ARP欺骗攻击与防御策略
【摘要】 ARP欺骗攻击与防御策略环境拓扑实验步骤配置AR2 <Huawei>sys [Huawei]sys AR2 [AR2]undo info en [AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip add 192.168.1.254 255.255.255.0 [AR2-GigabitEthernet0/0/0]q [AR2]int g0/0/1 [AR2...
环境拓扑
实验步骤
配置AR2
<Huawei>sys
[Huawei]sys AR2
[AR2]undo info en
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 192.168.1.254 255.255.255.0
[AR2-GigabitEthernet0/0/0]q
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 192.168.2.254 255.255.255.0
[AR2-GigabitEthernet0/0/1]q
[AR2]ping各PC之间的情况
查看路由器的mac和IP地址绑定情况(arp表)
修改pc3 IP地址为pc1 IP地址,并查看arp信息,清除arp
1修改ip
2清除arp信息
arp -d
使用PC3 ping PC4 查看AR1的arp表项
1.使用PC3 ping PC4
2.AR1的arp表项
PC3 IP地址重新修改为192.168.1.3,然后让PC4 ping 192.168.1.1
防御策略
在AR2绑定网关与MAC地址映射关系
<AR2>sys
[AR2]user-bind static ip-address 192.168.1.1 MAC-address 5489-9851-2565
Info: 1 static user-bind item(s) added.在交换机SW3开启动态arp监测
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3]arp anti-attack check user-bind enable验证
将pc3的IP地址改为pc1后 无法ping通
查看AR2的arp表
任务总结
1.交换机可以只绑定IP与MAC地址关系,即执行如下操作
user-bind static ip-address 192.168.1.1 MAC-address 5489-9851-2565
2.为防范ARP攻击,假如管理员没有开启动态ARP监测(DAI)功能,在客户机上可以自己手动绑定网关IP与MAC地址关系以避免遭受攻击
-
461.69KB 下载次数:1次
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)