1、ARP风险分析
· 缺乏认证:(DAI修正)
· 信息泄露:被知道A、B在通信(无方法修正)
· 可用性问题:浪费带宽
2、ARP欺骗***
原理:发送mac冒充的免费ARP(无故ARP),刷新交换机mac表及PC的映射表,只在同一个子网有效
***:修改自己的mac
防范
· 三层交换机,借助snooping表
· 主机忽略无故ARP
· IDS
3、防范技术
1)动态ARP检测
(1) DHCP Snooping 环境 下
Switch (config)#ip arp ipspection vlan 5-10
Switch (config-if)#ip arp inspection trust
(2)其他环境(自定义 ARP ACL 检查)
Switch (config)#arp access-list arpacl
Switch (config-arp-acl)#permit ip host 10.0.0.1 mac host 0011.0011.0011
Switch (config)#ip arp inspection filter arpacl vlan 5 // 应用到 vlan5
Switch (config-if)#ip arp inspection trust // 把该接口设为信任接口 , 不受 ARP 监控
(3) 高级配置
Switch(config)#ip arp inspection log-buffer logs 100 interval 1
Switch(config)#ip arp inspection log-buffer entries 1024
Switch(config-if)#ip arp inspection limit rate 100 burst interval 1
//1秒内最多100个ARP包,应设为主机数量的2倍
2)保护主机
· 忽略无故ARP
· 静态ARP绑定
· IP电话可忽略无故ARP技术(可通过CCM进行配置)
3)IDS