今日頭條
官方微信
官方抖音
案例頻道
1、什么是arp攻擊?
arp攻擊就是通過偽造IP地址和MAC地址實現arp欺騙,能夠在網絡中產生大量的arp通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的arp響應包就能更改目標主機arp緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。
當局域網內某臺主機運行arp欺騙的木馬程序時,會欺騙局域網內所有主機和交換機,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過交換機上網轉由通過病毒主機上網,切換的時候用戶會斷一次線。
2、卓越信通TSC系列工業以太網交換機如何預防arp攻擊?
個人用戶利用安裝終端arp防火墻和殺毒軟件可以預防arp攻擊,但是此防御措施無法避免外來用戶的侵入或大面積網絡出現通信中斷及無法訪問互聯網的情況。此時我們可以利用交換機的MAC-IP地址綁定做好攻擊預防,其中TSC系列工業以太網交換機的PT、Carat、Comet等產品系列均可以做到這一點。
具體配置如下:interface Fa0/1
switchport port-security bingip mac
這樣做了以上配置后,偽裝的MAC或IP的數據報文會被過濾掉,大大減少了攻擊的隱患。
3、當arp攻擊發生了的情況,如何利用交換機查找arp攻擊源?
以下是某個網絡系統上發生的arp攻擊案例,現場利用PT35系列交換機查找攻擊源,步驟如下:
(1)現象描述:
首先通過現場上網行為管理設備查到一些綁定的IP和MAC地址不一致,且這些地址的MAC是同一個MAC(不是真正機器的MAC地址),此時這些PC上不去網。
(2)分析原因:此現象為arp攻擊
(3)解決方法:
1)首先通過上網行為管理查到一些IP地址共同對應的MAC地址記下來;
2)其次登錄到中心交換機里面(之前的交換機配置中提到了如何登陸到交換機,如果攻擊的對象一直攻擊,它的MAC地址就一直存在);
PT35>enable
PT35#show mac address-table | beginxx-xx-xx-xx-xx-xx (有問題的MAC地址)
出現以上信息的話,可以了解到vlan 706只在g8/2被允許通過,所以接下來在g8/2下的所有的交換機下面首先登陸到172.30.106.2與中心直連的交換機車站地址進行配置:
PT35-1#show mac address-table | beginxx-xx-xx-xx-xx-xx
此時可以看到此MAC地址從哪個端口學習過來的以此向下面的交換機執行此命令知道交換機下面的MAC地址對應的端口為除G1/1,G1/2,G2/1,G2/2(這幾個端口問trunk口屬于交換機級聯端口)端口以外的端口的時候停止,此端口就是攻擊的端口,把端口應該shutdown ,然后再找到此設備進行終端排查。
以下為找到了攻擊源所在的交換機:
Switch>enable
Switch#
Switch#config
Switch_config#interfaceFastEthernet0/1
Switch_config_F0/1#shutdown
北京市公安局海淀分局備案號:11010802023656號