ARP攻击防御(ARP攻击防御的三个控制点)

在上一次更新中,说到了ARP的攻击,在最后给出了三种防御的方法,具体怎样操作呢?

下面来介绍一下

(1)静态绑定ARP表项。

因为ARP表中的内容是动态更新的,每当设备接收到ARP数据包时就会修改里面的表项,所以攻击者才可以随心所欲地篡改被害者设备的ARP表。

在ARP表中除了这种动态表项之外,还有一种不会被修改的静态表项类型。考虑到中间人攻击时通常篡改的都是网关的地址,所以我们需要将其IP地址和MAC地址绑定。绑定的命令为:


(2)使用DHCP Snooping功能。

DHCP是一种可以实现动态分配IP的协议,目前应用得十分广泛。我们家庭中使用的无线路由器就使用这个协议为设备分配IP地址。DHCP监听(DHCP Snooping)是一种DHCP安全特性。当DAI交换机开启了DHCP Snooping后,会自动记录主机的ARP信息,用来获取主机的IP、MAC、VLAN、接口的绑定信息,根据这些绑定信息来查看主机发出的ARP信息两者是否吻合,吻合就放行,不吻合就丢弃或者关闭接口。

(3)划分VLAN。

VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,也就是建立了一个虚拟的网络。每一个VLAN中的所有设置都好像连接到了一个虚拟的交换机一样,这样VLAN里面的设备就不能接收其它VLAN的ARP数据包。通过VLAN技术可以在局域网中建立多个子网,这样就限制了攻击者的攻击范围。

版权声明:

作者: freeclashnode

链接: https://www.freeclashnode.com/news/article-3309.htm

来源: FreeClashNode

文章版权归作者所有,未经允许请勿转载。

免费节点实时更新

热门文章

最新文章

归档