今日头条
官方微信
官方抖音
案例频道
1、什么是arp攻击?
arp攻击就是通过伪造IP地址和MAC地址实现arp欺骗,能够在网络中产生大量的arp通信量使网络阻塞,攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的IP-MAC条目,造成网络中断或中间人攻击。
当局域网内某台主机运行arp欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网转由通过病毒主机上网,切换的时候用户会断一次线。
2、卓越信通TSC系列工业以太网交换机如何预防arp攻击?
个人用户利用安装终端arp防火墙和杀毒软件可以预防arp攻击,但是此防御措施无法避免外来用户的侵入或大面积网络出现通信中断及无法访问互联网的情况。此时我们可以利用交换机的MAC-IP地址绑定做好攻击预防,其中TSC系列工业以太网交换机的PT、Carat、Comet等产品系列均可以做到这一点。
具体配置如下:interface Fa0/1
switchport port-security bingip mac
这样做了以上配置后,伪装的MAC或IP的数据报文会被过滤掉,大大减少了攻击的隐患。
3、当arp攻击发生了的情况,如何利用交换机查找arp攻击源?
以下是某个网络系统上发生的arp攻击案例,现场利用PT35系列交换机查找攻击源,步骤如下:
(1)现象描述:
首先通过现场上网行为管理设备查到一些绑定的IP和MAC地址不一致,且这些地址的MAC是同一个MAC(不是真正机器的MAC地址),此时这些PC上不去网。
(2)分析原因:此现象为arp攻击
(3)解决方法:
1)首先通过上网行为管理查到一些IP地址共同对应的MAC地址记下来;
2)其次登录到中心交换机里面(之前的交换机配置中提到了如何登陆到交换机,如果攻击的对象一直攻击,它的MAC地址就一直存在);
PT35>enable
PT35#show mac address-table | beginxx-xx-xx-xx-xx-xx (有问题的MAC地址)
出现以上信息的话,可以了解到vlan 706只在g8/2被允许通过,所以接下来在g8/2下的所有的交换机下面首先登陆到172.30.106.2与中心直连的交换机车站地址进行配置:
PT35-1#show mac address-table | beginxx-xx-xx-xx-xx-xx
此时可以看到此MAC地址从哪个端口学习过来的以此向下面的交换机执行此命令知道交换机下面的MAC地址对应的端口为除G1/1,G1/2,G2/1,G2/2(这几个端口问trunk口属于交换机级联端口)端口以外的端口的时候停止,此端口就是攻击的端口,把端口应该shutdown ,然后再找到此设备进行终端排查。
以下为找到了攻击源所在的交换机:
Switch>enable
Switch#
Switch#config
Switch_config#interfaceFastEthernet0/1
Switch_config_F0/1#shutdown
北京市公安局海淀分局备案号:11010802023656号