the ARP deception is hackers commonly used attack means one, and the consequences of ARP deception attack is usually compare very serious, in most circumstances will caused extensive calls. Some network administrator are not well und

5、erstood, malfunction, think PC no problem, switches didnt dropped skill, telecom does not acknowledge broadband fault. And if the first kind of ARP deception occurs, as long as the restart router, the network can fully recover, that problem must be on a router. Therefore, broadband router is conside

6、red the chief culprit, but this is not the case. In view of this, this article will be discussed the meaning of ARP address analytical protocol and working principle, analyzes the existing ARP agreement security vulnerabilities, analyzing network segment within and across the network segment the rea

7、lization process of ARP deception. Finally, combined with the practical work of network management, introduces the IP address and MAC address binding, switch port and MAC address binding, as well as several vlans isolation technology can effectively defense ARP deception attack security preventive s

8、trategy. Finally through the use of introduced safety preventive strategy prevented P2P terminator, Arpkiller etc ARP attack software attack verified the effectiveness of the security strategy.Keyords: ARP agreement IP address Bureau area net MAC address Network security目 录 TOC o 1-3 u 引 言 PAGEREF _

9、Toc344643579 h 2第一章. ARP协议简介 PAGEREF _Toc344643580 h 2第二章. ARP协议的任务原理 PAGEREF _Toc344643581 h 3第三章. 分析ARP协议存在的平安破绽 PAGEREF _Toc344643582 h 5一、 分析ARP协议存在的平安破绽 PAGEREF _Toc344643583 h 5二、 ARP欺骗检测方法 PAGEREF _Toc344643584 h 5(一)主机级检测方法 PAGEREF _Toc344643585 h 5(二)网络级检测方法 PAGEREF _Toc344643586 h 5第四章. AR

10、P欺骗攻击的实现过程 PAGEREF _Toc344643587 h 6一、 经过路由器实现VLAN间的通讯 PAGEREF _Toc344643588 h 6二、 公司网络实现vlan间通讯 PAGEREF _Toc344643589 h 6第五章. ARP攻击简介 PAGEREF _Toc344643590 h 6一、仿冒网关 PAGEREF _Toc344643591 h 7二、欺骗网关 PAGEREF _Toc344643592 h 7三、欺骗终端用户 PAGEREF _Toc344643593 h 7四、“中间人攻击 PAGEREF _Toc344643594 h 8五、 ARP报文

11、泛洪攻击 PAGEREF _Toc344643595 h 8第六章.攻击平安防备战略 PAGEREF _Toc344643596 h 8一、 DHCP Snooping功能 PAGEREF _Toc344643597 h 9二、 IP静态绑定功能 PAGEREF _Toc344643598 h 9三、 ARP入侵检测功能 PAGEREF _Toc344643599 h 9四、 ARP报文限速功能 PAGEREF _Toc344643600 h 9五、 CAMS下发网关配置功能 PAGEREF _Toc344643601 h 10第七章. ARP攻击防御配置举例 PAGEREF _Toc3446

12、43602 h 10一、 DHCP监控方式下的ARP攻击防御配置举例 PAGEREF _Toc344643603 h 10(一)组网需求 PAGEREF _Toc344643604 h 10(二)组网图 PAGEREF _Toc344643605 h 11(三)配置思绪 PAGEREF _Toc344643606 h 11(四)配置步骤 PAGEREF _Toc344643607 h 11(五)本卷须知 PAGEREF _Toc344643608 h 14二、认证方式下的ARP攻击防御配置举例 PAGEREF _Toc344643609 h 15(一)组网需求 PAGEREF _Toc3446

13、43610 h 15(二)组网图 PAGEREF _Toc344643611 h 16(三)配置思绪 PAGEREF _Toc344643612 h 16(四)配置步骤 PAGEREF _Toc344643613 h 16(五)本卷须知 PAGEREF _Toc344643614 h 27第八章. 结 论 PAGEREF _Toc344643615 h 27参考文献 PAGEREF _Toc344643616 h 28致 谢 PAGEREF _Toc344643617 h 28引 言在局域网中，网络中实践传输的是“帧，帧里面是有目的主机的MAC地址的。在以太网中，一个主机要和另一个主机进展直接

14、通讯，必需求知道目的主机的MAC地址。网吧是最常见的局域网，在运用过程中有时出现他人可以正常上网而本人却无法访问任何页面和网络信息的情况，虽然呵斥这种景象的情况有 很多，但是目前最常见的就是ARP欺骗了，很多黑客工具甚至是病毒都是经过ARP欺骗来实现对主机进展攻击和阻止本机访问任何网络信息的目的。首先我们可以一定一点的就是发送ARP欺骗包是经过一个恶毒的程序自动发送的，正常的TCP/IP网络是不会有这样的错误包发送的，而人工发送又比较费事。也就是说当黑客没有运转这个恶毒程序的话，网络上通讯应该是一切正常的，保管在各个衔接网络计算机上的ARP缓存表也应该是正确的，只需程序启动开场发送错误ARP信

15、息以及ARP欺骗包时才会让某些计算机访问网络出现问题。ARP欺骗可以呵斥内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通讯。实践上他的危害还不仅仅如此，普通来说IP地址的冲突我们可以经过多种方法和手段来防止，而ARP协议任务在更低层，隐蔽性更高。系统并不会判别ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等， 可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实如今一台普通计算机上经过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否， 甚至还可以直接对网关进展攻击，让一切衔接网络的计算机都无法正常上网。这点

16、在以前是不能够的，由于普通计算机没有管理权限来控制网关，而如今却成为可 能，所以说ARP欺骗的危害是宏大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就添加了网络管理员查找真凶的难度，所以跟踪防备局域网ARP欺骗类攻击的最新技术，做到防备于未然就必不可少。第一章. ARP协议简介ARP(Address Resolution Protocol) ，是由David CPlummer在826internet规范(草案)提出，当时是为了美国数字设备公司、英特尔公司施乐复印机公司等三个公司的10 Mbit以太网所设计，在推行时也允许其它类型的网络运用。ARP也即地址解析协

17、议，该协议是将IP地址与网络物理地址一一对应的协议。担任IP地址和网卡实体地址(MAC)之间的转换。也就是将网络层IP层，也就是相当于ISO/OSI 的第三层地址解析为数据衔接层MAC层，也就是相当于ISO/OSI的第二层的MAC地址。TCP/IP协议中规定，IP地址为32位，由网络号和网络内的主机号构成，每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中，源主机和目的主机通讯时，源主机不仅要知道目的主机的IP地址，还要知道目的主机的数据链路层地址，即网卡的MAC地址，同时规定MAC地址为48位。ARP协议所做的任务就是查询目的主机的IP地址所对应的MAC地址，并实现双

18、方通讯。第二章. ARP协议的任务原理在网络中的任何一台主机，都有两个独一的标识。一个是由32位二进制组成lP地址，用于在网络层当中标识和查找计算机，另一个是由48位二进制组成的MAC地址，用于在数据链路层中标识和查找计算机。IP地址是不能直接用来通讯的，由于IP地址只是主机在网络层中的地址，假设要将网络层中传输的数据报交给目的主机，还要传到链路层变成MAC帧才干发送到实践的网络上。因此IP地址与MAC地址之间就必需存在一个映射表，而ARP协议就很好的处理了这些问题。每一台安装有TCP/IP协议的计算机内部都有一张ARP高速缓存表，该缓存表记录了最近一段时间内区域网内与该计算机通讯的其他计算机

19、的IP地址与其相应的MAC地址之间的对应关系。当源主机要发送lP数据报时，数据链路层必需将IP数据报封装成以太网数据帧，才干在以太网中传输。在封装过程中，为了找到与目的IP地址对应的MAC地址，源主机先会把目的主机的lP的地址与子网掩码进展逻辑与操作，以判别目的主机能否与本人在同一个网段内。假设在同一网段内，源主时机先查看ARP高速缓存能否有与目的IP地址对应的MAC地址信息，假设MAC地址已存在，就直接运用。假设对应的信息不存在，就向本地网段发起一个包含ARP恳求的广播包，查询此目的主机对应的MAC地址。此ARP恳求数据包里包括源主机的IP地址、MAC地址、以及目的主机的lP地址。网络中一切

20、的主机收到这个ARP恳求后。会检查数据包中的目的IP能否和本人的IP地址一致。假设不一样就忽略此数据包，假设一样，那么给源主机发送一个ARP呼应数据包，经过该报文使源主机获得目的主机的MAC地址信息那么可利用此信息开场数据的传输。假设目的主机与源主机不在同一个网段内，源主时机在ARP高速缓存中查找默许网关所对应的MAC地址，由默许网关再对该分组进展转发。假设没有，源主机就会发送一个广播包，查询默许网关对应的MAC地址。主机每隔一段时间或者每收到新的ARP应对就会更新ARP缓存，以保证本人拥有最新的地址解析缓存。ARP协议任务原理详见以以下图1和图2。图1 网段内ARP任务原理图2 夸网段ARP

21、任务原理我们还是来经过实验更加深化直观地了解ARP协议的任务原理吧。我们假设有两台主机：A机的IP地址是，MAC地址是52-54-ab-27-82-83 。B机的IP地址是，MAC地址是52-54-ab-27-82-84 。当主机A想与主机B进展通讯时，A机只知道B机的IP地址是,当数据包封装到MAC层时他如何知道B的MAC地址呢，普通的OS中是这样做的，在OS的内核中保管一分MAC地址表，就是我们一中介始到的。用arp -a就可以看见这个表的内容了，例如： C:/arp -a Interface: 192.168.0.X on Interface 0 x1000002 Internet Ad

22、dress Physical Address Type 52-54-ab-27-82-83 dynamic 其中表内有IP和MAC地址的对应关系，当要过进展通讯时，系统先查看这个表中能否有相关的表项，假设有就直接运用，假设没有系统就会发出一个ARP恳求包,这个包的目的地址为ffffffffffff的广播地址，他的作用就是讯问局域网内IP地址为的主机的MAC地址，就像是A在局域网中发信息找一个IP地址为的主机MAC地址，同样A机把自已的MAC地址通知出去是52-54-ab-27-82-83 ，随后一切主机都会接纳到这个包，但只需IP为的B才会呼应一个ARP应对包给主机A, B时机回信息给A机说他

23、的MAC地址是52-54-ab-27-82-84,好这下主机A就知道B的MAC地址了，于时他就可以封包发送了，同时主机A将B的MAC地址放入ARP缓冲中，隔一定时间就将其删除，确保不断更新。 留意，在这个过程中，假设主机A在发送ARP恳求时，假设该局域网内有一台主机C的IP和A一样，C就会得知有一台主机的IP地址同自已的IP地址一样，于时就蹦出一个IP冲突的对话筐。与ARP相对应的还有一个协议RARPReverse Address Resolution Protocol，反向地址解析协议，该协议主要用于任务站模型动态获取IP的过程中，作用是由MAC地址向效力器取回IP地址。第三章. 分析ARP

24、协议存在的平安破绽一、 分析ARP协议存在的平安破绽 ARP协议是建立在信任局域网内一切结点的根底上的，它很高效，但却不平安。它的主要破绽有以下三点。(1)主机地址映射表是基于高速缓存、动态更新的，ARP将保管在高速缓存中的每一个映射地址工程都设置了生存时间，它只保管最近的地址对应关系。这样恶意的用户假设在下次交换前修正了被欺骗机器上的地址缓存，就可以进展冒充或回绝效力攻击。(2)由于ARP是无形状的协议，即使没有发送ARP恳求报文，主机也可以接纳ARP应对，只需接遭到ARP应对分组的主机就无条件地根据应对分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了能够，恶意节点可以发布虚伪的ARP报

25、文从而影响网内结点的通讯，甚至可以做“中间人。(3)任何ARP应对都是合法的，ARP应对无须认证，只需是区域内的ARP应对分组，不论(其实也不知道)能否是合法的应对，主机都会接受ARP应对，并用其lPMAC信息篡改其缓存。这是ARP的另一个隐患。目前主要存在2种检测ARP欺骗的机制。在主机级，普通主机可以采用两种方法检测本人的能否正在被其它主机欺骗：一种是自动探查可疑的主机；另一种是被动检查网络ARP广播报文。在网络级，处于网络管理员控制下的机器将检查一切的ARP恳求与呼应以查明异常并判别能否出现ARP欺骗行为。二、 ARP欺骗检测方法主机级检测方法自动检测。当主机收到ARP应对报文时，从应对

26、报文中提取MAC地址。然后构造一个RARP恳求报文，这样就可以得到这个MAC地址对应的IP地址，比较两个IP地址，假设不同，就阐明有主机进展了ARP欺骗。还有另外一种方法就是:主机定期向区域网发送查询本人IP地址的ARP恳求报文。假设收到其它主机的应对。就阐明该区域网能够存在ARP欺骗。被动检测。当系统接纳到局域网上的ARP恳求时，系统检查该恳求发送端的IP地址能否与本人的IP地址一样。假设一样，那么阐明该网络上另有一台机器与本人具有一样的IP地址。当然还有一种情况，就是每当系统启动时或更改主机IP地址时，ARP协议自动地向本地网络发送一个广播恳求包，通告本人的IP地址并检测能否存在IP地址冲

27、突。由上可知，主机级检测出来的异常情况。能够是由于用户操作失误或者其它缘由呵斥的，并不能有效和准确的检测出ARP欺骗。下面引见的检测方法更能有效的检测出ARP欺骗。网络级检测方法经过配置主机定期向中心管理主机报告其ARP缓存的内容。这样中心管理主机上的程序就会查找出两台或者多台主机报告信息的不一致，以及同一台主机前后报告内容的变化。根据这些情况可以初步确定谁是进攻者。谁被进攻者。这里需求思索的是：每台主机向衷心管理主机发送数据的时间间隔，假设发送的间隔太短会占用通讯的信道。影响整个区域网通讯的性能。假设间隔太长，以致超越攻击者一次进攻的时间。进攻者能够在短时间内攻击之后又把一切都恢复了，那么失

28、去意义。中心管理主机上保管着可信任的IPMAC映射表，然后经过检查匹配网络的IPMAC映射表，检测ARP欺骗。可信任的IPMAC映射表可以有管理员手动配置。也可以在网络正常时经过ARP扫描获取网内的IPMAC映射表。第四章. ARP欺骗攻击的实现过程一、 经过路由器实现VLAN间的通讯ARP欺骗攻击的中心就是向目的主机发送伪造的ARP应对，并使目的主机接纳应对中伪造的IP与MAC间的映射对，并以此更新目的主机缓存。设在同一网段的三台主机分别为,，详见表1。表1：同网段主机IP地址和MAC地址对应表用户主机IP地址MAC地址A1010100100-E0-4C-11-11-11B101010020

29、0-E0-4C-22-22-22C1010100300-E0-4C-33-33-33假设与是信任关系，欲向发送数据包。攻击方经过前期预备，可以发现的破绽，使暂时无法任务，然后发送包含本人MAC地址的ARP应对给。由于大多数的操作系统在接纳到ARP应对后会及时更新ARP缓存，而不思索能否发出过真实的ARP恳求，所以接纳到应对后，就更新它的ARP缓存，建立新的IP和MAC地址映射对，即的IP地址10101002对应了的MAC地址00-E0-4C-33-33-33。这样，导致就将发往的数据包发向了,但和B却对此全然不知，因此C就实现对A和B的监听。二、 公司网络实现vlan间通讯跨网段的ARP欺骗比

30、同一网段的ARP欺骗要复杂得多，它需求把ARP欺骗与ICMP重定向攻击结合在一同。假设和在同一网段，在另一网段，详见表2。表2：跨网段主机IP地址和MAC地址对应表用户主机IP地址MAC地址A1010100100-E0-4C-11-11-11B1010100200-E0-4C-22-22-22C1010100300-E0-4C-33-33-33首先攻击方修正IP包的生存时间，将其延伸，以便做充足的广播。然后和上面提到的一样，寻觅主机的破绽，攻击此破绽，使主机暂时无法任务。以后，攻击方发送IP地址为的IP地址10101002，MAC地址为的MAC地址00-E0-4C-33-33-33的ARP应对

31、给。接纳到应对后，更新其ARP缓存。这样，在主机上的IP地址就对应的MAC地址。但是，在发数据包给时，依然会在局域网内寻觅10101002的MAC地址，不会把包发给路由器，这时就需求进展ICMP重定向，通知主机到10101002的最短途径不是局域网，而是路由，请主机重定向路由途径，把一切到10101002的包发给路由器。主机在接遭到这个合理的ICMP重定向后，修正本人的路由途径，把对10101002的数据包都发给路由器。这样攻击方就能得到内部网段的数据包。第五章. ARP攻击简介ARP欺骗按照ARP协议的设计，一个主机即使收到的ARP应对并非本身恳求得到的，也会将其IP地址和MAC地址的对应关

32、系添加到本身的ARP映射表中。这样可以减少网络上过多的ARP数据通讯，但也为“ARP欺骗发明了条件。校园网中，常见的ARP攻击有如下几中方式。一、仿冒网关攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新本身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。如以下图：“仿冒网关攻击表示图二、欺骗网关攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新本身ARP

33、表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的一切数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。如以下图：“欺骗网关攻击表示图三、欺骗终端用户攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机；使后者更新本身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网段内的其他主机发给该用户的一切数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。如以下图：“欺骗终端用户攻击表示图四、“中间人攻击ARP “中间人攻击，又称为ARP双向欺骗。如 R

34、EF _Ref156550173 r h * MERGEFORMAT ARP“中间人攻击表示图所示，Host A和Host C经过Switch进展通讯。此时，假设有恶意攻击者Host B想探听Host A和Host C之间的通讯，它可以分别给这两台主机发送伪造的ARP应对报文，使Host A和Host C用MAC_B更新本身ARP映射表中与对方IP地址相应的表项。以后，Host A 和Host C之间看似“直接的通讯，实践上都是经过黑客所在的主机间接进展的，即Host B担当了“中间人的角色，可以对信息进展了窃取和篡改。这种攻击方式就称作“中间人Man-In-The-Middle攻击。如以下图

35、：ARP“中间人攻击表示图五、 ARP报文泛洪攻击恶意用户利用工具构造大量ARP报文发往交换机的某一端口，导致CPU负担过重，呵斥其他功能无法正常运转甚至设备瘫痪。第六章.攻击平安防备战略本文根据ARP攻击的特点，给出了DHCP监控方式下的ARP攻击防御处理方案和认证方式下的ARP攻击防御处理方案。前者经过接入交换机上开启DHCP Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能，可以防御常见的ARP攻击；后者不需求在接入交换机上进展防攻击配置，而需求经过CAMS效力器下发网关的IP/MAC对应关系给客户端，防御“仿冒网关攻击。详见 REF _Ref18391

36、9519 r h * MERGEFORMAT 常见网络攻击和防备对照表。常见网络攻击和防备对照表攻击方式防御方法动态获取IP地址的用户进展“仿冒网关、“欺骗网关、“欺骗终端用户、“ARP中间人攻击配置DHCP Snooping、ARP入侵检测功能手工配置IP地址的用户进展“仿冒网关、“欺骗网关、“欺骗终端用户、“ARP中间人攻击配置IP静态绑定表项、ARP入侵检测功能ARP泛洪攻击配置ARP报文限速功能动态和手工配置IP地址的用户进展“仿冒网关攻击配置认证方式的ARP攻击防御处理方案(CAMS下发网关配置功能)一、 DHCP Snooping功能DHCP Snooping是运转在二层接入设备上

37、的一种DHCP平安特性。经过监听DHCP报文，记录DHCP客户端IP地址与MAC地址的对应关系； 经过设置DHCP Snooping信任端口，保证客户端从合法的效力器获取IP地址。信任端口正常转发接纳到的DHCP报文，从而保证了DHCP客户端可以从DHCP效力器获取IP地址。不信任端口接纳到DHCP效力器呼应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文，从而防止了DHCP客户端获得错误的IP地址。二、 IP静态绑定功能DHCP Snooping表只记录了经过DHCP方式动态获取IP地址的客户端信息，假设用户手工配置了固定IP地址，其IP地址、MAC地址等信息将不会被DHCP Sn

38、ooping表记录。因此，交换机支持手工配置IP静态绑定表的表项，实现用户的IP地址、MAC地址及接入交换机衔接该用户的端口之间的绑定关系。这样，该固定用户的报文就不会被ARP入侵检测功能过滤。三、 ARP入侵检测功能H3C低端以太网交换机支持将收到的ARP恳求与回应报文重定向到CPU，结合DHCP Snooping平安特性来判别ARP报文的合法性并进展处置，详细如下。当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配，且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致，那么为

39、合法ARP报文，进展转发处置。当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配，或ARP报文的入端口，入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致，那么为非法ARP报文，直接丢弃。四、 ARP报文限速功能H3C低端以太网交换机支持端口ARP报文限速功能，使遭到攻击的端口暂时封锁，来防止此类攻击对CPU的冲击。开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接纳的ARP报文数量进展统计，假设每秒收到的ARP报文数量超越设定值，那么以为该端口处于超速形状即遭到ARP报文攻击。此时

40、，交换机将封锁该端口，使其不再接纳任何报文，从而防止大量ARP报文攻击设备。同时，设备支持配置端口形状自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机封锁后，经过一段时间可以自动恢复为开启形状。五、 CAMS下发网关配置功能CAMSComprehensive Access Management Server，综合访问管理效力器作为网络中的业务管理中心，可以与以太网交换机等网络产品共同组网，完成用户的认证、授权、计费和权限管理。如 REF _Ref187741199 r h CAMS组网表示图所示。CAMS组网表示图认证方式的ARP攻击防御处理方案，不需求在接入交换机上进展特殊

41、的防攻击配置，只需求客户端经过802.1x认证登录网络，并在CAMS上进展用户网关的设置，CAMS会经过接入交换机，下发网关的IP/MAC对应关系给客户端，来防御“仿冒网关攻击。第七章. ARP攻击防御配置举例一、 DHCP监控方式下的ARP攻击防御配置举例组网需求某校园网内大部分用户经过接入设备衔接网关和DHCP效力器，动态获取IP地址。管理员经过在接入交换机上全面部署ARP攻击防御相关特性，构成维护屏障，过滤掉攻击报文。详细网络运用需求分析如下。校园网用户分布在两个区域Host area1和Host area2，分别属于VLAN10和VLAN20，经过接入交换机Switch A和Switc

42、h B衔接到网关Gateway，最终衔接外网和DHCP。Host area1所在子网内拥有一台TFTP效力器，其IP地址为0/24，MAC地址为000d-85c7-4e00。为防止仿冒网关、欺骗网关等ARP攻击方式，开启Switch A上VLAN10内、Switch B上VLAN20内ARP入侵检测功能，设置Switch A和Switch B的端口Ethernet1/0/1为ARP信任端口。为防止ARP泛洪攻击，在Switch A和Switch B一切直接衔接客户端的端口上开启ARP报文限速功能。同时，开启因ARP报文超速而被封锁的端口的形状自动恢复功能，并设置恢复时间间隔100秒。组网图DH

43、CP监控方式下的ARP攻击防御组网表示图配置思绪在接入交换机Switch A和Switch B上开启DHCP snooping功能，并配置与DHCP效力器相连的端口为DHCP snooping信任端口。在接入交换机Switch A上为固定IP地址的TFTP效力器配置对应的IP静态绑定表项。在接入交换机Switch A和Switch B对应VLAN上开启ARP入侵检测功能，并配置其上行口为ARP信任端口。在接入交换机Switch A和Switch B直接衔接客户端的端口上配置ARP报文限速功能，同时全局开启因ARP报文超速而被封锁的端口的形状自动恢复功能。配置步骤运用的版本本举例中运用的接入交换

44、机Switch A和Switch B为E126A系列以太网交换机。配置客户端动态获取IP地址。配置客户端自动获取IP地址表示图配置Switch A# 创建VLAN10，并将端口Ethernet1/0/1到Ethernet1/0/4参与VLAN10中。 system-viewSwitchA vlan 10SwitchA-vlan10 port Ethernet 1/0/1 to Ethernet 1/0/4SwitchA-vlan10 quit# 配置Switch A的上行口为DHCP snooping信任端口。SwitchA interface ethernet1/0/1SwitchA-Eth

45、ernet1/0/1 dhcp-snooping trustSwitchA-Ethernet1/0/1 quit# 开启DHCP snooping。SwitchA dhcp-snooping# 在Switch A的端口Ethernet1/0/4上配置IP静态绑定表项。SwitchA interface Ethernet1/0/4SwitchA-Ethernet1/0/4 ip source static binding ip-address 0 mac-address 000d-85c7-4e00SwitchA-Ethernet1/0/4 quit# 配置Switch A的上行口为ARP信任端

46、口。SwitchA interface ethernet1/0/1SwitchA-Ethernet1/0/1 arp detection trustSwitchA-Ethernet1/0/1 quit# 开启VLAN 10内一切端口的ARP入侵检测功能。SwitchA vlan 10SwitchA-vlan10 arp detection enableSwitchA-vlan10 quit# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3上的ARP报文限速功能。SwitchA interface Ethernet1/0/2SwitchA-Ethernet1/0

47、/2 arp rate-limit enableSwitchA-Ethernet1/0/2 arp rate-limit 20SwitchA-Ethernet1/0/2 quitSwitchA interface Ethernet1/0/3SwitchA-Ethernet1/0/3 arp rate-limit enableSwitchA-Ethernet1/0/3 arp rate-limit 20SwitchA-Ethernet1/0/3 quit# 配置端口形状自动恢复功能，恢复时间间隔为100秒。SwitchA arp protective-down recover enableSwi

48、tchA arp protective-down recover interval 100# 配置网关的缺省路由。SwitchA ip route-static 0 配置Switch B# 创建VLAN20，并将相应端口参与VLAN20中。 system-viewSwitchB vlan 20SwitchB-vlan20 port Ethernet 1/0/1 to Ethernet 1/0/4SwitchB-vlan20 quit# 配置Switch B的上行口为DHCP snooping信任端口。SwitchB interface ethernet1/0/1SwitchB-Ethernet

49、1/0/1 dhcp-snooping trustSwitchB-Ethernet1/0/1 quit# 开启DHCP snooping。SwitchB dhcp-snooping# 配置Switch B的上行口为ARP信任端口。SwitchB interface ethernet1/0/1SwitchB-Ethernet1/0/1 arp detection trustSwitchB-Ethernet1/0/1 quit# 开启VLAN 20内一切端口的ARP入侵检测功能。SwitchB vlan 20SwitchB-vlan20 arp detection enableSwitchB-vl

50、an20 quit# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4上的ARP报文限速功能。SwitchB interface Ethernet1/0/2SwitchB-Ethernet1/0/2 arp rate-limit enableSwitchB-Ethernet1/0/2 arp rate-limit 20SwitchB-Ethernet1/0/2 quitSwitchB interface Ethernet1/0/3SwitchB-Ethernet1/0/3 arp rate-limit enableSwitchB-Et

51、hernet1/0/3 arp rate-limit 20SwitchB-Ethernet1/0/3 quitSwitchB interface Ethernet1/0/4SwitchB-Ethernet1/0/4 arp rate-limit enableSwitchB-Ethernet1/0/4 arp rate-limit 20SwitchB-Ethernet1/0/4 quit# 配置端口形状自动恢复功能，恢复时间间隔为100秒。SwitchB arp protective-down recover enableSwitchB arp protective-down recover i

52、nterval 100# 配置网关的缺省路由。SwitchB ip route-static 0 配置Gateway system-view# 创建VLAN 10和VLAN 20，并添加相应端口。Gateway vlan 10Gatewayvlan10 port Ethernet 1/0/1Gatewayvlan10 quitGateway vlan 20Gatewayvlan20 port Ethernet 1/0/2Gatewayvlan20 quit# 配置Vlan-interface10的IP地址为/24。Gateway interface vlan 10Gateway-Vlan-in

53、terface10 ip address 24Gateway-Vlan-interface10 quit# 配置Vlan-interface20的IP地址为/24。Gateway interface vlan 20Gateway-Vlan-interface20 ip address 24Gateway-Vlan-interface20 quit配置DHCP效力器由于作为DHCP效力器的设备不同，所需进展的配置也不同，故此处从略。详细配置请参考DHCP效力器操作手册。本卷须知配置ARP入侵检测功能之前，需求先在交换机上开启DHCP Snooping功能，并设置DHCP Snooping信任端口

54、，否那么一切ARP报文将都不能经过ARP入侵检测。目前，H3C低端以太网交换机上开启DHCP Snooping功能后，一切端口默许被配置为DHCP Snooping非信任端口。为了使DHCP客户端能从合法的DHCP效力器获取IP地址，必需将与合法DHCP效力器相连的端口设置为信任端口，设置的信任端口和与DHCP客户端相连的端口必需在同一个VLAN内。DHCP Snooping表只记录了经过DHCP方式动态获取IP地址的客户端信息。假设固定IP地址的用户需求访问网络，必需在交换机上手工配置IP静态绑定表的表项，即：用户的IP地址、MAC地址及衔接该用户的端口之间的绑定关系。目前，H3C系列以太网

55、交换机在端口上配置的IP静态绑定表项，其所属VLAN为端口的缺省VLAN ID。因此，假设ARP报文的VLAN TAG与端口的缺省VLAN ID值不同，报文将无法经过根据IP静态绑定表项进展的ARP入侵检测。H3C系列以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCP Snooping动态表项。详细表如今：假设手工配置的IP静态绑定表项中的IP地址与已存在的DHCP Snooping动态表项的IP地址一样，那么覆盖DHCP Snooping动态表项的内容；假设先配置了IP静态绑定表项，再开启交换机的DHCP Snooping功能，那么DHCP客户端不能经过该交换机获取到IP静态绑定表

56、项中曾经存在的IP地址。实践组网中，为理处理上行端口接纳的ARP恳求和应对报文可以经过ARP入侵检测问题，交换机支持经过配置ARP信任端口，灵敏控制ARP报文检测功能。对于信任端口的一切ARP报文不进展检测，对其它端口的ARP报文经过查看DHCP Snooping表或手工配置的IP静态绑定表进展检测。建议用户不要在会聚组中的端口上配置ARP入侵检测、ARP报文限速功能。二、认证方式下的ARP攻击防御配置举例组网需求某校园网内大部分用户经过接入设备衔接网关和外网的效力器。管理员希望经过客户端和效力器间的认证机制，在客户端绑定网关的IP/MAC对应关系，过滤掉仿冒网关的ARP攻击报文。详细网络运用

57、需求分析如下：接入用户可以经过DHCP自动获取IP地址，也可以手工配置静态IP地址。但需求安装802.1x客户端，即：经过802.1x认证才干访问网络。效力器采用H3C公司的CAMS认证/授权、计费效力器；CAMS经过将网关的IP-MAC对应关系下发到认证客户端，防止用户端的网关仿冒等ARP攻击。接入交换机需求开启802.1x和AAA相关配置。组网图认证方式下的ARP攻击防御组网表示图配置思绪用户安装802.1x客户端，即需求经过802.1x认证才干访问网络。接入交换机Switch A和Switch B上开启802.1x和AAA相关配置。经过CAMS效力器将网关的IP-MAC对应关系下发到认证

58、客户端，防止用户端的网关仿冒等ARP攻击。配置步骤配置SwitchA# 创建VLAN 10，并添加相应端口。 system-viewSwitchA vlan 10SwitchA-vlan10 port Ethernet 1/0/1 to Ethernet 1/0/3SwitchA-vlan10 quit 设置RADIUS方案cams，设置主效力器。SwitchA radius scheme camsSwitchA-radius-cams primary authentication SwitchA-radius-cams accounting optional 设置系统与认证Radius效力器

59、交互报文时加密密码为expert。SwitchA-radius-cams key authentication expert设置用户名为带域名格式。SwitchA-radius-cams user-name-format with-domain效力类型为extended。SwitchA-radius-cams server-type extendedSwitchA-radius-cams quit 定义ISP域abc，并配置认证采用RADIUS方案cams。SwitchA domain abcSwitchA-isp-abc radius-scheme camsSwitchA-isp-abc q

60、uit 将ISP域abc设置为缺省ISP域。SwitchA domain default enable abc 交换机全局开启802.1x功能。SwitchA dot1x 在端口Ethernet1/0/2下开启802.1x功能。SwitchA interface Ethernet1/0/2SwitchA-Ethernet1/0/2 dot1xSwitchA-Ethernet1/0/2 quit 在端口Ethernet1/0/3下开启802.1x功能。SwitchA interface Ethernet1/0/3SwitchA-Ethernet1/0/3 dot1xSwitchA-Etherne