网络自动学习(自育)
在常规的网络安全防护方案中,判断一个网络是否产生安全事件的标准经
常是某个网络行为符合了安全隐患的特征,从而将针对这个行为发生一连串的动作。但目前往往对网络产生最大威胁的是未知的网络行为对网络产生的危害,当遇到此类的攻击以后,一般的网络安全方案将无能为力。而在配备GSN?全局安全措施的网络环境中,GSN?可以针对网络安全环境的变化不断调整和强化,有效协助网络管理员进行网络安全隐患的判断。
当网络中有新的网络访问行为时,该行为的相关信息会被安全客户端(RG-SA)有效捕获,并通过E-MAIL、管理日志等方式通知管理员。同时GSN?能及时的捕获到网络的环境变化,一旦检测到网络流量异常,RG-SA安全客户端会自动截取网络流量报文进行分析,从而有效的阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全策略会自动匹配到系统当中。在今后发生同样的网络访问行为时,系统就能自动调用相应的安全策略来处理,从而达到不断根据网络安全形势强化系统安全性的安全策略自动学习功能。(图3 GSN?自动学习)
GSN?应用价值和前景
GSN?通过系统层面和网络层面相结合来有效的进行安全解决方案的部署。
通过安装在安全终端的安全客户端和网络交换机、路由器等网络设备的配合,GSN?目前可以实现对内部有线、无线网络的安全防护,同时可以针对关键区域的数据访问进行安全防护。 在内部网络中,GSN?可以通过联动网络交换机对用户的网络接入行为进行有效识别,针对网络接入用户进行的安全策略设定,并对用户进行强制安全控制,做到防患于未然。而对于关键网络区域数据的保护,GSN?可以通过将安全客户端和安全联动设备的有效结合,有效控制终端用户的网络访问行为。相应地,能有效的对无线网络的安全性进行防护。
在具体到每一个用户网络的应用环境时,锐捷网络还将针对用户网络体系结构的分析,将可扩展性、网络性能、可管理性等周边因素都列入到考虑范围之内,在GSN?架构上进行灵活机动的配置,协助用户开发出一个多层防御体系,进一步提升GSN?的适应性。同时考虑到对用户以往IT投资利益的保护,用户可以分步实现GSN?的整个架构,从网络的核心层、汇聚层或终端层面逐步采用GSN?全局安全解决方案,而不影响到网络系统的正常使用。
4.2技术实施
用接入交换机防arp欺骗的解决方案类似于思科的第一种方案,不做复述。
4.3测试报告(锐捷S2126G)
文档说明:
本文档主要是对锐捷S2126G交换机如何防止ARP攻击进行测试,以便于用户能够更深入的了解该功能的实现过程。
测试项目 测试地点 测试设备 测试软件 DELL D630笔记本一台、IBM R51笔记本一台和锐捷S2126G交换机一台(版本1.69 (1a3)) CAIN软件(版本4.9) 某网络馆 关于锐捷S2126G交换机如何防止ARP攻击
测试一:两台笔记本通过DHCP方式获取IP,且交换机未启用ARP防护命令
描述:将DELL D630连接F0/1端口,IBM R51连接F0/2端口,交换机的F0/24端口上联至校园网络。两台笔记本电脑通过DHCP服务器自动获取IP地址,然后在DELL D630上启用CAIN ARP攻击软件进行测试。
步骤一:锐捷S2126G交换机配置: Switch#show run
System software version : 1.69 (1a3) Build Oct 20 2007 Release
Building configuration...
Current configuration : 446 bytes !
version 1.0 !
hostname Switch vlan 1 !
enable secret level 1 5 &ZW&-/-a2Yv'~1'd5U7+.t{bYV/,|7zy enable secret level 15 5 &Z1X)sv'2Y.Y*T7+5UtZ[V/,Y+S(\\W&-
! !
interface vlan 1 no shutdown ! End
步骤二:将两台笔记本电脑连接至交换机指定端口并查看获取IP地址及ARP信息
DELL D630笔记本信息如下图所示:
IBM R51
笔记本信息如下图所示:
步骤三:在DELL630笔记本上运行CAIN软件
步骤四:再次查看两台笔记本的ARP信息
ARP 防护解决方案总结
一、思科解决方案(接入层为思科三层交换机)
1.1技术介绍
1.1.1 DHCP SNOOPING
采用DHCP管理的常见问题
采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题,常见的有:
1. DHCP server 的冒充。 2. DHCP server的DOS攻击。
3. 有些用户随便指定地址,造成网络地址冲突。
4. 由于DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱。
5. 由于不小心配置了DHCP服务器引起的网络混乱也非常常见。
黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求,直到DHCP服务器对应网段的所有地址被占用,此类攻击既可以造成DOS的破坏,也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。 DHCP服务器欺诈可能是故意的,也可能是无意启动DHCP服务器功能,恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息,以此来实现流量的截取。
一个“不可靠”的DHCP服务器通常被用来与攻击者协作,对网络实施“中间人”MITM(Man-In-The-Middle)攻击。中间人攻击是一种攻击者利用正常的协议处理行为来更改两个终端之间的正常通信数据流而形成的一种攻击技术。首先一个黑客会广播许多含有欺骗性MAC地址的DHCP请求(动态主机配置请求),从而耗尽合法DHCP服务器上的地址空间,一旦其空间地址被耗尽,这个“不可靠”的DHCP服务器就开始向“用户”的DHCP请求进行应答了,这些应答信息中将包括DNS服务器和一个默认网关的信息,这些信息就被用来实施一个MITM中间人攻击。黑客也可以利用冒充的DHCP服务器,为用户分配一个经过修改的DNS Server,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。 DHCP Snooping技术概述
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息,交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色,“DHCP监听”功能基于动态地址分配建立了
一个DHCP绑定表,并将该表存贮在交换机里。在没有DHCP的环境中,如数据中心,绑定条目可能被静态定义,每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。如下表所示: switch#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------- ---- --------------------
00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7
这张表不仅解决了DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而且还供给动态ARP检测(DAI)和IP Source Guard使用。 基本防范
为了防止这种类型的攻击,Catalyst DHCP侦听(DHCP Snooping)功能可有效阻止此类攻击,当打开此功能,所有用户端口除非特别设置,被认为不可信任端口,不应该作出任何DHCP响应,因此欺诈DHCP响应包被交换机阻断,合法的DHCP服务器端口或上连端口应被设置为信任端口。
Catalyst DHCP侦听(DHCP Snooping)对于下边介绍的其他阻止ARP欺骗和IP/MAC地址的欺骗是必需的。
首先定义交换机上的信任端口和不信任端口,对于不信任端口的DHCP报文进行截获和嗅探,DROP掉来自这些端口的非正常DHCP响应应报文,如下图所示:
在每个交换机上,基本配置示例如下表: IOS全局命令:
ip dhcp snooping vlan 100,200 /*定义哪些VLAN启用DHCP嗅探 ip dhcp snooping 接口命令:
ip dhcp snooping trust
no ip dhcp snooping trust (Default)
ip dhcp snooping limit rate 10 (pps) /*一定程度上防止DHCP拒绝服务攻击*/
手工添加DHCP绑定表:
ip dhcp snooping binding 000b.db1d.6ccd vlan 10 1.1.1.1 interface gi1/1 expiry 1000
导出DHCP绑定表到TFTP服务器:
ip dhcp snooping database tftp://10.1.1.1/directory/file
需要注意的是DHCP绑定表要存在本地存贮器(Bootfalsh、slot0、ftp、tftp)或导出到指定TFTP服务器上,否则交换机重启后DHCP绑定表丢失,对于已经申请到IP地址的设备在租用期内,不会再次发起DHCP请求,如果此时交换机己经配置了下面所讲到的DAI和IP Source Guard技术,这些用户将不能访问网络。
高级防范
对于类似Gobbler的DHCP 服务的DOS攻击可以利用前面的Port Security限制源MAC地址数目加以阻止,对于有些用户随便指定地址,造成网络地址冲突也可以利用后面提到的DAI和IP Source Guard技术。
有些复杂的DHCP攻击工具可以产生单一源MAC地址、变化DHCP Payload信息的DHCP请求,当打开DHCP侦听功能,交换机对非信任端口的DHCP请求进行源MAC地址和DHCP Payload信息的比较,如不匹配就阻断此请求。
1.1.2 Dynamic ARP Inspection
ARP欺骗攻击原理
ARP是用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能,局域网段上的所有工作站收到主动ARP广播,会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前cache的同一IP地址和对应的MAC地址,主动式ARP合法的用途是用来以备份的工作站替换失败的工作站。由于ARP无任何身份真实校验机制,黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机,变成某个局域网段IP会话的中间人,达到窃取甚至篡改正常传输的功效。黑客程序发送的主动式ARP采用发送方私有MAC地址而非广播地址,通讯接收方根本不会知道自己的IP地址被取代。为了保持ARP欺骗的持续有效,黑客程序每隔30秒重发此私有主动式ARP。黑客工具如ettercap、dsniff和arpspoof都能实现ARP哄骗功能。像ettercap可提供一个用户界面,在对本地网段所有工作站的扫描后,ettercap显示所有工作站源地址和目的地址,选择ARP哄骗命令后,除数据包的截取外,内置的智能sniffer功能还可以针对不同IP会话获取password信息。 防范方法
这些攻击都可以通过动态ARP检查(DAI,Dynamic ARP Inspection)来防止,它可以帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者,不合法的ARP包将被删除。
DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭,如果ARP包从一个可信任的接口接受到,就不需要做任何检查,如果ARP包在一个不可信任的接口上接受到,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCP Snooping对于DAI来说也成为必不可少的,DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器个别机器可以采用静态添加DHCP绑定表或ARP access-list实现。
另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率的频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。 同样的,在交换机上,配置示例如下 IOS全局命令:
ip dhcp snooping vlan 100,200
no ip dhcp snooping information option ip dhcp snooping
ip arp inspection vlan 100,200 /*定义对哪些VLAN进行ARP报文检测*/ ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10 IOS接口命令:
ip dhcp snooping trust
ip arp inspection trust /*定义哪些接口是信任接口,通常是网络设备接口,TRUNK接口等*/
ip arp inspection limit rate 15 (pps) /*定义接口每秒ARP报文数量*/ 对于没有使用DHCP设备可以采用下面办法: arp access-list static-arp
permit ip host 10.66.227.5 mac host 0009.6b88.d387 ip arp inspection filter static-arp vlan 201 配置DAI后的效果
在配置DAI技术的接口上,用户端不能采用指定地址将接入网络。
由于DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。下表为实施中间人攻击是交换机的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 由于对ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。如下表所示:
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******报警
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/30 in err-disable state ******切断端口 switch#.....sh int f.5/30
FastEthernet5/30 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet Port, address is 0002.b90e.3f4d (bia 0002.b90e.3f4d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255
1.2技术实施
1. 确认在
dhcp区域每个用户都为dhcp之后,可以开始部署dhcp snooping
,选择需要保护的并且是arp病毒高发的vlan,在cisco交换机上的config 模式下输入:
ip dhcp snooping vlan 100,200 /*定义哪些VLAN启用DHCP嗅探
ip dhcp snooping information option 允许交换机在dhcp报文中插入生成dh
cp binding数据库的记录(vlan、mac、port、ip) ip dhcp snooping
在接dhcp server的接口上配置(如果是交换机做server则不需要此命令):
ip dhcp snooping trust
在不信任的端口,也就是需要监控的下连口上配置: no ip dhcp snooping trust (Default)
ip dhcp snooping limit rate 10 (pps) /*一定程度上防止DHCP拒绝服务攻击*/(可选)
那么dhcp snooping的配置就算完成了,通过 show ip dhcp snooping binding
来查看dhcp的参数,可以查看到客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。例如: switch#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------- ---- --------------------
00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7
2. 配置完dhcp snooping 并且检查用户表正常之后,需要确认每个vlan的
地址分配方式情况,也就是dhcp方式或者是手工设置方式。Arp inspection需要调用dhcp snooping的binding表,因此如果在实施arp inspection的vlan中假如有手工设置地址的用户,在没有做登记之前,无法使用网络。Arp inspection配置如下:
在config的全局模式下:
ip arp inspection vlan 100,200 /*定义对哪些VLAN进行ARP报文检测*/ ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10/*定义log的参数信息*/
errdisable recovery cause arp-inspection/*定义当发现不合规则行为时不要自动关闭接口*/ 在接口上配置:
ip arp inspection trust /*定义哪些接口是信任接口,通常是网络设备接口,TRUNK接口等*/(默认是untrust)
ip arp inspection limit rate 15 (pps) /*定义接口每秒ARP报文数量*/
对于没有使用DHCP设备可以采用下面办法: arp access-list static-arp
permit ip host 10.66.227.5 mac host 0009.6b88.d387 ip arp inspection filter static-arp vlan 201 查看效果,通过 show log 可以看到类似以下信息:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 3. 配置结束,进入试运行期。在试运行期,主要需要查看汇聚交换机的dhc
p snooping表,以及log信息、cpu利用率;调查用户情况,是否有大范围无法获取地址现象或者是无法使用网络现象、登记特定手工设置地址的用户。 4. 正式投入运行。
步骤三:在DELL630笔记本上运行CAIN软件
步骤四:再次查看两台笔记本的ARP信息
DELL D630
笔记本信息如下图所示:
IBM R51
笔记本信息如下图所示:
小结:当DELL D630设置静态IP地址10.10.1.90,IBM R51通过DHCP服务获取IP地址后,为了防止DELL D630使用ARP攻击软件对IBM R51进行攻击,需要配置am mac-ip-pool 00-1C-23-06-0D-B9 10.10.1.90命令,这样才可以有效的防止ARP的攻击。
总结
本次测试主要是对神州数码DCS-3950交换机如何防止ARP攻击的两种情况进行了测试,一是所有客户端均通过DHCP方式获取IP地址,通过在交换机的接口上启用ip dhcp snooping binding user-control命令即可防止ARP的攻击。二是交换机上有一部分客户端是静态设定的IP地址,一部分是通过DHCP方式获取IP地址,为了防止静态设定IP地址的客户端进行ARP攻击,需要在接口上启用am mac-ip-pool FF-FF-FF-FF-FF-FF X.X.X.X命令即可防止ARP的攻击。
四、锐捷解决方案
4.1技术介绍
4.1.1 DHCP SNOOPING
同上,不再复述。
4.1.2 ARP CHECK
同神码方案,与DAI类似,不再复述。
4.1.3 GSN
根据锐捷厂商的建议,锐捷的arp解决方案是融合在它们的整体安全解决方案GSN之中的。锐捷接入交换机也可以做arp防护,稍后会做介绍,以下是GSN的介绍。
GSN?全局安全网络
总体而言,GSN?由锐捷安全交换机、安全客户端、安全管理平台、用户认
证系统、安全修复系统、VPN客户端、RG-WALL防火墙等多重网络元素组成,实现同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。GSN?通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。其基本原理和结构图如下:(图1 GSN?基本原理)
网络自动防御(自御)
面对复杂的网络安全行为,最有效的防御策略即是将网络安全防御技术应
用于在整个网络中,而不是在单点进行网络安全的防护部署。因为攻击源可能来自网络的任何一处,并能迅速的扩散到整个网络当中。GSN?提高了现有网络基础设施的安全防护能力,增强了终端用户的安全防护能力。
当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG-SMP)将针对这一安全事件进行判断,以确认选择调用何种安全策略来处理。安全管理平台(RG-SMP)将自动把安全策略下发到安全事件发生的网络区域,安全策略的执行者可以是锐捷网络联动设备或者安全客户端(RG-SA),根据安全事件的等级由安全管理平台(RG-SMP)判断是否需要将安全策略同步到网络的区域中,以实现全网安全。同时,安全管理平台会把针对这次安全事件的处理情况通知给用户终
端,使用户能够及时了解到网络安全环境的变化。通过这个流程,网络可以对已发生的安全行为进行完全自动化的防御措施,从而保证用户网络在受到威胁时可以迅速做出连动反应。(图2 GSN?自动防御)
网络自动修复(自愈)
随着网络连接点的不断增加,网络遭遇攻击的风险也随之增加。一旦网络
遭受攻击,所产生的严重后果不仅在于破坏本身,灾难之后的系统恢复和调试同样消耗了大量宝贵的时间和人力、财力。GSN?提供的自动修复(自愈)功能,即能够通过自动使受损系统得以恢复的方式为用户节约大量的IT技术人力资源,并保证即使在系统不断遭受攻击时,网络的大部分资源仍时刻处在正常使用状态下。
当用户终端接入网络时,锐捷安全客户端(RG-SA)会自动检测终端用户的安全状态,一旦检测到用户系统存在安全漏洞,安全管理平台(RG-SMP)会通过网络自动将受损用户从网络正常区域中隔离开来,被隔离的用户将被自动置于系统修复区域。此时用户终端上的安全客户端(RG-SA)会根据安全管理平台提供的信息自动连接到RG-RES安全修复系统上进行系统修复,修复期间系统会把受到访问控制的情况通知用户。自动修复完成,锐捷安全客户端会重新对用户系统进行评估,当用户系统安全评估完成以后,安全管理平台(RG-SMP)将通过允许用户进入网络继续工作。 (图3 GSN?自动修复)
SS3-4F-3F-3950-26-13# show ip dhcp snooping inter eth 0/0/12 interface Ethernet0/0/12 user config: trust attribute: untrust action: blackhole binding dot1x: disabled binding user: enabled recovery interval:300(s) Alarm info: 1 -------------------------------------------------------- DHCP Snooping:Ethernet0/0/12 (02:01:35:37: )action: blackhole, (02:01:40:37: )re covery action: 'del blackhole' Done blachhole VID:565 MAC: 0000.E28C.2A0C Binding info: 0 Expired Binding: 0 Request Binding: 0
3.4测试报告(DCS-3950)
文档说明:
本文档主要是对神州数码DCS-3950交换机如何防止ARP攻击进行测试,以便于用户能够更深入的了解该功能的实现过程。
测试项目 测试地点 测试DELL D630笔记本一台、IBM R51笔记本一台和DCS-3950交换机一CAIN软件(版本4.9) 某网络馆 关于DCS-3950交换机如何防止ARP攻击 设备 台(版本DCS-3950-26C_1.3.16.3) 测试软件
测试一:两台笔记本通过DHCP方式获取IP,且交换机未启用ARP防护命令
描述:将DELL D630连接E0/0/1端口,IBM R51连接E0/0/2端口,交换机的E0/0/26端口上联至校园网络。两台笔记本电脑通过DHCP服务器自动获取IP地址,然后在DELL D630上启用CAIN ARP攻击软件进行测试。
步骤一:DCS-3950交换机配置: switch#show run
Current configuration: !
hostname switch !
Vlan 1 vlan 1 ! !
Interface Ethernet0/0/1 !
Interface Ethernet0/0/2 !
Interface Ethernet0/0/3 ! ……
Interface Ethernet0/0/26 !
interface Vlan1 interface vlan 1
步骤二:将两台笔记本电脑连接至交换机指定端口并查看获取IP地址及ARP信息
DELL D630笔记本信息如下图所示:
IBM R51
笔记本信息如下图所示:
步骤三:在DELL630笔记本上运行CAIN软件
步骤四:再次查看两台笔记本的ARP信息
DELL D630笔记本信息如下图所示:
IBM R51
笔记本信息如下图所示:
小结:当DELL D630和IBM R51两台笔记本通过DHCP服务获取IP地址后,在交换机上未配置ARP防护命令时,将无法防止ARP的攻击。
测试二:两台笔记本通过DHCP方式获取IP,且交换机启用ARP防护命令
描述:将DELL D630连接E0/0/1端口,IBM R51连接E0/0/2端口,交换机的E0/0/26端口上联至校园网络。两台笔记本电脑通过DHCP服务器自动获取IP地址,然后在DELL D630上启用CAIN ARP攻击软件进行测试。
步骤一:DCS-3950交换机配置: switch#show run
Current configuration: !
hostname switch !
ip dhcp snooping enable
ip dhcp snooping binding enable !
Vlan 1
vlan 1
! !
Interface Ethernet0/0/1
ip dhcp snooping binding user-control !
Interface Ethernet0/0/2
ip dhcp snooping binding user-control !
Interface Ethernet0/0/3 ! ……
Interface Ethernet0/0/26 ip dhcp snooping trust ! !
interface Vlan1 interface vlan 1
步骤二:将两台笔记本电脑连接至交换机指定端口并查看获取IP地址及ARP信息
DELL D630
笔记本信息如下图所示:
IBM R51
笔记本信息如下图所示:
步骤三:在DELL630笔记本上运行CAIN软件
步骤四:再次查看两台笔记本的ARP信息
DELL D630
笔记本信息如下图所示:
IBM R51
笔记本信息如下图所示:
小结:当DELL D630和IBM R51两台笔记本通过DHCP服务获取IP地址后,在交换机上配置ARP防护命令时,可以有效防止ARP的攻击。
测试三:DELL D630设置静态IP,IBM R51通过DHCP方式获取IP,且交换机启用ARP防护
描述:将DELL D630连接E0/0/1端口,IBM R51连接E0/0/2端口,交换机的E0/0/26端口上联至校园网络。DELL D630设置一个静态IP地址10.10.1.90,IBM R51通过DHCP服务器自动获取IP地址,然后在DELL D630上启用CAIN ARP攻击软件进行测试。
步骤一:DCS-3950交换机配置: switch#show run
Current configuration: !
hostname switch !
ip dhcp snooping enable
ip dhcp snooping binding enable ! !
Vlan 1
vlan 1 !
am enable ! !
Interface Ethernet0/0/1 am port
am mac-ip-pool 00-1C-23-06-0D-B9 10.10.1.90 !
Interface Ethernet0/0/2
ip dhcp snooping binding user-control !
Interface Ethernet0/0/3 ! ……
Interface Ethernet0/0/26 ip dhcp snooping trust ! !
interface Vlan1 interface vlan 1
步骤二:将两台笔记本电脑连接至交换机指定端口并查看获取IP地址及ARP信息
DELL D630
笔记本信息如下图所示:
IBM R51
笔记本信息如下图所示: