Cisco自然环境处理ARP蒙骗难题

发表时间:2019/6/29 18:47:37 | 浏览次数:

因为经常在网上看到帮助ARP防病毒的方法,事实上,ARP欺骗的原理很简单,利用ARP协议的一个“缺陷”,免费ARP欺骗主机上面的网关ARP条目。

事实上,免费ARP设计有两个目的:

1.IP地址冲突检测

2.ARP条目会自动更新以更新网关。

ARP欺骗就是在这里使用第二个。攻击主机发送ARP更新。条目的ip地址是网关,但媒体访问控制地址不是网关。其他主机收到后,会根据ARP协议的规则达到欺骗的目的,原理越新越可靠。

虽然ARP不是tcp/ip协议集群的成员,但是考虑到以太网的普及(除了某些情况),放弃动态ARP协议并使用手动方法进行ARP映射似乎是不现实的。

首先,深入的ARP协议特性

我想介绍一些在思科网络环境中解决这个问题的想法:

事实上,使用了两种技术:DHCP侦听和ARP检查。

DHCP窥探技术是一种DHCP安全功能。它通过建立和维护一个DHCP侦听绑定表来过滤不受信任的DHCP信息,该绑定表引用来自不受信任区域的DHCP信息。DHCP侦听绑定表包含不受信任区域中用户的媒体访问控制地址、IP地址、租用期限、VLAN标识接口和其他信息。

  • 上一篇文章:
  • 下一篇文章: 没有了
  • Copyright © 2019 日诺网络技术有限公司 保留公司所有权利

    关于我们  |  联系我们  |  网站地图