DAI(动态ARP监控技术)和IP Source Guard.docx
《DAI(动态ARP监控技术)和IP Source Guard.docx》由会员分享,可在线阅读,更多相关《DAI(动态ARP监控技术)和IP Source Guard.docx(17页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、DAI(动态ARP监控技术)和IPSourceGuardDAI(动态ARP监控技术)和IPSourceGuard一、ARPPoisoning(ARP毒化技术)正常情况下PC-A是正常PC,路由器是我们的网关,正常情况下PC-A作一个ARPRequest请问10.1.1.1这个网关的MAC地址是多少,网关正常就会回网关是10.1.1.1,MAC地址是C.C.C.C,PC-A会有一个正常的ARP条目:这样PC-A就能够正常把流量交给网关了就上网了,但是如今PC-B这个攻击者作了ARP毒化的处理,它会伪装网关给PC-A发送一个免费ARP毒化PC-A的ARP的映射表项,让PC-A的ARP映射表项映射为
2、这个时候PC-A上网的流量就会送给PC-B,然后PC-B代理交给服务器,同样PC-B还会作一个毒化ARP的映射去毒化网关的ARP讲10.1.1.2的MAC地址是B.B.B.B,这样网关回的包也会绕到PC-B,这样去回的包都要受攻击者来控制。毒化的经过1ARP这种解析是后到者优先,当你们正常合法的映射已经完成时,攻击者就会作一个免费ARP的Replies来毒化你们的ARP的缓存。2免费ARP:免费ARP有好处,也有坏处的。免费ARP好处:比方我一个PC的地址设置为1.1.1.1,当我开机的时候可能会弹出一个报错,什么MAC地址跟我的IP址重叠,这是怎么发现的呢?比方PC开机就会发送一个免费ARP
3、,免费ARP的内容是请问1.1.1.1的MAC地址是多少,本人问本人IP地址的MAC地址是多少,它不希望任何人能够回应这个,假如没有人回应MAC地址就没有重叠,假如有人回应了讲我是1.1.1.1我的MAC地址是什么什么,这时PC就会报一个错讲这个MAC地址它的IP地址和我的重叠了,这是免费ARP的好处。免费ARP的坏处:ARP这种解析是后到者优先,当你们正常合法的映射已经完成时,攻击者就会作一个免费ARP的Replies来毒化你们的ARP的缓存。二、启用DAI动态ARP监控技术能够抵御这种ARP毒化攻击1能保护ARP毒化的攻击2DAI技术需要使用DHCPSnooping的绑定表,就是利用这个绑
4、定表的资源来判定这个ARP是正确的,还是有问题的3这个绑定表是通过来追踪整个DHCP一个经过构建起来的,了解到是合法IP和MAC地址的映射,这样我基于这个绑定表作DAI抵御ARP的欺骗。4会丢掉那些有问题的免费ARP的包5会抵御由于ARP毒化所造成中间人攻击6对ARP的包进行限速,抵御端口的扫描攻击关于DAI(1)DAI关联每一个接口为Trust或Untrust(2)被配置为DAI的trust接口,就是所有ARP都不校验(3)被配置为DAI的Untrust接口,它对所有ARP的包要通过DAI校验,校验每一个ARP的包是不是映射正确,映射正确过,映射不正确丢掉(4)DHCPSnooping这个绑
5、定表是非常重要的,由于我们怎样来确认什么是正确的IP和MAC映射就基于这个绑定表的内容来确认。5一般面向普通客户的接口被配置成Untrust,上的接口配置成trust.三、DAI的配置1仍然的配置IPDHCPSnooping,仍然要在某些VLAN上启用。R1(config)#intf0/0R1(config-if)#noshR2(config)#intf0/0/R2的这个接口手工配置一个IP地址R2(config-if)#ipadd10.1.1.2255.255.255.0R2(config-if)#noshR2(config-if)#endSW1(config)#vlan2SW1(confi
6、g-vlan)#exitSW1(config)#intrangef0/1,f0/2SW1(config-if-range)#switchmodeaccessSW1(config-if-range)#switchaccessvlan2SW1(config-if-range)#exitSW1(config)#intvlan2SW1(config-if)#ipadd10.1.1.254255.255.255.0SW1(config-if)#end在交换机上配置DHCP服务器SW(config)#servicedhcp/默以为启用DHCP服务SW(config)#ipdhcppoolVLAN2SW(d
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DAI动态ARP监控技术和IP Source Guard DAI 动态 ARP 监控 技术 IP
限制150内