為交換機防止同網(wǎng)段ARP欺騙攻擊配置案_第1頁
為交換機防止同網(wǎng)段ARP欺騙攻擊配置案_第2頁
為交換機防止同網(wǎng)段ARP欺騙攻擊配置案_第3頁
為交換機防止同網(wǎng)段ARP欺騙攻擊配置案_第4頁
為交換機防止同網(wǎng)段ARP欺騙攻擊配置案_第5頁
已閱讀5頁,還剩1頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、華為三康技術有限公司Huawei-3Com Technologies Co., Ltd.文檔編號 Document ID密級 Confidentiality level內部公開文檔狀態(tài) Document StatusDraft1.0共 6頁 Total 6 pages防止同網(wǎng)段arp攻擊典型配置案例擬制Prepared by 作者: 吳元寶工號:02983Date日期2006-03-30評審人Reviewed by Date日期yyyy-mm-dd批準Approved byDate日期yyyy-mm-dd 華為三康技術有限公司Huawei-3Com Technologies Co., Ltd.

2、版權所有 侵權必究All rights reserved修訂記錄 Revision Record 日期Date修訂版本Revision Version修改章節(jié)Sec No. 修改描述Change Description作者Author2006-03-301.00V1稿完成吳元寶1阻止仿冒網(wǎng)關IP的arp攻擊41.1二層交換機41.1.1配置組網(wǎng)41.1.2防攻擊配置舉例41.2三層交換機51.2.1配置組網(wǎng)51.2.2防攻擊配置舉例52仿冒他人IP的arp攻擊51 阻止仿冒網(wǎng)關IP的arp攻擊1.1 二層交換機1.1.1 配置組網(wǎng) 圖13552P是三層設備,其中ip:100.1.1.1是所有p

3、c的網(wǎng)關,3552P上的網(wǎng)關mac地址為000f-e200-3999。PC-B上裝有arp攻擊軟件。現(xiàn)在需要對3026_A進行一些特殊配置,目的是過濾掉仿冒網(wǎng)關IP的arp報文。1.1.2 防攻擊配置舉例對于二層交換機如3026c等支持ACL number為5000到5999的交換機,可以配置acl來進行報文過濾。(1)全局配置deny 所有源IP是網(wǎng)關的arp報文(自定義規(guī)則)ACL num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff

4、 34rule0目的:把整個3026C_A端口冒充網(wǎng)關的ARP報文禁掉,其中藍色部分64010101是網(wǎng)關ip地址的16進制表示形式:100.1.1.1=64010101。rule1目的:把上行口的網(wǎng)關ARP報文允許通過,藍色部分為網(wǎng)關3552的mac地址000f-e200-3999。注意配置Rule時的配置順序,上述配置為先下發(fā)后生效的情況。在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則:S3026C-Apacket-filter user-group 5000 這樣只有3026C_A上連設備能夠下發(fā)網(wǎng)關的ARP報文,其它pc就不能發(fā)送假冒網(wǎng)關的arp響應報文。1.2 三層交換機1.2.1 配置組

5、網(wǎng)圖21.2.2 防攻擊配置舉例對于三層設備,需要配置過濾源IP是網(wǎng)關的arp報文的acl規(guī)則,配置如下acl規(guī)則:ACL num 5000 rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0目的:把所有3526E端口冒充網(wǎng)關的ARP報文禁掉,其中藍色部分64010105是網(wǎng)關ip地址的16進制表示形式:100.1.1.5=64010105。2 仿冒他人IP的arp攻擊作為網(wǎng)關的設備有可能會出現(xiàn)arp錯誤表項,因此在網(wǎng)關設備上還需對仿冒他人IP的arp攻擊報文進行過濾。如圖1,當PC-B發(fā)送源IP地址為PC-D的arp reply攻擊報文,源m

6、ac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是網(wǎng)關(3552P)的,這樣3552上就會學習錯誤的arp,如下所示:-  錯誤 arp 表項 -IP Address MAC Address VLAN ID Port Name Aging Type100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 DynamicPC-D的arp表項應該學習到端口e0/8上,而不應該學習到e0/2端口上。在3552上配置靜態(tài)arp,可以防止該現(xiàn)象:arp static 100.1.1.3 000f-3d81-45b4 1 e0/8同理,在圖2 S3526C上也可以配置靜態(tài)arp來防止設備學習到錯誤的arp表項。對于二層設備(3050和3026E系列),除了可以配置靜態(tài)arp外,還可以配置IPmacport綁定,比如在3026C端口4上作如下操作:am user-bind ip-addr 100.1.1.4 mac-addr

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論