三度网教程:是一个免费提供流行视频软件教程、在线学习分享的学习平台!

动态ARP检测测试经验

时间:2022-11-8作者:未知来源:三度网教程人气:


随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。
动态ARP检测测试经验案例
 
 
 
一、组网及说明:
 
动态ARP检测测试经验
低端交换机的动态ARP检测和IP CHECK特性已经出来有一段时间了, 而针对该特性的指导手册却不多, 此次有一个测试项目中进行了该特性的测试, 整理了这篇测试文档, 希望对大家有所借鉴。
如组网是一个非常常见的组网结构, DHCP server在核心交换机7506E上(也可以用其他的服务器), 3600-EI与7506E为TRUNK相连, 网关在7506E上, PC1、PC2同属一个VLAN。
测试中要模拟非法ARP攻击, 因此需要ARP发包工具, 在网上比较容易找到的是网络执法官, 建议下载V2.96.12试用版, 其他一些破解版本如V2.88等都附有病毒。
    本次测试使用的交换机是3600-EI, 软件版本为3.10-R1602P02。
 
二、测试过程:
首先需要测试在未启用动态ARP检测特性时的现象,
3600-EI除启用dhcp-snooping不做任何特殊配置, PC1和PC2都通过DHCP获取地址, 分别为172.17.2.1/24和172.17.2.21/24。 测试前保证PC1、PC2与网关互通。
在PC1上打开一个DOS窗口, 可以看到172.17.2.254的MAC地址是:000f-e27b-f74e, 常PING 172.17.2.254, 可以看到是通的。
动态ARP检测测试经验
在PC2上打开网络执法官, 做如下配置:
动态ARP检测测试经验
选择当前使用的网卡, 并添加监控网段。
动态ARP检测测试经验
 
选择“设置”/“关键主机”, 将网关的IP增加到关键主机列表中。
此时还需要在PC2同时打开ethereal抓包工具收集证据, 开始抓包。 做好准备工作后就可以发动攻击了。
 
动态ARP检测测试经验
在主页面中右击PC1对应的条目, 选择“设定权限”, 如上图进行设置。
此时切换到ethereal, 查看刚刚抓的包:
    动态ARP检测测试经验
   
可以看到PC2伪造了2个ARP回应包, 分别是172.17.2.1->172.17.2.254 /
172.17.2.254->172.17.2.1, 源MAC都做了修改。
切换到常PING 172.17.2.254的DOS窗口, 可以发现已经不通了, 网关ARP已被更改。
    动态ARP检测测试经验
 
在3600-EI上查看ARP表, PC1的MAC地址同样被更改:
<S7506E>disp arp vlan 2
                Type: S-Static    D-Dynamic
IP Address       MAC Address     VLAN ID Interface              Aging Type
172.17.2.1       00c0-9fa2-53fa 2        GE2/0/3                17    D
172.17.2.21      0002-3f03-192a 2        GE2/0/3                20    D
 
以上可以很明显地看到ARP攻击的表现。
接下来就展现3600-EI如何有效地防范了。 在3600-EI上增加如下配置:
vlan 2
arp detection enable
#
interface Ethernet1/0/4
 port access vlan 2
 ip check source ip-address mac-address
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
 port access vlan 2
 ip check source ip-address mac-address
#
interface GigabitEthernet1/1/4
 port link-type trunk
 port trunk permit vlan 1 to 3 10
 dhcp-snooping trust
 ip source static binding ip-address 172.17.2.254 mac-address 000f-e27b-f74e
#
dhcp-snooping
#
此时再按上述步骤依次演示, 注意同样要保证测试开始前PC1、PC2与网关互通, 可以看到最后PC2发动攻击后PC1还是可以正常PING通网关, 查看PC2上ethereal所抓的包, 发现依然还是有伪造包发出, 但3600-EI和PC1的ARP表都没有被更改。
 
三、经验总结:
此案例同样适用于开局时向客户演示我们的功能特点, 对于客户网络中已部署了DHCP服务器的很容易实施, 但在没有部署DHCP服务器的环境下, 我们同样可以实现, 需要在用户接口上增加IP静态绑定表, 如上例中需要在连接PC1、PC2的端口上手工配置IP静态绑定表:
interface Ethernet1/0/4
ip source static binding ip-address 172.17.2.21 mac-address 0002-3f03-192a
#
interface Ethernet1/0/6
ip source static binding ip-address 172.17.2.1 mac-address 00c0-9f9b-2b98
 
四、注意事项:
测试前需要确定待测低端交换机是否支持该特性, 且需要升级到相应版本, 请与全球技术服务部技术支持中心确认。

上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

关键词:  动态ARP检测测试经验





Copyright © 2012-2018 三度网教程(http://www.3du8.cn) .All Rights Reserved 网站地图 友情链接

免责声明:本站资源均来自互联网收集 如有侵犯到您利益的地方请及时联系管理删除,敬请见谅!

QQ:1006262270   邮箱:kfyvi376850063@126.com   手机版