神州数码DCRS-5960_三层转发及ARP、ND操作.word(6)

三层转发及ARP、ND操作 第2章 防ARP扫描功能操作配置 SwitchB(Config-If-Ethernet1/0/1)exit

2.4 防ARP扫描排错帮助

? 防ARP扫描默认是关闭的。打开防ARP扫描后，可以同时打开调试开关debug

anti-arpscan来查看调试信息。

2-4

三层转发及ARP、ND操作 第3章 ARP、ND绑定配置

第3章 ARP、ND绑定配置

3.1 概述

3.1.1 ARP（地址解析协议）

简单地说，ARP （RFC-826）协议主要负责将局域网中的IP地址转换为对应的48位物理地址，即网卡的MAC地址，比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包，即ARP请求，然后目标主机向该主机发送一个含有IP地址和MAC地址数据包，通过MAC地址两个主机就可以实现数据传输了。

3.1.2 ARP绑定

按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一台主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ARP绑定”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方即黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

3.1.3 如何进行ARP/ND绑定

由于现在网络上充斥着很多基于ARP协议的嗅探、监听及攻击行为，而且几乎所有的攻击行为都是基于ARP绑定来进行的，所以如何防止ARP绑定就显得十分重要。ARP绑定首先是通过伪造合法IP进入正常的网络环境，向交换机发送大量的伪造的ARP申请报文，交换机在学习到这些报文后，可能会覆盖原来学习到的正确的IP、MAC地址的映射关系，将一些正确的IP、MAC地址映射关系修改成攻击报文设置的对应关系，导致交换机在转发报文时出错，从而影响整个网络的运行。或者交换机被恶意攻击者利用，利用错误的ARP表，截获交换机转发的报文或者对其它服务器、主机或者网络设备进行攻击。

在网络中防止基于ARP的攻击和绑定交换机的方法有两种： 一、关闭交换机的自动更新功能

关闭交换机的自动更新功能以后，当交换机收到ARP报文时，如果是新的ARP报文（交换机的ARP表中不存在该IP的表项），则正常学习，这样新的用户可以正常登录网络；如果该ARP报文对应的IP地址在交换机的ARP表中已经存在，则判断ARP报文中的MAC

3-1

三层转发及ARP、ND操作 第3章 ARP、ND绑定配置 地址、收到ARP报文的端口和交换机ARP表中记录的是否相同，不相同则认为是欺骗报文予以丢弃，相同则正常接收，相应的ARP表项老化定时器被重置。通过该机制可以防止合法的ARP表项被欺骗报文篡改，从而可以避免交换机遭受ARP绑定和攻击。

二、关闭交换机的自动学习功能

关闭交换机的自动学习功能以后，交换机不再接收ARP报文，适合静态配置ARP表项的场合。一方面可以配置静态ARP表项，另一方面可以将当前学习到的动态ARP表项转换为静态表项（可以减轻一一配置ARP静态表项所带来的繁重工作量。关闭交换机的自动学习功能时，如果动态表项不转换为静态表项，会正常老化掉）。在ARP表项均为静态配置的情况下，可以有效地避免ARP绑定。

ND是IPV6协议中的邻居发现协议，其工作原理同ARP类似，因此我们采取同ARP绑定相同的方法处理利用ND进行绑定和攻击的手段。

3.2 ARP、ND绑定配置

配置ARP、ND绑定配置序列如下: 1. 关闭ARP、ND自动更新功能 2. 关闭ARP、ND自动学习与更新功能

3. 将动态的ARP、ND转化为静态ARP、ND的功能

1. 关闭ARP、ND自动更新功能 命令 全局配置模式和接口配置模式 ip arp-security updateprotect no ip arp-security updateprotect ipv6 nd-security updateprotect no ipv6 nd-security updateprotect

2. 关闭ARP、ND自动学习与更新功能 命令 全局配置模式和接口配置模式 ip arp-security learnprotect no Ip arp-security learnprotect ipv6 nd-security learnprotect no ipv6 nd-security learnprotect

3. 将动态的ARP、ND转化为静态ARP、ND的功能 命令 全局配置模式和接口配置模式 解释 3-2

关闭和启动ARP、ND的自动学习与更新功能。 解释 关闭和启动ARP、ND的自动更新功能。 解释 三层转发及ARP、ND操作 第3章 ARP、ND绑定配置 ip arp-security convert ipv6 nd-security convert 将动态ARP、ND转化静态。 3.3 ARP、ND绑定举例

Switch

A B

C

设备说明： 设备 switch A B C

配置

数量 1 1 1 若干 IP:192.168.2.4; IP:192.168.1.4; mac: 00-00-00-00-00-04 IP:192.168.2.1; mac: 00-00-00-00-00-01 IP:192.168.1.2; mac: 00-00-00-00-00-02 IP:192.168.2.3; mac: 00-00-00-00-00-03 在上图中首先B与C正常通信。A想要交换机将B发给C的报文转发给自己，所以需要交换机将从B来的报文发给A。首先A先发送ARP应答包给交换机，格式如：192.168.2.3，00-00-00-00-00-01。就是将自己的MAC地址换上C的IP，这样交换机在更新ARP表时就会将B发给IP地址：192.168.2.3的数据报发到00-00-00-00-00-01的地址（A地址）去了。

进一步将A也可以将收到的数据报中的源地址，目的地址更改下，让交换机将自己发的包给C，这样B与C相互通信的数据在不知情的状况下就都可以被A接收。由于ARP表是定时更新的，所以A还有1个任务是持续不断的向交换机发送ARP应答包，刷新交换机的ARP表。

所以重要的是将ARP表保护起来，可以在环境稳定后配置禁止ARP学习的命令，然后将所有的动态ARP转换为静态的，这样已经学习到的ARP就不会被刷新，从而为用户提供保护。 Switch(config)#

Switch(Config)#interface vlan 1

Switch(Config-If-Vlan1)#arp 192.168.2.1 00-00-00-00-00-01 interface eth 1/0/2

3-3

三层转发及ARP、ND操作 第3章 ARP、ND绑定配置 Switch(Config-If-Vlan1)#interface vlan 2

Switch(Config-If-Vlan2)#arp 192.168.1.2 00-00-00-00-00-02 interface eth 1/0/2 Switch(Config-If-Vlan2#interface vlan 3

Switch(Config-If-Vlan3)#arp 192.168.2.3 00-00-00-00-00-03 interface eth 1/0/2 Switch(Config-If-Vlan3)#exit

Switch(Config)#ip arp-security learnprotect Switch(Config)#

Switch(config)#ip arp-security convert

如果环境经常变动，也可以开启禁止ARP更新的命令，这样一旦学习到的ARP属性，就不会被新的ARP应答包所更新，保护用户数据不会被“嗅探”。 Switch#config

Switch(config)#ip arp-security updateprotect

3-4

百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，70教育网，提供经典综合文库神州数码DCRS-5960_三层转发及ARP、ND操作.word(6)在线全文阅读。