1.防御ARP欺骗的原理
要想防御ARP欺骗,应该首先分析ARP欺骗能够成功的条件,然后进行限制。在明白ARP欺骗原理后,很容易找到关键之处:冒充者伪造了ARP响应报文,如果交换机端口接收到ARP响应报文后能够检查报文真伪并且不转发伪造报文就可以对ARP欺骗进行防御了。
图4-14是一个伪造的ARP响应报文,这个报文是从1.1.123.33网卡发出的,但是ARP响应报文的“Sender IP address”字段却是1.1.123.2,也就是说,IP地址为1.1.123.33的主机冒充IP地址为1.1.123.2的主机向IP地址为1.1.123.1的主机发送的ARP响应报文。
图4-14 一个伪造的ARP响应报文
开启交换机端口的ARP 报文检查(ARP Check)功能可以检查端口收到的ARP响应报文中的“Sender IP address”字段是否与交换机中存储的允许接入的IP一致,从而进行过滤,对所有非法的ARP报文进行丢弃,这样就能够有效地防止网络中的ARP欺骗,提高网络的稳定性。
2.交换机的ARP Check功能
ARP Check 功能检测逻辑端口下的所有的 ARP 报文中的 Sender IP 字段或<Sender IP,Sender MAC>是否满足合法用户信息表中的匹配关系,所有不在合法用户信息表中的 ARP 报文将被丢弃,合法用户信息表可以由已经配置的端口安全、全局 IP+MAC 绑定、802.1x IP 授权、IP Source Guard、GSN 绑定等功能产生。目前 ARP Check 支持的检测方式包括:
(1)仅检测 IP 字段:包括端口安全功能中的“仅IP模式”和IP Source Guard 手工配置的“仅IP模式”。
(2)检测IP+MAC字段:包括端口安全功能的IP+MAC绑定模式、全局IP+MAC绑定功能、802.1x IP 授权功能、IP Source Guard功能、GSN绑定功能。(www.xing528.com)
ARP check属于硬件芯片检查安全表项,不消耗CPU资源。
3.端口安全限制IP接入模式下的ARP Check实例
在部署交换机的端口安全功能限制接入计算机的IP地址时需要管理员通过指令配置合法的绑定的IP地址,这个地址表配合ARP Check功能就可以过滤掉伪造的ARP响应报文。仍然采用图4-8所示网络在PC3上开启Kali虚拟机使用ARPSpoof进行ARP欺骗,如果不应用端口的ARP Check功能,欺骗能够成功。下面在交换机的f0/3端口配置端口安全功能限制接入IP为PC3的IP地址与虚拟机中Kali操作系统的网卡地址,即1.1.123.3和1.1.123.33,配置指令如下。
此时端口f0/3没有开启ARP Check功能,PC3上仍然可以用ARPSpoof进行ARP欺骗。下面的指令在端口f0/3上开启ARP Check功能。
端口f0/3开启ARP Check功能后,PC3上使用ARPSpoof进行ARP欺骗将不会成功,在PC1和PC2上不能收到伪造的ARP响应报文了,交换机f0/3端口没有转发伪造的报文。
在交换机端口开启ARP Check功能十分简单,用一条指令“arp-check”就完成了,但是生效的前提是交换机中已经存在合法用户信息表。上面的例子演示了使用端口安全功能只绑定IP地址产生合法用户信息表。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
