hello,我是网工小陈。
在内网里搞破坏,最常见的攻击方式就是ARP欺骗了。
ARP欺骗攻击组网
它不需要特别高级的黑客技术,只要有访问权限,几行命令就能轻松伪装网关、劫持流量,甚至让整个局域网瘫痪。
别以为你把网关设好了,启用了静态IP就安全了,只要ARP欺骗没防住,数据该去哪儿就能被拦到哪儿。
那问题来了:
在交换机侧,怎么部署才真正能防住ARP欺骗?
答案其实很明确:三板斧——动态ARP检测(DAI)+ IP-MAC绑定(静态绑定)+ DHCP Snooping。
只要这几项配对了,绝大部分ARP攻击在你网里根本施展不开。
今天我们就来一次梳理,把交换机侧能做的ARP防御手段讲透,不仅要知道原理,更要懂怎么配置、怎么部署、怎么判断是否生效。
文章目录
1. 先别讲配置,ARP欺骗到底咋回事?
ARP是二层协议,作用是将IP地址解析成MAC地址,而ARP欺骗攻击的本质就是:发伪造的ARP响应,把目标设备的IP-MAC映射篡改了。
比如:
攻击者伪装成网关(发送
我就是192.168.1.1,这里是我的MAC),让PC把网关指向他;攻击者伪装成目标PC,拦截/中转数据包,搞中间人攻击;
大规模发虚假ARP广播,造成交换机学习错误的MAC,内网乱套,Ping网关不通,访问不上外网。
ARP攻击的最大问题就是“无感知”:
你抓不到攻击者在哪儿,只看现象就是“网慢”“断流”“网关不通”,误判率极高。
所以防御要靠交换机来控制。
2. ARP欺骗防护的核心逻辑:不能信任ARP报文
ARP是无验证的,设备谁都可以发。所以:
要想控制ARP,就得靠交换机;
要让交换机知道“谁发的ARP是可信的”,谁是假的。
这就有了下面三个核心机制:
3. DHCP Snooping:IP-MAC绑定的基础
作用:记录哪个MAC从哪个接口、通过DHCP获取了哪个IP。
一旦有了这个记录,后续的ARP报文交换机就能比对:你说你是192.168.1.100,MAC也对上了,来源接口也是你,那没问题;但你要是MAC错了,接口不对了,就拦!
配置关键点:
system-view
dhcp snooping
dhcp snoopingenable
interface GigabitEthernet0/0/1
dhcp snooping trust # 网关、DHCP服务器口设为 trust
interface GigabitEthernet0/0/2
undo dhcp snooping trust # 普通用户口设为非信任
配置完成后,设备会自动学习绑定关系:
display ipsourcebinding
4. 动态ARP检测(DAI):ARP报文做校验
DAI就是专门配合DHCP Snooping使用的,它在收到ARP报文时,会对照绑定表来判断报文是否合法。
动作流程如下:
收到ARP请求或响应; 拿报文中的IP+MAC+VLAN+接口信息去比对绑定表; 不符合的报文直接丢掉,记录日志、触发告警。
配置示例:
system-view
arp detectionenable
interface GigabitEthernet0/0/2
arp detection trust # 接口是否启用ARP报文校验
还可以做细粒度配置,比如只检测ARP响应,忽略请求:
arp detection validate check ip mac
5. 静态IP怎么办?用静态绑定表!
有些办公设备、摄像头不走DHCP,无法生成自动绑定记录怎么办?
很简单,手工绑定。
arp static 192.168.1.100 00e0-fc12-3456 vlan 10 interface GigabitEthernet0/0/2
或者:
ipsourcebinding 192.168.1.100 00e0-fc12-3456 GigabitEthernet0/0/2 vlan 10
这就把某IP与某MAC、某端口绑定死了,非它不可用。
6. 终极封锁:ARP限速、防广播风暴
如果内网还有异常ARP包刷屏,建议再加一手ARP速率限制:
interface GigabitEthernet0/0/2
arp rate-limit 10 5 # 每秒10个包,突发5个
此外还可以结合广播风暴抑制:
storm-control broadcast cir 128
7. 最佳部署建议
Tip:
防ARP,不是只靠交换机设置,网关配置、主机网卡设置也需要配合,比如禁止自动响应ARP请求。
总结一句话
交换机侧防ARP的核心就是“让ARP不能随便发、随便改、随便信”,该验证的要验证,该信任的要设 trust,该封死的要绑定清楚。
只要 DHCP Snooping + DAI + 静态绑定这三件事配合到位,ARP欺骗的空间就几乎为零。
发表回复