导读很多朋友对ARP攻击防护,防arp攻击还不了解,今天小绿就为大家解答一下。交换机(141)的ARP攻击是一个常见的网络问题,因此需要正确配置交换...
很多朋友对ARP攻击防护,防arp攻击还不了解,今天小绿就为大家解答一下。
交换机(141)的ARP攻击是一个常见的网络问题,因此需要正确配置交换设备。下面以H3C设备为例介绍典型的配置方法。
1.防止假冒网关IP的arp攻击
1.第2层交换机的抗攻击配置示例
网络拓扑如图所示。
图1
352P是三层设备,其中IP:100.1.1.1是所有PC的网关,3552P上的网关mac地址是00F-E200-3999。现在PC-B装了arp攻击软件。现在,3026_A需要一些特殊的配置,以便过滤掉假冒网关IP的arp报文。
可以为第2层交换机(如3026c)配置Acl。
(1)全局配置arp消息(自定义规则),其中拒绝的所有源IP都是网关。
ACL编号5000
规则0拒绝0806 ffff 24 64010101 ffffffff 40
规则1许可证0806 ffff 24 000 Fe 2003 999 ffffffffffff 34
rule0的作用是禁止整个端口3026C_A冒充网关的ARP报文,其中蓝色部分64010101是网关ip地址的十六进制表示:100.1.1.1=64010101。
1规则1的目的:允许上行端口的网关ARP报文通过,蓝色部分是网关3552的mac地址000f-e200-3999。
在S3026C-A系统视图中发布acl规则:
[s 3026 c-A]分组过滤器用户组5000
这样只有3026C_A连接的设备才能发送网关的arp报文,其他PC无法发送假网关的ARP响应报文。
以上问题已解答完毕,如果想要了解更多内容,请关注本站