ARP 攻击防御
2015-06-06 15:59
288 查看
交换机要防御ARP攻击,就必须能够识别并读取ARP报文内容,
然后根据报文内容判断是否存在欺骗攻击行为,对于ARP欺骗报文进行丢弃处理。在接入层就是利用接入交换机的ARP入侵检测(ARP Intrusion Inspection)功能,进行ARP欺骗攻击防御。
ARP入侵检测在接入交换机进行部署,接入交换机同时启用DHCP Snooping对DHCP报文进行监测。
DHCP Snooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息,并形成一个DHCP Snooping绑定表。
交换机端口接收到的ARP报文后,通过查找DHCP Snooping建立的绑定关系表,来判断ARP应答报文的发送者源IP、源MAC是否合法。若ARP报文中的发送者源MAC、IP匹配绑定表中的内容,则
认为是合法的报文,允许通过;否则认为是欺骗攻击报文,就进行丢弃。ARP入侵检测能够防止接入终端发起任何ARP欺骗攻击,如果全网部署AII功能,可有效解决ARP欺骗攻击问题。另外由于ARP欺骗攻击,经常伴随者发送大量的ARP报文,消耗网络带宽资源和交换机CPU资源,造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速,对每个端口单位时间内接收到的ARP报文进行限制,很好地保障了网络带宽资源和交换机CPU资源。
交换机要防御ARP攻击,就必须能够识别并读取ARP报文内容,
然后根据报文内容判断是否存在欺骗攻击行为,对于ARP欺骗报文进行丢弃处理。在接入层就是利用接入交换机的ARP入侵检测(ARP Intrusion Inspection)功能,进行ARP欺骗攻击防御。
ARP入侵检测在接入交换机进行部署,接入交换机同时启用DHCP Snooping对DHCP报文进行监测。
DHCP Snooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息,并形成一个DHCP Snooping绑定表。
交换机端口接收到的ARP报文后,通过查找DHCP Snooping建立的绑定关系表,来判断ARP应答报文的发送者源IP、源MAC是否合法。若ARP报文中的发送者源MAC、IP匹配绑定表中的内容,则
认为是合法的报文,允许通过;否则认为是欺骗攻击报文,就进行丢弃。ARP入侵检测能够防止接入终端发起任何ARP欺骗攻击,如果全网部署AII功能,可有效解决ARP欺骗攻击问题。另外由于ARP欺骗攻击,经常伴随者发送大量的ARP报文,消耗网络带宽资源和交换机CPU资源,造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速,对每个端口单位时间内接收到的ARP报文进行限制,很好地保障了网络带宽资源和交换机CPU资源。
相关文章推荐
- view 渐变效果
- CStatic控件背景透明且改变其文本时,文字重叠解决方法
- ubuntu 安装 BOOST
- iOS 蓝牙4.0相关资料
- 关于Fragment API版本兼容问题
- hdu1010 Tempter of the Bone
- 第十四周项目1(1)-小玩文件
- grails不能调试
- cocos2d-x lua 使用http(下载图片, POST JSON)
- 一致代码段和非一致代码段
- iOS给图片(其他view) 添加点击事件
- 黑马程序员——Java基础-----正则表达式
- 新浪微博产品管培生求职之路——微博产品体验报告
- postgre复制表数据
- jquery mobile基础
- UGUI - ScrollView
- 【后缀自动机】[SPOJ LCS2]Longest Common Substring II
- 第十四周项目 处理C++源代码的程序
- C++ CSTRINGLIST用法
- leetcode--Rotate Image