ARP***和DAI

一、 ARP ***原理:
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。

ARP***就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,***者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人***。
ARP***主要是存在于局域网网络中,局域网中若有一台计算机感染ARP***,则感染该ARP***的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
***者向电脑A发送一个伪造的ARP响应,告诉电脑A:电脑B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03,电脑A信以为真,将这个对应关系写入自己的ARP缓存表中,以后发送数据时,将本应该发往电脑B的数据发送给了***者。同样的,***者向电脑B也发送一个伪造的ARP响应,告诉电脑B:电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,电脑B也会将数据发送给***者。
至此***者就控制了电脑A和电脑B之间的流量,他可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。
为了解决ARP***问题,可以在网络中的交换机上配置802.1x协议。
IEEE 802.1x是基于端口的访问控制协议,它对连接到交换机的用户进行认证和授权。在交换机上配置802.1x协议后,***者在连接交换机时需要进行身份认证(结合MAC、端口、帐户、VLAN和密码等),只有通过认证后才能向网络发送数据。***者未通过认证就不能向网络发送伪造的ARP报文。


二、***演化
初期:ARP欺骗
这种有目的的发布错误ARP广播包的行为,被称为ARP欺骗。ARP欺骗,最初为***所用,成为***窃取网络数据的主要手段。***通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成别人的电脑,这样原本发往其他电脑的数据,就发到了***的电脑上,达到窃取数据的目的。

中期:ARP恶意***
后来,有人利用这一原理,制作了一些所谓的“管理软件”,例如网络剪刀手、执法官、终结者等,这样就导致了ARP恶意***的泛滥。往往使用这种软件的人,以恶意破坏为目的,多是为了让别人断线,逞一时之快。
特别是在网吧中,或者因为商业竞争的目的、或者因为个人无聊泄愤,造成恶意ARP***泛滥。
随着网吧经营者摸索出禁用这些特定软件的方法,这股风潮也就渐渐平息下去了。

现在:综合的ARP***
最近这一波ARP***潮,其目的、方式多样化,冲击力度、影响力也比前两个阶段大很多。
首先是病毒加入了ARP***的行列。以前的病毒***网络以广域网为主,最有效的***方式是DDOS***。但是随着防范能力的提高,病毒制造者将目光投向局域网,开始尝试ARP***,例如最近流行的威金病毒,ARP***是其使用的***手段之一。
相对病毒而言,盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗,同时又会影响到其他电脑上网。

三、遭受***:
ARP欺骗***的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗***只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该***发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是***的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
基于ARP协议的这一工作特性,***向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP***的计算机会出现两种现象:

1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。
2.计算机不能正常上网,出现网络中断的症状。
因为这种***是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种***。

四、DAI技术:
ARP防范在全部是Cisco交换网络里,可以通过绑定每台设备的ip和mac地址可以解决.但是这样做比较麻烦,可以用思科 Dynamic ARP Inspection 机制解决.

思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定, 并动态建立绑定关系.
DAI 以 DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现.
DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭.通过DAI可以控制某个端口的ARP请求报文数量.
通过这些技术可以防范"中间人"***.

五、DAI部署:
switch(config)#ip dhcp snooping vlan 7
switch(config)#ip dhcp snooping information option /默认
switch(config)#ip dhcp snooping
switch(config)#ip arp inspection vlan 7
/
定义对哪些 VLAN 进行 ARP 报文检测
switch(config)#ip arp inspection validate src-mac dst-mac ip
/对源,目mac和ip地址进行检查
switch(config-if)#ip dhcp snooping limit rate 10
switch(config-if)#ip arp inspection limit rate 15 /
定义接口每秒 ARP 报文数量
switch(config-if)#ip arp inspection trust /*信任的接口不检查arp报文,默认是检测

六、实施DAI后的效果:
在配置 DAI技术的接口上,如果没有进行静态绑定,用户端不能采用指定静态地址的方式将接入网络。
由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人***,***工具失效。

下表为实施中间人***是交换机的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16,
vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
由于对 ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,
交换机马上报警或直接切断扫描机器。如下表所示:
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. **报警
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state **切断端口
I49-4500-1#.....sh int f.5/30
FastEthernet5/30 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
I49-4500-1#......

用户获取 IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的报警:

3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30,
vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])。

原文地址:http://blog.51cto.com/ligtt/2311911

时间: 2024-11-08 23:53:28

ARP***和DAI的相关文章

DHCP-Snooping与DAI

DHCP-Snooping与DAI 简介 DHCP-Snooping(DHCP窥探): 当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息.另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口.信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃.这样,可以完成交换机对假冒DHCP Server的屏蔽作

交换机安全

PVLAN PVLAN端口了类型 1.孤立端口(Lsolated):孤立端口完全与同一个PVLAN中的其他端口相隔离,唯一的例外是它能与杂合端口进行通信.PVLAN会阻塞所有去往孤立端口的流量,只有从杂合端口发过来的流量才会放行.而孤立端口收到的流量也之会发生给杂合端口 2.杂合端口(Promiscuous):杂合端口可以与所有VLAN中的端口进行通信,包括团体端口和孤立端口.杂合端口只是主VLAN的一部分,但是每个杂合端口都可以对应一个以上的辅助VLAN.杂合端口一般是路由器端口.备份或共享的

交换机防范典型的欺骗和二层攻击

1. MAC/CAM攻击的防范 1.1MAC/CAM攻击的原理和危害 1.2典型的病毒利用MAC/CAM攻击案例 1.3使用 Port Security feature 防范MAC/CAM攻击 1.4配置 1.5使用 其它技术 防范MAC/CAM攻击 2. DHCP攻击的防范     2.1采用DHCP管理的常见问题: 2.2DHCP Snooping技术概况 2.3基本防范 2.4高级防范 3. ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范     3.1 MIT

Cisco 绑定mac地址

在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址. 1.方案1——基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令: ng=1 cellPadding=0 width="80%" align=left bgColor=#cccccc border=0> Sw

交换安全三宝(DHCP Snooping+IPSG+DAI)简单实验

1 实验拓扑图 2 DHCP Snooping 2.1 基本DHCP Snooping配置: C2960#show running-config Building configuration... ! ipdhcp snooping vlan 10 ipdhcp snooping ! interface FastEthernet0/1 description ---Connected to DHCP_Server --- switchportaccess vlan 10 switchport m

图解ARP协议(三)ARP防御篇-如何揪出"内鬼"并"优雅的还手"

一.ARP防御概述 通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击.流量被限.账号被窃的危险.由于攻击门槛非常低,普通人只要拿到攻击软件就可以扰乱网络秩序,导致现在的公共网络.家庭网络.校园网.企业内网等变得脆弱无比. 所以,如何进行有效的ARP防御?作为普通用户怎么防御?作为网络/安全管理员又怎么防御?有哪些ARP防御软件?如果被ARP攻击了,如何揪出"内鬼",并"优雅的还手"?

数据链路层安全之动态arp检测

动态ARP检测(DAI)介绍 动态arp检测(DAI),是一种验证网络中arp报文的安全特性.启用DAI的端口会检测所有arp报文,转发合法的arp报文,对于违规的arp报文进行拦截.记录和丢弃,这样就有效的防范了ARP攻击以及ARP欺骗. DAI技术会根据dhcp监听生成的dhcp绑定表以及IP源防护中静态配置的静态IP源绑定表的内容对ARP报文进行检测.当arp报文中的MAC地址和IP 地址的绑定关系和dhcp监听绑定表或IP源防护配置的静态绑定条目不匹配,或者arp报文进入的端口.VLAN

DAI实验

实验四: DAI 1.实验三的基础上做此实验 2.SW1上启用DAI, 并且把Fa0/23指定成Trust.清除R1的ARP表项. 3.在R1上ping10.10.1.4/10.10.1.3 观察现象,思考原因. R1ping 10.10.1.4,首先发送ARP解析10.10.1.4的MAC.SW1收到之后ARPInspection通过(因为有DHCPSnooping表项).SW1会正常处理ARP,最终泛洪到R4. R4回复ARPReply, SW1从Trust接口收到ARPReply.所以,R

交换机安全 802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN

端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping cisco所有局域网缓解技术都在这里了! 常用的方式: 1.802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全: 很多名字,有些烦 当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持80