luda ARP攻击是通过伪造IP地址和MAC地址来执行ARP欺骗。网络生成大量ARP广播数据包,可能会导致网络拥塞。攻击者只需不断发送伪造的RP响应数据包,就可以提高大象主机ARP缓存中的IP-MAC条目。引起网络中断或中间人攻击。
ARP类型:一般ARP、代理ARP、免费ARP
免费ARP用途:
1更新DHCP地址后,向网段中的所有节点发送免费ARP请求,以替换IP地址,从而更新ARP表条目。
2.用于检测网段内是否有人使用了与我相同的IP地址。
用于ARP攻击。
解决方法:
1.静态绑定IP地址和MAC地址
R1(配置)# ARP 192 . 168 . 100 . 2 AAAA . bbbb . cccc fast Ethernet 0/1
缺陷:如果地址是通过DHCP自动获得的,那么到了租赁期限,绑定将失效,状态重新发送数据包将请求IP地址。也不会分配给IP地址。可扩展性差。
2.动态ARP检查动态ARP监视,开关打开。
动态ARP检查(DAI)动态ARP监控,用于基于VLAN的保护机制
如果交换机打开DAI,则交换机上的所有接口都是untrusted接口(与DHCP snooping一样),untrusted接口在接收ARP或ARP磁带时提取ARP请求和响应的L3或L2地址,并与DHCP binding database中的信息进行比较。
如果交换机接口手动配置为trusted接口,则在收到RP请求或ARP响应时,不会与DHCP binding database中的信息进行比较。如果信息是正方形的,非法的话,就会立即销毁。
因此,在网络拓扑结构中,交换机连接到PC的接口必须设置为untrusted接口,交换经济互连,延缓和连接合法DHCP服务器的接口必须设置为trusted接口。
在交换机全局模式下启动DAI
Sw1(配置)# IP ARP inspection VLAN 20
Sw2(配置)# IP ARP inspection VLAN 200
将中继链路的接口设置为trusted接口
Sw1(配置)# interface FastEthernet 0/1
Sw1(配置-if) # IP ARP inspection trust
Sw2(配置)# interface FastEthernet 0/2
Sw2(配置-if) # IP ARP inspection trust
配置DAI的基本步骤:
1:部署DHCP。2:部署DHCP Snooping 3:部署DAI 4:将中继接口和DHCP服务器连接接口设置为trusted接口,并限制连接的PC接口接受ARP消息的速度
ARP消息rate limit
基本DAI untrust接口的rate limit完全不受15个P/S(即15pps、trust接口)的限制,可以通过iparp inspection limit接口级别的命令进行修改。
接口收到ARP消息后,接口将进入err-disable。端口将自动关闭。可以使用no shutdown重新恢复界面。或者。全局命令errdisble recovery可用于在一定时间间隔后自动恢复界面
Sw1(配置)# interface FastEthernet 0/1
sw1(config-if)# IP ARP inspection limitrate 20
将接口允许的ARP消息的速度限制为20P/S
如果接口设置为err-disable状态,则静默响应时间为30S
Sw1(配置)# err disable recover cause ARP-inspection
Sw1(配置)# errdisable recovery interval 30