阻止仿冒网关IP的arp攻击.doc

阻止仿冒网关 IP的 arp 攻击 二层交换机实现防攻击 配置组网 S3552P 是三层设备,其中 IP: 是所有 PC 的网关, S3552P 上的网关 MAC 地址为 000f-e200-3999 。 PC-B 上装有 ARP 攻击软件。现在需要对 S3026_A 进行一些特殊配置,目的是过滤掉仿冒网关 IP的 ARP 报文。 配置步骤对于二层交换机如 S3026C 等支持用户自定义 ACL ( number 为 5000 到 5999 ) 的交换机,可以配置 ACL 来进行 ARP 报文过滤。全局配置 ACL 禁止所有源 IP是网关的 ARP 报文 acl num 5000 rule 0 deny 0806 ffff 24 64010101 ffffffff 40 rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34 其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP 报文禁掉,其中斜体部分 64010101 是网关 IP地址 的 16 进制表示形式。 Rule1 允许通过网关发送的 ARP 报文,斜体部分为网关的 mac 地址 000f-e200-3999 。注意:配置 Rule 时的配置顺序,上述配置为先下发后生效的情况。在 S3026C-A 系统视图下发 acl 规则: [S3026C-A] packet-filter user-group 5000 这样只有 S3026C_A 上连网关设备才能够发送网关的 ARP 报文,其它主机都不能发送假冒网关的 arp 响应报文。 三层交换机实现防攻击 配置组网 防攻击配置举例对于三层设备,需要配置过滤源 IP是网关的 ARP 报文的 ACL 规则,配置如下 ACL 规则: acl number 5000 rule 0 deny 0806 ffff 24 64010105 ffffffff 40 rule0 禁止 S3526E 的所有端口接收冒充网关的 ARP 报文,其中斜体部分 6 4010105 是网关 IP地址 的 16 进制表示形式。 2仿冒他人 IP的 arp 攻击作为网关的设备有可能会出现 ARP 错误表项,因此在网关设备上还需对仿冒他人 IP的 ARP 攻击报文进行过滤。如图 1所示,当 PC-B 发送源 IP地址为 PC-D 的 arp reply 攻击报文,源 m ac是 PC-B 的 mac (000d-88f8-09fa) ,源 ip是 PC-D 的 ip() ,目的 ip和 mac 是网关( 3552P )的,这样 3552 上就会学习错误的 arp ,如下所示: --------------------- 错误 arp 表项-------------------------------- IP Address MAC Address VLAN ID Port Name Aging Type 000d-88f8-09fa 1 0/2 20 Dynamic 000f-3d81-45b4 1 0/2 2