防止同网段arp 欺骗攻击配置案例

华为交换机防ARP攻击配置手册ARP防攻击配置下表列出了本章所包含的内容。

3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

●对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；●对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。

图3-1 ARP地址欺骗攻击示意图如图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A 的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。

1. 固定MAC地址对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改，直到此ARP表项老化之后才允许此ARP表项更新MAC地址，以此来确保合法用户的ARP 表项不被修改。

固定MAC有两种方式：Fixed-mac和Fixed-all。

●Fixed-mac方式；不允许通过ARP学习对MAC地址进行修改，但允许对VLAN 和端口信息进行修改。

这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。

当链路切换时，ARP表项中的端口信息可以快速改变。

●Fixed-all方式；对动态ARP和已解析的短静态ARP、MAC、VLAN和端口信息均不允许修改。

这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。

2. 主动确认（Send-ack）交换机收到一个涉及MAC地址修改的ARP报文时，不会立即修改原ARP表项，而是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认：●如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内不允许对此ARP表项进行MAC地址修改；同样，ARP表项在新生成一分钟时间内，也不允许修改此ARP表项中的MAC地址；●如果一定时间内没有收到原用户的应答报文，则对新用户发起一个单播请求报文，收到新用户的应答报文之后才修改ARP表项，使新用户成为合法用户。

防止arp欺骗木马病毒小案例一．Arp病毒简介近期，一种新的“ARP欺骗”木马病毒（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）在互联网上扩散，不少客户局域网中都已发现机器感染此病毒，表现为用户频繁断网、线路严重丢包，IE浏览器频繁出错以及一些常用软件出现故障等问题。

Arp欺骗原理要谈ARP欺骗，首先要说一下arp的运行机制，通常主机发送一个ip包之前，它要到自己的ARP缓存表中寻找是否有目标主机的IP地址，如果找到了，也就知道了目标主机的MAC地址，然后直接发送；如果没有找到，该主机就发送一个ARP广播包目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“xxx.xxx.xxx.xx1的MAC地址是什么？”ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：“我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"这样，主机A就知道了主机B的MAC地址，可以通信了。

同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，可以直接在ARP缓存表里查找。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

当我们设定一个目标进行ARP欺骗时，也就是设置一主机C捕获主机A发送给主机B 的通信数据包，如果C能够接收到A发送的数据包，那么第一步嗅探成功了。

但是主机A 并没有意识到主机B没有接受到主机A发送的数据包。

假如主机C进行ICMP重定向，那么他可以直接进行整个包的修改，捕获到主机A发送给主机B的数据包，全部进行修改后再转发给主机B，而主机B接收到的数据包完全认为是从主机A发送来的。

这样主机C就完成了ARP欺骗。

中毒现象当某台主机中了这类ARP欺骗的病毒/木马程序后，会不定期发送仿冒的ARP响应数据报文。

这种报文会欺骗所在网段的主机和交换机，让其他用户上网的流量必须经过病毒主机。

华为交换机防止仿冒网关 ARP 攻击配置实例作者：未知 文章来源：转贴 点击数：1059 更新时间：2007-7-3 16:27:00 二层交换机实现仿冒网关的 ARP 防攻击：一、组网需求：1. 二层交换机阻止网络用户仿冒网关 IP 的 ARP 攻击二、组网图：图 1 二层交换机防 ARP 攻击组网S3552P 是三层设备， 其中 IP： 100.1.1.1 是所有 PC 的网关， S3552P 上的网关 MAC 地址为 000f-e200-3999。

PC-B 上装有 ARP 攻击软件。

现在需要对 S3026C_A 进行一些特殊配置，目的是过滤掉仿冒网关 IP 的 ARP 报文。

三、配置步骤对于二层交换机如 S3026C 等支持用户自定义 ACL(number 为 5000 到 5999)的交换机，可以配置 ACL 来进行 ARP 报文过滤。

全局配置 ACL 禁止所有源 IP 是网关的 ARP 报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP 报文禁掉，其中斜体部分 64010101 是网关 IP 地 址 100.1.1.1 的 16 进制表示形式。

Rule1 允许通过网关发送的 ARP 报文，斜体部分为网关的 mac 地址 000f-e200-3999。

注意：配置 Rule 时的配置顺序，上述配置为先下发后生效的情况。

在 S3026C-A 系统视图下发 acl 规则：[S3026C-A] packet-filter user-group 5000这样只有 S3026C_A 上连网关设备才能够发送网关的 ARP 报文，其它主机都不能发送假冒网关的 arp 响应报文。

ARP欺骗攻击及防范研究摘要伴随着计算机网络的普及和通讯技术的迅猛发展，网络信息已逐步成为当今社会发展的重要资源。

网络互连一般采用TCP/IP 协议，由于网络及其协议的设计者，在设计之初只考虑了效率问题没有考虑网络安全的问题，所以几乎所有的网络协议都有漏洞，ARP 协议同样也存在着安全漏洞。

ARP 攻击在现今的网络中频频出现，轻者造成网络性能下降，重者造成网络不通或信息被盗。

因此有效的防范ARP 形式的网络攻击己成为确保网络畅通安全的必要条件。

本文分析了ARP 协议及其存在的漏洞，ARP 病毒的攻击原理和方式方法，对比了现有的检测、定位和防范方法的优缺点。

设计实现了一个检测、定位和防范ARP 病毒的系统。

能够有效的检测到交换的ARP 缓存表，通过对缓存中ARP 映射信息的分析，找出可能发生的欺骗或者谁是攻击者，通过远程设置交换机的ACL 等操作对检测到的危险进行处理，可以有效地对ARP 攻击进行防范和检测。

关键词：校园网，ARP 病毒，检测，定位，防范目录1 绪论 (1)1.1 研究背景与意义 (1)1.2 研究现状 (1)1.3 高校校园网特点及安全缺陷 (3)2 ARP 协议及相关理论基础 (4)2.1 ARP 协议的相关理论 (4)2.1.1 OSI 参考模型 (4)2.1.2 TCP/IP 参考模型 (5)2.2 ARP 协议概述 (6)2.2.1 ARP 缓存 (6)2.2.2 ARP 代理 (7)2.2.3 免费ARP (9)3 ARP 欺骗分析与测试 (10)3.1 ARP 欺骗原理 (10)3.2 常见的ARP 欺骗 (10)3.2.1 中间人欺骗 (10)3.2.2 IP 地址冲突 (11)3.2.3 一般主机欺骗 (11)3.4 ARP 测试程序—ARPTable (11)3.5 Windows 环境下的ARP 欺骗测试与分析 (12)3.5.1 IP 地址冲突的ARP 请求和应答实验 (12)3.5.2 假冒网关欺骗的ARP 请求和应答实验 (15)3.5.3 ARP 请求过程实验 (18)3.5.4 ARP 应答过程实验 (20)3.6 实验结果 (23)4 防御ARP 欺骗系统模型实验 (25)5 总结 (30)6 参考文献 (31)..1 绪论Internet 的迅速发展使得网络已伸入到社会生活的各个层面，给人们的工作、学习、生活带来了巨大的改变，效率得到了极大的提高，信息资源得到最大程度的共享。

H3C防ARP解决方案及配置ARP, 方案目录第1章防ARP攻击功能介绍 1-11.1 ARP攻击简介 1-11.2 ARP攻击防御 1-31.2.2 DHCP Snooping功能 1-31.2.3 ARP入侵检测功能 1-41.2.4 ARP报文限速功能 1-41.3 防ARP攻击配置指南 1-5第2章配置举例 2-12.1 组网需求 2-12.2 组网图 2-22.3 配置思路 2-22.4 配置步骤 2-32.5 注意事项 2-6防ARP攻击配置举例关键词：ARP、DHCP Snooping摘要：本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能，防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。

同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实际配置。

缩略语：ARP（Address Resolution Protocol，地址解析协议）MITM（Man-In-The-Middle，中间人攻击）第1章防ARP攻击功能介绍近来，许多校园网络都出现了ARP攻击现象。

严重者甚至造成大面积网络不能正常访问外网，学校深受其害。

H3C公司根据校园网ARP攻击的特点，给出了DHCP监控模式下的防ARP攻击解决方案，可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式；且不需要终端用户安装额外的客户端软件，简化了网络配置。

1.1 ARP攻击简介按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。

这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。

校园网中，常见的ARP攻击有如下几中形式。

(1) 仿冒网关攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。

高手教你辨别ARP欺骗原理及防范被骗经常听到身边的朋友说，自己电脑的网络又被啥啥攻击了，经常有一些不道德的人用ARP欺骗软件攻击别人，让很多人掉线，甚至让整个网络都瘫痪。

针对这个问题，我们首先先来了解下它的攻击原理及欺骗原理，深受其害的朋友们赶紧来看看。

一，ARP欺骗的原理如下：假设这样一个网络，一个Hub接了3台机器HostA HostB HostC 其中A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BBC的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC正常情况下C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 CC-CC-CC-CC-CC-CC dynamic现在假设HostB开始了罪恶的ARP欺骗：B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。

当A接收到B伪造的ARP应答，就会更新本地的ARP 缓存(A可不知道被伪造了)。

而且A不知道其实是从B发送过来的，A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址，没有和犯罪分子B相关的证据，哈哈，这样犯罪分子岂不乐死了。

现在A机器的ARP缓存更新了：C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 DD-DD-DD-DD-DD-DD dynamic这可不是小事。