當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

網(wǎng)絡(luò)安全有效的阻擋ARP中間人攻擊

http://m.yibo1263.com　2009/2/7 8:47:49 　來源:東北IT網(wǎng) 　編輯:葉子

　　ARP入侵檢測功能

　　ARP入侵檢測功能工作機(jī)制

　　為了防止ARP中間人攻擊，接入交換機(jī)支持將收到的ARP(請求與回應(yīng))報(bào)文重定向到CPU，結(jié)合DHCP Snooping安全特性來判斷ARP報(bào)文的合法性并進(jìn)行處理，具體如下。

　　當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配，且ARP報(bào)文的入端口及其所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)一致，則為合法ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。

　　當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不匹配，或ARP報(bào)文的入端口，入端口所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不一致，則為非法ARP報(bào)文，直接丟棄，并通過Debug打印出丟棄信息提示用戶。

　　 ARP

　　ARP入侵檢測功能示意圖

　　手工配置IP靜態(tài)綁定表項(xiàng)

　　DHCP Snooping表只記錄了通過DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息，如果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會(huì)被DHCP Snooping表記錄，因此不能通過基于DHCP Snooping表項(xiàng)的ARP入侵檢測，導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。

　　為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡(luò)，交換機(jī)支持手工配置IP靜態(tài)綁定表的表項(xiàng)，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。以便正常處理該用戶的報(bào)文。

　　ARP信任端口設(shè)置

　　由于實(shí)際組網(wǎng)中，交換機(jī)的上行口會(huì)接收其他設(shè)備的請求和應(yīng)答的ARP報(bào)文，這些ARP報(bào)文的源IP地址和源MAC地址并沒有在DHCP Snooping表項(xiàng)或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請求和應(yīng)答報(bào)文能夠通過ARP入侵檢測問題，交換機(jī)支持通過配置ARP信任端口，靈活控制ARP報(bào)文檢測功能。對于來自信任端口的所有ARP報(bào)文不進(jìn)行檢測，對其它端口的ARP報(bào)文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測。

本新聞共3頁,當(dāng)前在第2頁 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·維修電腦也有禮送哦

·美國國家網(wǎng)絡(luò)安全中心負(fù)責(zé)人辭職

·三種開源方式可實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全

·企業(yè)用戶防御網(wǎng)絡(luò)威脅的十大要素

·無線網(wǎng)絡(luò)安全設(shè)置五種不可不知方法

·用戶容易忽視的網(wǎng)絡(luò)安全錯(cuò)誤操作

·讓網(wǎng)絡(luò)訪問時(shí)能兼顧速度與安全

·無線最大漏洞未安裝所有安全選項(xiàng)

·簡單六步提高企業(yè)無線網(wǎng)絡(luò)安全性

·SSL保障企業(yè)網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定與安全

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费