交换机要防御ARP攻击,就必须能够识别并读取ARP报文内容,
然后根据报文内容判断是否存在欺骗攻击行为,对于ARP欺骗报文进行丢弃处理。在接入层就是利用接入交换机的ARP入侵检测(ARP Intrusion Inspection)功能,进行ARP欺骗攻击防御。 498)this.w
idth=498;' onmousewheel = 'javascript:return big(this)' height=256 alt="" src="/files/uploadimg/20081127/1354330.jpg" width=512>ARP入侵检测在接入交换机进行部署,接入交换机同时启用DHCP Snooping对DHCP报文进行监测。DHCP Snooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息,并形成一个DHCP Snooping绑定表。交换机端口接收到的ARP报文后,通过查找DHCP Snooping建立的绑定关系表,来判断ARP应答报文的发送者源IP、源MAC是否合法。若ARP报文中的发送者源MAC、IP匹配绑定表中的内容,则
认为是合法的报文,允许通过;否则认为是欺骗攻击报文,就进行丢弃。ARP入侵检测能够防止接入终端发起任何ARP欺骗攻击,如果全网部署AII功能,可有效解决ARP欺骗攻击问题。另外由于ARP欺骗攻击,经常伴随者发送大量的ARP报文,消耗网络带宽资源和交换机CPU资源,造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速,对每个端口单位时间内接收到的ARP报文进行限制,很好地保障了网络带宽资源和交换机CPU资源。
时间: 2024-09-16 00:19:07