如何防止arp攻击?防止ARP攻击的解决方案

作者：曦曦SEO时间：2022-11-15来源：成都seo浏览：75

　　如何防止arp攻击?防止ARP攻击是通过控制ARP表、限制和检查ARP消息来保护网络设备的安全。ARP攻击泛滥的原因是由于ARP协议的缺陷，没有相应的安全验证;对于大规模网络，很难找出攻击源，网络设备的配置只能缓解ARP攻击对整个网络造成的压力。成都SEO也会详细解释一下!

　　1.免费使用ARP：

　　当我更新DHCP地址时，我发布一个免费的ARP请求，告诉网段中的所有节点我已经更改了IP地址，以便为我更新他们的ARP栏目。

　　2.用于检测网段中是否有人使用与相同的IP地址。

　　3.用于ARP攻击。

　　1.绑定静态IP地址和MAC地址

　　R1(配置)#arp 192.168.100.2 aaaa.bbb.ccccfast以太网0/1

　　缺陷：如果地址是通过DHCP自动获取的，则在租约到期后，绑定将无效，并且IP地址将因疾病而重新发布，并且不会分配给IP地址，因此可扩展性较差。

　　2.动态ARP检查在交换机上启动动态ARP监控。

　　DAI(动态ARP检查)动态ARP监控用于基于VLAN的保护机制。

　　打开DAI后，类似于DHCP侦听，交换机上的所有接口都是不受信任的接口。当不可信接口接收到ARP或ARP磁带时，它将提取ARP请求和响应的三层或两层地址，并将其与DHCP绑定数据库中的信息进行比较，以查看请求者的IP响应或IP是否合法。如果是非法的，消息将被丢弃，只有合法的消息才会被转发。此外，要启用DAI，必须首先启用DHCP侦听。

　　当交换机接口被手动配置为可信接口时，当接收到RP请求或ARP应答时，它将不会与DHCP绑定数据库中的信息进行比较。如果消息是合法的，它将被平方，如果是非法的，它会被直接丢弃。

　　因此，在网络拓扑中，交换机与PC之间的接口应设置为不可信接口，用于交换经济互连的接口以及用于减慢和连接合法DHCP服务器的接口应设为可信接口。

　　在开关全局模式下启动DAI

　　SW1(配置)#iparp检查vlan 20

　　SW2(配置)#iparp检查vlan 200

　　将中继链接的接口设置为可信接口。

　　SW1(配置)#接口fastthernet 0/1

　　SW1(config if)#iparp检查信任

　　SW2(config)#接口fastethernet 0/2

　　SW2(config if)#iparp检查信任

　　配置DAI的基本步骤：

　　1.部署DHCP。

　　2.部署DHCP侦听

　　3.部署DAI

　　4.将中继接口和连接到DHCP服务器的接口设置为可信接口，并限制连接的PC接口接受ARP消息的速率。

　　ARP消息的速率限制

　　DAI不信任接口的默认速率限制为15 P/S，即15 pps，而Trust接口根本没有限制，可以通过iparp检查限制(一个接口级命令)进行修改。

　　当接口接收到的ARP消息超过此阈值时，接口将进入错误禁用状态。端口自动关闭。您可以通过不关闭来恢复此界面。或者，使用全局命令errdisblerecovery使接口在一定时间间隔后自动恢复。

　　SW1(配置)#接口fastthernet 0/1

　　SW1(config if)#iparp检查限制率20

　　将接口接受ARP消息的速率限制为20p/s。

　　当接口设置为错误禁用状态时，自动回复时间为30S。

　　SW1(config)#错误禁用恢复原因arp检查

　　SW1(config)#错误禁用恢复间隔30

　　解决方案2

　　1.打开防火墙中的arp防攻击功能，检查arp异常的IP地址或mac地址。

　　2.跟踪异常设备并了解交换机或防火墙中异常mac地址所属的端口。

　　3.为防止arp病毒广播传播，应及时关闭底部联盟端口，并根据端口搜索底部联盟设备进行病毒清除。此外，应清除网络中的所有相关设备，以防止病毒感染。

　　ARP欺骗的三个阶段

　　初始阶段：ARP欺骗

　　这种有目的地发布错误的ARP广播数据包的行为称为ARP欺骗。ARP欺骗，最初由黑客使用，已成为黑客窃取网络数据的主要手段。黑客通过发出错误的ARP广播包来阻止正常通信，并伪装自己的计算机。