資源描述:
《arp 攻擊與防御(動態(tài) arp 檢測)》由會員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1��、ARP攻擊與防御(動態(tài)ARP檢測)【實(shí)驗(yàn)名稱】ARP攻擊與防御(動態(tài)ARP檢測)【實(shí)驗(yàn)?zāi)康摹渴褂媒粨Q機(jī)的DAI(動態(tài)ARP檢測)功能增強(qiáng)網(wǎng)絡(luò)安全性【背景描述】某企業(yè)的網(wǎng)絡(luò)管理員發(fā)現(xiàn)最近經(jīng)常有員工抱怨無法訪問互聯(lián)網(wǎng)�,經(jīng)過故障排查后,發(fā)現(xiàn)客戶端PC上緩存的網(wǎng)關(guān)的ARP綁定條目是錯誤的,從此現(xiàn)象可以判斷出網(wǎng)絡(luò)中可能出現(xiàn)了ARP欺騙攻擊��,導(dǎo)致客戶端PC不能獲取正確的ARP條目�����,以至不能夠訪問外部網(wǎng)絡(luò)�。如果通過交換機(jī)的ARP檢查功能解決此問題,需要在每個接入端口上配置地址綁定����,工作量過大,因此考慮采用DAI功能解決ARP欺騙攻擊的
2�����、問題��?!拘枨蠓治觥緼RP欺騙攻擊是目前內(nèi)部網(wǎng)絡(luò)中出現(xiàn)最頻繁的一種攻擊。對于這種攻擊�����,需要檢查網(wǎng)絡(luò)中ARP報文的合法性��。交換機(jī)的DAI功能可以滿足這個要求,防止ARP欺騙攻擊���?!緦?shí)驗(yàn)拓?fù)洹俊緦?shí)驗(yàn)設(shè)備】二層交換機(jī)1臺(支持DHCP監(jiān)聽與DAI)三層交換機(jī)1臺(支持DHCP監(jiān)聽與DAI)PC機(jī)3臺(其中1臺需安裝DHCP服務(wù)器�����,另1臺安裝ARP欺騙攻擊工具WinArpSpoofer(測試用))【預(yù)備知識】交換機(jī)轉(zhuǎn)發(fā)原理交換機(jī)基本配置DHCP監(jiān)聽原理DAI原理ARP欺騙原理【實(shí)驗(yàn)原理】交換機(jī)的DAI功能可以檢查端口收到的ARP報
3�、文的合法性,并可以丟棄非法的ARP報文����,防止ARP欺騙攻擊?����!緦?shí)驗(yàn)步驟】第一步:配置DHCP服務(wù)器將一臺PC配置為DHCP服務(wù)器����,可以使用WindowsServer配置DHCP服務(wù)器����,或者使用第三方DHCP服務(wù)器軟件�����。DHCP服務(wù)器中的地址池為172.16.1.0/24��。第二步:SW2基本配置及DHCP監(jiān)聽配置(接入層)Switch#configureSwitch(config)#hostnameSW2SW2(config)#vlan2SW2(config-vlan)#exitSW2(config)#interfacer
4�、angefastEthernet0/1-2SW2(config-if-range)#switchportaccessvlan2SW2(config-if-range)#exitSW2(config)#interfacefastEthernet0/24SW2(config-if)#switchportmodetrunkSW2(config-if)#exitSW2(config)#ipdhcpsnoopingSW2(config)#interfacefastEthernet0/24SW2(config-if)#ipdhcps
5���、noopingtrustSW2(config-if)#endSW2#第三步:SW1基本配置����、DHCP監(jiān)聽配置及DHCPRelay配置(分布層)Switch#configureSwitch(config)#hostnameSW1SW1(config)#interfacefastEthernet0/24SW1(config-if)#switchportmodetrunkSW1(config-if)#exitSW1(config)#vlan2SW1(config-vlan)#exitSW1(config)#interfacev
6����、lan2SW1(config-if)#ipaddress172.16.1.1255.255.255.0SW1(config-if)#exitSW1(config)#vlan100SW1(config-vlan)#exitSW1(config)#interfacevlan100SW1(config-if)#ipaddress10.1.1.2255.255.255.0SW1(config-if)#exitSW1(config)#interfacefastEthernet0/1SW1(config-if)#switchport
7、accessvlan100SW1(config-if)#exitSW1(config)#ipdhcpsnooping���!啟用DHCPsnooping功能SW1(config)#interfacefastEthernet0/1SW1(config-if)#ipdhcpsnoopingtrust�����!配置F0/1端口為trust端口SW1(config-if)#exitSW1(config)#interfacefastEthernet0/24SW1(config-if)#ipdhcpsnoopingtrust�!配置F0/24端口為
8����、trust端口SW1(config-if)#exitSW1(config)#servicedhcpSW1(config)#iphelper-address10.1.1.1�!配置DHCP中繼��,指明DHCP服務(wù)器地址SW1(config)#endSW1#第四步:驗(yàn)證測試確保DHCP服務(wù)器可以正常工作��。將客戶端PC1和PC
