今日頭條
官方微信
官方抖音
案例頻道
1、什么是arp攻擊?
arp攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)arp欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的arp通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的arp響應(yīng)包就能更改目標(biāo)主機(jī)arp緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。
當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行arp欺騙的木馬程序時(shí),會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和交換機(jī),讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。其他用戶原來(lái)直接通過(guò)交換機(jī)上網(wǎng)轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng),切換的時(shí)候用戶會(huì)斷一次線。
2、卓越信通TSC系列工業(yè)以太網(wǎng)交換機(jī)如何預(yù)防arp攻擊?
個(gè)人用戶利用安裝終端arp防火墻和殺毒軟件可以預(yù)防arp攻擊,但是此防御措施無(wú)法避免外來(lái)用戶的侵入或大面積網(wǎng)絡(luò)出現(xiàn)通信中斷及無(wú)法訪問(wèn)互聯(lián)網(wǎng)的情況。此時(shí)我們可以利用交換機(jī)的MAC-IP地址綁定做好攻擊預(yù)防,其中TSC系列工業(yè)以太網(wǎng)交換機(jī)的PT、Carat、Comet等產(chǎn)品系列均可以做到這一點(diǎn)。
具體配置如下:interface Fa0/1
switchport port-security bingip mac
這樣做了以上配置后,偽裝的MAC或IP的數(shù)據(jù)報(bào)文會(huì)被過(guò)濾掉,大大減少了攻擊的隱患。
3、當(dāng)arp攻擊發(fā)生了的情況,如何利用交換機(jī)查找arp攻擊源?
以下是某個(gè)網(wǎng)絡(luò)系統(tǒng)上發(fā)生的arp攻擊案例,現(xiàn)場(chǎng)利用PT35系列交換機(jī)查找攻擊源,步驟如下:
(1)現(xiàn)象描述:
首先通過(guò)現(xiàn)場(chǎng)上網(wǎng)行為管理設(shè)備查到一些綁定的IP和MAC地址不一致,且這些地址的MAC是同一個(gè)MAC(不是真正機(jī)器的MAC地址),此時(shí)這些PC上不去網(wǎng)。
(2)分析原因:此現(xiàn)象為arp攻擊
(3)解決方法:
1)首先通過(guò)上網(wǎng)行為管理查到一些IP地址共同對(duì)應(yīng)的MAC地址記下來(lái);
2)其次登錄到中心交換機(jī)里面(之前的交換機(jī)配置中提到了如何登陸到交換機(jī),如果攻擊的對(duì)象一直攻擊,它的MAC地址就一直存在);
PT35>enable
PT35#show mac address-table | beginxx-xx-xx-xx-xx-xx (有問(wèn)題的MAC地址)
出現(xiàn)以上信息的話,可以了解到vlan 706只在g8/2被允許通過(guò),所以接下來(lái)在g8/2下的所有的交換機(jī)下面首先登陸到172.30.106.2與中心直連的交換機(jī)車站地址進(jìn)行配置:
PT35-1#show mac address-table | beginxx-xx-xx-xx-xx-xx
此時(shí)可以看到此MAC地址從哪個(gè)端口學(xué)習(xí)過(guò)來(lái)的以此向下面的交換機(jī)執(zhí)行此命令知道交換機(jī)下面的MAC地址對(duì)應(yīng)的端口為除G1/1,G1/2,G2/1,G2/2(這幾個(gè)端口問(wèn)trunk口屬于交換機(jī)級(jí)聯(lián)端口)端口以外的端口的時(shí)候停止,此端口就是攻擊的端口,把端口應(yīng)該shutdown ,然后再找到此設(shè)備進(jìn)行終端排查。
以下為找到了攻擊源所在的交換機(jī):
Switch>enable
Switch#
Switch#config
Switch_config#interfaceFastEthernet0/1
Switch_config_F0/1#shutdown
北京市公安局海淀分局備案號(hào):11010802023656號(hào)