当前位置: 首页 > 路由交换 > ARP、RARP
cjhcjh ARP、RARP   此文章访问量   1034

eNSP: ARP防网关冲突

eNSP: ARP防网关冲突

应用场景
如果有攻击者仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。这样其他用户主机就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到他们发送的数据内容,并且最终会造成这些用户主机无法访问网络。
为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关设备上执行本命令使能ARP防网关冲突攻击功能。当设备收到的ARP报文存在下列情况之一:
(1)ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同
(2)ARP报文的源IP地址是入接口的虚拟IP地址,但ARP报文源MAC地址不是VRRP虚MAC
设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。
注意事项
设备同一时间最多维护100条ARP防网关冲突攻击表项,超过这个数量的网关冲突攻击将无法防止。


(1)拓扑图

图片.png

(2)基本配置

sw1:

interface Vlanif1
 ip address 192.168.1.254 255.255.255.0

sw2:

interface Vlanif1
 ip address 192.168.1.254 255.255.255.0

图片.png

网络中已经ip冲突,造成网络不稳定。PC1都学习到了攻击者的mac地址。

图片.png

(3)配置ARP防网关冲突

[SW1]arp anti-attack gateway-duplicate enable 

如果有网关ip冲突,会有告警:

<SW1>
Nov 27 2022 09:52:38-08:00 SW1 %%01ARP/4/ARP_DUPLICATE_IPADDR(l)[2]:Received an ARP packet with a duplicate IP address from the interface. (IpAddress=192.168.1.254, InterfaceName=Vlanif1, MacAddress=4c1f-ccad-3c3e)
Nov 27 2022 09:52:38-08:00 SW1 SECE/4/GATEWAY_CONFLICT:OID 1.3.6.1.4.1.2011.5.25.165.2.2.2.1 Gateway conflict.(SourceInterface=GigabitEthernet0/0/2, SourceIP=192.168.1.254, SourceMAC=4c1f-ccad-3c3e, PVLAN=1, CVLAN=0)
Nov 27 2022 09:52:38-08:00 SW1 %%01SECE/4/GWCONFLICT(l)[3]:Attack occurred.(AttackType=Gateway Attack, SourceInterface=GigabitEthernet0/0/2, SourceMAC=4c1f-ccad-3c3e, PVlanID=1)
Nov 27 2022 09:52:43-08:00 SW1 %%01ARP/4/ARP

此时的sw2 ping pc1还是通的,但是pc1已经学到不到sw2的mac地址了。

图片.png

图片.png


(1)修改拓扑,添加多2台电脑上去

图片.png

(2)学习到了攻击者的mac地址

图片.png

图片.png

[sw2]user-bind static ip-address 192.168.1.254 mac-address 4c1f-cc96-19cd

图片.png

还是学习到了攻击者的mac地址,两个mac地址在打架:

图片.png



配置关闭MAC地址学习功能 (静态配置mac地址表)
接入接口视图,执行命令mac-address learning disable [ action { discard | forward } ],在接口上关闭MAC地址学习功能。
interface GigabitEthernet0/0/2
 mac-address learning disable action forward
缺省情况下,接口的MAC地址学习功能是使能的。
关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发。当配置动作为discard时,会对报文的源MAC地址进行匹配,当接口和MAC地址与MAC地址表项匹配时,则对该报文进行转发。当接口和MAC地址与MAC地址表项不匹配时,则丢弃该报文。

[sw2] mac-address static 4c1f-cc96-19cd GigabitEthernet0/0/2 vlan 1


ARP(列表、list、全)ARPLIST
http://www.zh-cjh.com/wenzhangguilei/1571.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » eNSP: ARP防网关冲突

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!