防止中间人攻击的动态ARP检测

ARP协议是网络是一把双刃剑。一方面，ARP协议在网络通信中不可缺少的协议，这似乎是一个问题的人，在某种程度上，它决定了数据的传输路径。另一方面，它是容易使用的攻击者和戏剧一个不恰当的角色。现在ARP攻击可以说是在一个水平。虽然有很多相关的措施，但在心灵的道路上承载，防不胜防。在这种情况下，动态ARP检测技术是Cisco的网络产品设计的。虽然这种技术不能从根本上解决了ARP安全风险，它还具有独特的性能，遏制其危害，特别是中间人攻击。）

一、中间人攻击案例模拟；
如上图所示，这是一个简单的网络结构图。有三个终端同时连接到同一个工作组开关。（事实上，可能会有更多的终端，为简单起见，笔者以三终端为例）。在这一点上，如果需要访问主机B主机（第一次知道对方的IP地址和MAC地址不知道），你需要先发送一个ARP请求，要求每个主机，多少IP地址是主机的MAC地址，和主机这个ARP请求的MAC地址将播出的广播形式的网络，即网络中每一个客户都会受到这一信息。通常，无关主机以外的其他B将丢弃该数据包。O只有当主机B收到请求，它将回应。主机B首先将创建它自己的ARP缓存记录的主机的IP地址和MAC地址。如果已经有IP地址，它将更新，并将ARP响应发送给A。此时的ARP响应是单播数据包，直接发送到主机A，而不是以广播的形式广播。

以上是一个正常的ARP处理的过程，但在这个过程中，如果不采取适当的安全措施，很可能会触发一个中间人攻击，如上图所示，如果终端设备C不丢弃数据接收由主机发送ARP请求后，而不是发送伪造的ARP应答（与主机的MAC地址替换它的MAC地址），它可以发起中间人攻击。接收主机C的ARP响应后，主机将不能有一个正确的主机的MAC地址和主机B的IP地址，认为主机C要发送数据的对象是错误的。然后将数据直接发送给主机C在这一点上，主机之间的通信a和主机B将被发送到主机C，然后主机C可以在获取相关内容后重定向流量。在这个过程中，主机C被称为中间商。

两。动态ARP检测防止人攻击

为了有效地防止攻击，动态ARP检测是Cisco的网络产品设计，原理比较简单，就是交换机的端口自动检测ARP数据包从正确的端口，并没有改变或被攻击者欺骗。这个原则实际上是简单的，它需要由许多技术处理。通常情况下，交换机可以通过DHCP绑定表MOD } {确定正确的端口。如果开关可以从错误的端口获取数据，数据包将被自动放弃，并将相关信息记录在案，违反港口也将设置错误禁用状态，和攻击者将无法进一步损害网络。

如上所示，如果在这种环境中启用动态ARP检测技术，则需要以下步骤。

第一步是启用DHCP { }是国防部的各种交换机端口启用。如上图所示，动态ARP检测需要确定数据的端口是从合法的港口。检测内容，你必须有一个DHCP {模型}绑定表。这个表是由一个DHCP {模型}程序创建。需要注意的是，这个{ MOD }服务是所有接口的开关启用重要。否则，有可能是一个问题。

第二步是需要配置交换机之间的连接带的关键（动态ARP检测）信任端口。例如，作者只画了一组开关，为了简单起见，在实际工作中，企业往往有多个开关形成一个网络。在这一点上，如果我们能够多开关启用动态ARP检测功能，我们需要做的配置是配置交换机之间的连接关系戴信任端口，你可以使用命令IP ARP检查信任来实现它。

当动态ARP检测功能，它发生在中间人攻击的事件，一个机会，如何处理它如上图所示，当攻击者连接到C的工作组交换机，并尝试发送虚假的ARP响应，交换机将根据DHCP { MOD }绑定表来检测这种攻击，并将丢弃该ARP数据包，然后交换机会设置端口被攻击者C连接到错误禁用状态，提醒管理员。

动态ARP检测功能时，要注意其误诊。如上图所示，如果中间人C不直接连接到工作组交换机，它是连接到一个集线器，集线器连接到开关的枢纽。当它发送一个中间人攻击，这交换机会关闭界面。这时，连接到该接口的所有主机将无法与网络进行通信。这一个人是有罪的，家庭是惩罚；它是经常参与的天真的方式。网络管理员需要采取这种负面影响考虑的时候启用。还有后续故障诊断的参考价值。

三。动态ARP检测在其他方面的作用

ARP动态检测功能有防止中间人攻击的一种特殊表现，但它的功能远不止此。如ARP动态检测功能，还可以实现ARP抑制，限制入境ARP数据包的速率。如果ARP数据包速率达到规定值时，有可能在网络ARP攻击。在这种情况下，交换机会自动设置界面禁用状态。使ARP抑制，额外的配置是在开关的要求。它可以实现如下：IP ARP检测限率（ARP数据包的速率）。不难执行此配置，和难度如何确定利率。如果利率高，那么它不哈具有ARP抑制功能，反之，如果设置相对较低，可能会影响网络的正常使用。

四。动态ARP检测中的相关技术

从以上分析可以看出，动态ARP检测不是一个独立的技术，它必须与其它技术的帮助下实现的。所以我更喜欢称它为一个组合的技术。如果你需要启用DHCP { }程序模型，它可以帮助开关判断数据源接口的合法性等等。当ARP检测技术已启用，交换机会自动确定一些必要的辅助技术启用。如果不启用，开关会犯错误和终止用户的要求。所以当配置此功能，网络管理员还需要了解与之相关的其他技术。特别是，那些需要的先决条件要理解的是需要首先启用什么技术。

在实际工作中，如用户介绍或培训的过程中，作者将动态ARP检测技术作为安全解决方案（多种技术的组合）而不是一个单一的技术，它需要关注在学习和配置。我想再次强调，动态ARP检测是一种结合DHCP { } IPSG MOD技术，技术和其他的安全解决方案，主要用于解决ARP攻击相关的安全问题。它能有效地保护在多层交换网络的接入层的ARP攻击，如ARP中间人攻击，ARP欺骗，ARP攻击，ARP扩散，抑制。当然，在实现的过程中，会有一些负面影响我的影响，最大的负面影响是连接到同一个界面的其他无辜用户的损失，这个问题需要考虑在设计和部署动态ARP检测功能。如果一个终端连接到一个接口有一个网络故障和其他接口的正常运行，就要考虑是否是这个原因。

标签：动态检测中间人攻击电脑应用 arp

免责声明：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。