當前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

網(wǎng)絡(luò)安全有效的阻擋ARP中間人攻擊

http://m.yibo1263.com　2009/2/7 8:47:49 　來源:東北IT網(wǎng) 　編輯:葉子

　　ARP入侵檢測功能

　　ARP入侵檢測功能工作機制

　　為了防止ARP中間人攻擊，接入交換機支持將收到的ARP(請求與回應(yīng))報文重定向到CPU，結(jié)合DHCP Snooping安全特性來判斷ARP報文的合法性并進行處理，具體如下。

　　當ARP報文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項匹配，且ARP報文的入端口及其所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項一致，則為合法ARP報文，進行轉(zhuǎn)發(fā)處理。

　　當ARP報文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項不匹配，或ARP報文的入端口，入端口所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項不一致，則為非法ARP報文，直接丟棄，并通過Debug打印出丟棄信息提示用戶。

　　 ARP

　　ARP入侵檢測功能示意圖

　　手工配置IP靜態(tài)綁定表項

　　DHCP Snooping表只記錄了通過DHCP方式動態(tài)獲取IP地址的客戶端信息，如果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會被DHCP Snooping表記錄，因此不能通過基于DHCP Snooping表項的ARP入侵檢測，導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。

　　為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡(luò)，交換機支持手工配置IP靜態(tài)綁定表的表項，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。以便正常處理該用戶的報文。

　　ARP信任端口設(shè)置

　　由于實際組網(wǎng)中，交換機的上行口會接收其他設(shè)備的請求和應(yīng)答的ARP報文，這些ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooping表項或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請求和應(yīng)答報文能夠通過ARP入侵檢測問題，交換機支持通過配置ARP信任端口，靈活控制ARP報文檢測功能。對于來自信任端口的所有ARP報文不進行檢測，對其它端口的ARP報文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進行檢測。

本新聞共3頁,當前在第3頁 1 2 3

【收藏】【打印】【進入論壇】

相關(guān)文章：

·維修電腦也有禮送哦

·美國國家網(wǎng)絡(luò)安全中心負責人辭職

·三種開源方式可實現(xiàn)企業(yè)網(wǎng)絡(luò)安全

·企業(yè)用戶防御網(wǎng)絡(luò)威脅的十大要素

·無線網(wǎng)絡(luò)安全設(shè)置五種不可不知方法

·用戶容易忽視的網(wǎng)絡(luò)安全錯誤操作

·讓網(wǎng)絡(luò)訪問時能兼顧速度與安全

·無線最大漏洞未安裝所有安全選項

·簡單六步提高企業(yè)無線網(wǎng)絡(luò)安全性

·SSL保障企業(yè)網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定與安全

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费