ARP协议分析与攻击防护（二）

• 一、ARP攻击防御
• • 1.1）静态ARP绑定
  • 1.2）ARP防火墙
  • 1.3）硬件级ARP防御

😐 uthor:朋小锋

一、ARP攻击防御

1.1）静态ARP绑定

手工绑定/双向绑定

😐从上节课我们得知，当windows客户机想要通讯时，需要向网关发送ARP广播请求报文，网关收到ARP请求后会向客户机发送ARP单播应答报文，当客户机收到应答后会在ARP缓存表中添加一条网关的动态ARP缓存。

动态ARP缓存优先级：同一IP地址的后者Mac地址会覆盖前者Mac地址

静态ARP缓存：手动配置IP地址对应的Mac地址（精准性）

静态ARP缓存优先级＞动态ARP缓存优先级

💯 从而可以看出，静态ARP缓存比动态ARP缓存更为安全!

😐朋小锋：什么？你让我实操给你看？不了不了，君子动口不动手嘛~

windows客户机上配置：

arp -s IP地址 MAC地址   #静态绑定

arp -a     #查看ARP缓存表

😧王小慧：原来我离安全只差“一配之隔”

👽 网关：万一坏蛋ARP攻击我怎么办，嘤嘤嘤~

😐朋小锋：有我在，没意外！你配吗？

👽 网关：我不配！

🐜 ARP攻击：你配吗？

👽 网关：我配我配~

路由器上静态绑定：

Router(config)#arp IP地址 MAC地址 arpa 端口号

😧王小慧：我我终于安全啦~

😐朋小锋：其实静态ARP绑定还是有缺点的。

😧王小慧：。。。。。。

优点：配置简单

缺点：工作量大，维护量大

1.2）ARP防火墙

😐朋小锋：@ARP防火墙 当你比Hacker更霸道时，你就能超越Hacker~

🚑ARP防火墙：不要问我为什么知道网关是谁，天生滴！

自动绑定静态ARP

🚑ARP防火墙：网关兄~我是朋小锋，我是朋小锋，我是朋小锋，我是朋小锋，我是朋小锋，我是朋小锋，我是朋小锋…×N

👽 网关：你是复读机吗，我知道你是朋小锋！

主动防御

🐜 ARP攻击：我是朋小锋~

🚑ARP防火墙：我是朋小锋，我是朋小锋~

🐜 ARP攻击：我是朋小锋，我是朋小锋，我是朋小锋~

👽💢 网关：???

ARP防火墙会给网关带来沉重的负担

🐜 ARP攻击：他真是个嘴强王者，不攻击了，溜了溜了~~

🚑ARP防火墙浑然不知：警告警告，外敌入侵~

🚑一千个ARP防火墙：网关，我是朋小锋，我是朋小锋，我是朋小锋~

👽💢 网关：你TM，我要疯啦！！！！

优点：简单易用

缺点：当开启人数较多时，会增大网络负担

1.3）硬件级ARP防御

😐朋小锋：@管理型交换机 大哥请求支援！

👼 管理型交换机：来了老弟~

🐜 ARP攻击：@DHCP服务器 给劳资来个IP地址

😄DHCP服务器：10.1.1.1拿去拿去

🐜 ARP攻击：@网关兄，我是10.1.1.2

👼 管理型交换机：想骗网关兄，先过我这关~ho！

管理型交换机支持“端口”做动态ARP绑定（配合DHCP服务器）

或做静态ARP绑定

😐朋小锋：你学会了吗？啥？没学会不要紧命令在此！

conf t

ip dhcp snooping  #开启DHCP监听功能

注:前提是交换机支持该命令！

😧王小慧：我48口的交换机，心累~

😐朋小锋：有命令你还嫌累？行吧~安排！

int range f0/1 - 48

switch(config-range-if)#

😐最后朋小锋回答上节课留下的问题：如果公司有人在做ARP欺骗，该如何找到此人？

答：画个圈圈诅…不不不~你应该用nbtscan工具扫描全网段的IP地址和MAC地址，然后与全公司的MAC地址一一对应，就可以找出此人啦

啥？你连nbtscan工具都不会用，莫的怕，关注我，带你认识不一样的网络安全