查看完整版本: Cisco-ARP个人整理 经典实用!希望给楼下一个帮助

Cisco-ARP个人整理 经典实用!希望给楼下一个帮助

[size=6][color=magenta][font=黑体][b][font=宋体][size=12pt]1．
[/size][/font][/b][b][font=宋体][size=12pt]MAC/CAM[/size][/font][/b][b][font=宋体][size=12pt]攻击的原理和危害 [/size][/font][/b][/font][/color][/size]
[size=6][color=magenta][font=黑体][b][font=宋体]
[/font][/b][color=magenta][font=宋体][size=9pt]MAC/CAM [/size][/font][font=宋体][size=9pt]攻击是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后，流量以洪泛方式发送到所有接口，也就代表 TRUNK 接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。 [/size][/font][/color][/font][/color][/size]
[size=6][font=黑体][color=magenta][b][font=宋体][size=12pt]1[/size][/font][/b][b][font=宋体][size=12pt]．1使用 Port Security feature 防范MAC/CAM攻击[/size][/font][/b][/color][/font][/size]
[size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]Cat4507(config)#int fastEthernet 3/48
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]Cat4507 (config-if)#switchport port-security
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]Cat4507 (config-if)#switchport port-security maximum 2
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]Cat4507 (config-if)#switchport port-security violation protect
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]Cat4507 (config)#errdisable recovery cause psecure-violation
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]Cat4507 (config)#errdisable recovery interval 30
[/size][/font][b][font=宋体][size=14pt]2[/size][/font][/b][b][font=宋体][size=14pt]．DHCP攻击[/size][/font][/b][/color][/font][/size]
[size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]DHCP server [/size][/font][font=宋体][size=9pt]的冒充、[/size][/font][font=Tahoma][size=9pt]DHCP server [/size][/font][font=宋体][size=9pt]的[/size][/font][font=Tahoma][size=9pt] Dos [/size][/font][font=宋体][size=9pt]攻击、[/size][/font]
[font=宋体][size=9pt]有些用户随便指定地址，造成网络地址冲突。攻击是首先将正常的[/size][/font][font=Tahoma][size=9pt] DHCP [/size][/font][font=宋体][size=9pt]服务器所能分配的[/size][/font][font=Tahoma][size=9pt] IP [/size][/font][font=宋体][size=9pt]地址耗尽，然后冒充合法的[/size][/font][font=Tahoma][size=9pt] DHCP [/size][/font][font=宋体][size=9pt]服务器。最为隐蔽和危险的方法是黑客利用冒充的[/size][/font][font=Tahoma][size=9pt] DHCP [/size][/font][font=宋体][size=9pt]服务器，为用户分配一个经过修改的[/size][/font][font=Tahoma][size=9pt] DNS server [/size][/font][font=宋体][size=9pt]，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta]
[b][font=宋体][size=12pt]2.1 DHCP[/size][/font][/b][b][font=宋体][size=12pt]防范[/size][/font][/b][/color][/font][/size]
[size=6][font=黑体][color=magenta][b][font=宋体][size=12pt]
[/size][/font][/b][font=宋体][size=9pt]通过建立和维护[/size][/font][font=Tahoma][size=9pt]DHCP Snooping[/size][/font][font=宋体][size=9pt]绑定表过滤不可信任的[/size][/font][font=Tahoma][size=9pt]DHCP[/size][/font][font=宋体][size=9pt]信息，这些信息是指来自不信任区域的[/size][/font][font=Tahoma][size=9pt]DHCP[/size][/font][font=宋体][size=9pt]信息。[/size][/font][font=Tahoma][size=9pt]DHCP Snooping[/size][/font][font=宋体][size=9pt]绑定表包含不信任区域的用户[/size][/font][font=Tahoma][size=9pt]MAC[/size][/font][font=宋体][size=9pt]地址、[/size][/font][font=Tahoma][size=9pt]IP[/size][/font][font=宋体][size=9pt]地址、租用期、[/size][/font][font=Tahoma][size=9pt]VLAN-ID [/size][/font][font=宋体][size=9pt]接口等信息。[/size][/font][font=Tahoma][size=9pt][/size][/font][/color][/font][/size]
[font=黑体][size=6][color=magenta][/color][/size][/font][font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font]
[font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font]
[font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font]
[font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font]
[font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font]
[font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font]
[font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font]
[font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font]
[font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font]
[font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font]

[size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]IOS [/size][/font][font=宋体][size=9pt]全局命令：[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta]
[font=宋体][size=9pt]　　[/size][/font][font=Tahoma][size=9pt]ip dhcp snooping vlan 100,200 /* [/size][/font][font=宋体][size=9pt]定义哪些[/size][/font][font=Tahoma][size=9pt] VLAN [/size][/font][font=宋体][size=9pt]启用[/size][/font][font=Tahoma][size=9pt] DHCP [/size][/font][font=宋体][size=9pt]嗅探[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta]
[font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]ip dhcp snooping
[/size][/font][font=宋体][size=9pt]接口命令[/size][/font]
[font=宋体][size=9pt]：[/size][/font][/color][/font][/size]
[font=宋体][size=9pt][font=黑体][size=6][color=magenta]　　[/color][/size][/font][/size][/font][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]ip dhcp snooping trust
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]no ip dhcp snooping trust (Default)
[/size][/font][font=宋体][size=9pt]　　[/size][/font][font=Tahoma][size=9pt]ip dhcp snooping limit rate 10 (pps) /* [/size][/font][font=宋体][size=9pt]一定程度上防止[/size][/font][font=Tahoma][size=9pt] DHCP [/size][/font][font=宋体][size=9pt]拒绝服[/size][/font][font=Tahoma][size=9pt] /* [/size][/font][font=宋体][size=9pt]务攻击[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta]
[font=宋体][size=9pt]　　手工添加[/size][/font][font=Tahoma][size=9pt] DHCP [/size][/font][font=宋体][size=9pt]绑定表[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta]
[font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000
[/size][/font][font=宋体][size=9pt]　　导出[/size][/font][font=Tahoma][size=9pt] DHCP [/size][/font][font=宋体][size=9pt]绑定表到[/size][/font][font=Tahoma][size=9pt] TFTP [/size][/font][font=宋体][size=9pt]服务器[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta]
[font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]ip dhcp snooping database tftp:// 10.1.1 .1/directory/file
[/size][/font][b][font=宋体][size=12pt]3[/size][/font][/b][b][font=宋体][size=12pt]．ARP欺骗攻击[/size][/font][/b][/color][/font][/size][b][font=Tahoma][size=9pt]
[font=黑体][size=6][color=magenta]    [/color][/size][/font][/size][/font][/b][size=6][font=黑体][color=magenta][font=宋体][size=9pt]如果攻击者想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个[/size][/font][font=Tahoma][size=9pt] ARP [/size][/font][font=宋体][size=9pt]应答包，让两台主机都[/size][/font][font=Tahoma][size=9pt]“[/size][/font][font=宋体][size=9pt]误[/size][/font][font=Tahoma][size=9pt]”[/size][/font][font=宋体][size=9pt]认为对方的[/size][/font][font=Tahoma][size=9pt] MAC [/size][/font][font=宋体][size=9pt]地址是第三方的攻击者所在的主机，这样，双方看似[/size][/font][font=Tahoma][size=9pt]“[/size][/font][font=宋体][size=9pt]直接[/size][/font][font=Tahoma][size=9pt]”[/size][/font][font=宋体][size=9pt]的通信连接，实际上都是通过攻击者所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。[/size][/font][font=Tahoma][size=9pt][/size][/font][/color][/font][/size]
[b][font=宋体][size=12pt][font=黑体][size=6][color=magenta] [/color][/size][/font][/size][/font][/b]
[size=6][font=黑体][color=magenta][b][font=宋体][size=12pt]3[/size][/font][/b][b][font=宋体][size=12pt]．1 ARP欺骗攻击防范[/size][/font][/b][/color][/font][/size]
[size=6][font=黑体][color=magenta][font=Tahoma][size=9pt][b]IOS [/b][/size][/font][font=宋体][size=9pt][b]全局命令：[/b][/size][/font]
[/color][/font][/size]
[font=宋体][size=9pt][font=黑体][size=6][color=magenta]　　[/color][/size][/font][/size][/font][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]ip dhcp snooping vlan 100,200
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]no ip dhcp snooping information option
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]ip dhcp snooping
[/size][/font][font=宋体][size=9pt]　　[/size][/font][font=Tahoma][size=9pt]ip arp inspection vlan 100,200 /* [/size][/font][font=宋体][size=9pt]定义对哪些[/size][/font][font=Tahoma][size=9pt] VLAN [/size][/font][font=宋体][size=9pt]进行[/size][/font][font=Tahoma][size=9pt] ARP [/size][/font][font=宋体][size=9pt]报文检测[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta]
[font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]ip arp inspection log-buffer entries 1024
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]ip arp inspection log-buffer logs 1024 interval 10

[b]IOS [/b][/size][/font][font=宋体][size=9pt][b]接口命令：[/b][/size][/font]
[/color][/font][/size]
[font=宋体][size=9pt][font=黑体][size=6][color=magenta]　　[/color][/size][/font][/size][/font][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]ip dhcp snooping trust
[/size][/font][font=宋体][size=9pt]　　[/size][/font][font=Tahoma][size=9pt]ip arp inspection trust /* [/size][/font][font=宋体][size=9pt]定义哪些接口是信任接口，通常是网络设备接口，[/size][/font][font=Tahoma][size=9pt] TRUNK [/size][/font][font=宋体][size=9pt]接口等[/size][/font][/color][/font][/size][font=Tahoma][size=9pt][font=黑体][size=6][color=magenta] [/color][/size][/font]
[/size][/font][size=6][font=黑体][color=magenta][font=宋体][size=9pt]　　[/size][/font][font=Tahoma][size=9pt]ip arp inspection limit rate 15 (pps) /* [/size][/font][font=宋体][size=9pt]定义接口每秒[/size][/font][font=Tahoma][size=9pt] ARP [/size][/font][font=宋体][size=9pt]报文数量[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta]
[font=宋体][size=9pt][b]对于没有使用[/b][/size][/font][font=Tahoma][size=9pt][b] DHCP [/b][/size][/font][font=宋体][size=9pt][b]设备可以采用下面办法：[/b][/size][/font]
[/color][/font][/size]
[font=宋体][size=9pt][font=黑体][size=6][color=magenta]　　[/color][/size][/font][/size][/font][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]arp access-list static-arp
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]permit ip host 10.66.227.5 mac host 0009.6b88.d387
[/size][/font][font=宋体][size=9pt]　　[/size][/font][/color][/font][/size][size=6][font=黑体][color=magenta][font=Tahoma][size=9pt]ip arp inspection filter static-arp vlan 201

[/size][/font][font=宋体][size=12pt][b][/b][/size][/font][/color][/font][/size]

一点小建议

版主你好,我刚新来的会员,感觉我们论坛的得分制度有点缺陷,只要发帖子就给+分,那样灌水的人太多了 ,论坛发展壮大,垃圾数据太多不是件好事情,我看过好的论坛,对没个人的恢复都要管理,一般的可不做处理,管水的要减分,回答的透彻的应该+分.一点小小的建议!
昨天发了个帖子 ,才给我加了2分,还不如我自己罐两个水来的快了,有好的文章都不舍得发表啊!

很好,能解释一下更好

其实只要是要求客户端必须用动态地址，交换机或路由器充当DHCP服务器就需要楼主说的配置了

zhiyuan7427不错的总结。

支持,版主,我们这是技术型的论坛,可是其它的贴子现在所占的分量明显过于大,请版主在这方面给考虑一下,恢复几年前菊花在技术方面的纯洁性,谢谢!!

看过。。。

写的不错,辛苦了楼主!!

写的不错,辛苦了楼主!!

非常感谢!!!

dhcp动态检测

谢谢提供了 ，感谢楼主分享。

　　这篇文章在很多地方看过，是楼主自己总结的吗？:lol:

个人整理！！

个人整理！！我也没有说都是我自己写的啊 ，只是整理，觉得实用的部分！

第一楼的建议还是很有道理的..大力支持哦

感谢楼主，支持一楼。

不错,不错,明白了点

CISCO的DAI（Dynamic ARP Inspection）技术，确实不错，国内厂家也有做相关技术的，不过只能跟风望C项背。其缺点就是，对接入层交换机要求比较高，必须是cisco设备且必须支持DHCP-Snooping，支持Snooping的设备就比较费￥￥了

H3C另外一种不同的思路是配合其EAD解决方案实现，对接入层交换机要求不高，可以在一定程度上防止ARP欺骗和Flooding攻击

太好了。正需要这方面的东西:P