ARP相关.pptVIP

1 ARP 简介 ARP 作用 ARP（Address Resolution Protocol，地址解析协议）用于将网络层的IP 地址解析为数据链路层的物理地址。 IP 地址只是主机在网络层中的地址，如果要将网络层中数据包传送给目的主机，必须知道目的主机的数据链路层地址（比如以太网络MAC 地址）。因此必须将IP 地址解析为数据链路层地址。 ARP 简介 ARP 报文结构 ARP报文分为ARP请求和ARP应答报文。 当一个 ARP 请求发出时，除了接收方硬件地址（即，请求方想要获取的地址）字段为空外，其他所有的字段都被使用。 ARP 应答报文使用了所有的字段。 ARP 简介 ARP 报文结构 ARP 表 以太网上的两台主机需要通信时，双方必须知道对方的 MAC 地址。每台主机都要维护IP 地址到MAC 地址的转换表，称为ARP 映射表。ARP 映射表中存放着最近用到的一系列与本主机通信的其他主机的IP 地址和MAC 地址的映射关系，每一条映射关系称为一条ARP 表项。以太网交换机支持使用display arp 命令查看ARP 表项信息。 ARP 表 以太网交换机的ARP表项分为：静态表项和动态表项。 静态 ARP 表项 用户手工配置的 IP 地址到MAC 地址的映射 动态 ARP 表项 交换机动态生成的 IP 地址到MAC 地址的映射 动态生成的 ARP 表项，通过动态ARP 老化定时器设定的时间进行老化 ARP 地址解析过程 ARP 入侵检测简介 “中间人攻击”简介 按照 ARP 协议的设计，一个主机即使收到的ARP 应答并非自身请求得到的，也会将其IP 地址和MAC 地址的对应关系添加到自身的ARP 映射表中。这样可以减少网络上过多的ARP 数据通信，但也为“ARP 欺骗”创造了条件。 如图所示，Host A和Host C通过Switch进行通信。此时，如果有黑客（Host B）想探听Host A和Host C之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，Host A 和Host C之间看似“直接”的通信，实际上都是通过黑客所在的主机间接进行的，即Host B担当了“中间人”的角色，可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人（Man-In-The-Middle）攻击”。 ARP 入侵检测简介 “中间人攻击”简介 ARP 入侵检测简介 ARP 入侵检测功能 为了防止黑客或攻击者通过 ARP 报文实施“中间人”攻击，开启 ARP 入侵检测功能，利用DHCP Snooping表或手工配置的IP 静态绑定表，对ARP 报文进行合法性检测。 开启 ARP 入侵检测功能后，如果ARP 报文中的源MAC 地址、源IP 地址、接收ARP 报文的端口编号以及端口所在VLAN 与DHCP Snooping 表或手工配置的IP 静态绑定表表项一致，则认为该报文是合法的ARP 报文，进行转发；否则认为是非法ARP 报文，直接丢弃。 用户可以通过配置信任端口，灵活控制 ARP 报文检测。对于来自信任端口的所有ARP 报文不进行检测，对其它端口的ARP 报文通过查看DHCP Snooping 表或手工配置的IP 静态绑定表进行检测； 用户可以通过配置 ARP 严格转发功能，使ARP 请求报文仅通过信任端口进行转发；对于接收到的ARP 应答报文，首先按照报文中的目的MAC 地址进行转发，若目的MAC 地址不在MAC 地址表中，则将此ARP 应答报文通过信任端口进行转发。 为了防止“中间人攻击”，设备通过开启 ARP 入侵检测功能，将ARP 报文上送到CPU 处理，判断ARP 报文的合法性后进行转发或丢弃。但是，这样引入了新的问题：如果攻击者恶意构造大量ARP 报文发往交换机的某一端口，会导致CPU 负担过重，从而造成其他功能无法正常运行甚至设备瘫痪。交换机支持端口ARP 报文限速功能，使受到攻击的端口暂时关闭，来避免此类攻击对CPU 的冲击。 开启某个端口的ARP 报文限速功能后，交换机对每秒内该端口接收的ARP 报文数量进行统计，如果每秒收到的ARP 报文数量超过设定值，则认为该端口处于超速状态（即受到ARP 报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP 报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了 ARP 限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。 配置ARP 入侵检测功能 配置ARP 入侵检测功能 配置ARP 报文限速功能 ARP 的显示和维护 ARP 典型配置举例 1. 组网需求 关闭交换机的 ARP 表项检查功能。 关