关于ARP攻击

永恒结束 · 发表于 2008-9-28 11:13:19

本人测试过,用科来的数据包生成器,构造虚伪的ARP请求包,并大量发送的话,会造成网络堵塞,甚至崩溃!
请问应该如何防御!
IP地址,和MAC地址,在路由器进行了静态绑定!

oldjiang · 发表于 2008-9-28 11:27:59

"IP地址,和MAC地址,在路由器进行了静态绑定"，可能的作用有两个：
1、路由器不会被欺骗
2、不符合绑定的包被丢弃，即不能到达外网
从这个来看不能防止网络堵塞的行为

如果包的源mac地址是真实的，可以据此找到机器
如果包的源mac地址是伪造的，查交换机的mac地址表可以找到端口并进而找到机器
参考http://www.csna.cn/forum.php?mod=viewthread&tid=4955、http://www.csna.cn/forum.php?mod=viewthread&tid=10990

永恒结束 · 发表于 2008-9-28 17:44:01

请问这种行为如何防御呢?
构造的ARP包,IP地址和MAC地址都伪造的,这样便找不到攻击的主机!

oldjiang · 发表于 2008-9-28 19:43:27

在交换机，对每个端口绑定mac地址，当源mac非绑定的mac时，端口会丢弃包或shutdown

永恒结束 · 发表于 2008-9-28 21:02:41

原帖由 oldjiang 于 2008-9-28 19:43 发表
在交换机，对每个端口绑定mac地址，当源mac非绑定的mac时，端口会丢弃包或shutdown

这个我知道,有个ARP应答包发到交换机时,当源mac地址和IP地址和交换机绑定的不一致时,就对丢弃包!

但我想请问的是,一台机如果大量的发送ARP请求包,会造成网络的堵塞,甚至崩溃,应该如何防御?

[ 本帖最后由永恒结束于 2008-9-28 21:03 编辑 ]

oldjiang · 发表于 2008-9-28 21:09:40

如果mac是真实的，则绑定不起作用，但是定位主机不难。
如果mac是假的，端口不论是down掉还是丢弃包，都不会影响网络。
有些交换机还可以对端口限制发包的速度。
主要还是靠分析软件发现异常，结合mac地址表、IP-MAC对照表等定位主机。

[ 本帖最后由 oldjiang 于 2008-9-28 21:18 编辑 ]

oldjiang · 发表于 2008-9-28 21:13:47

“这个我知道,有个ARP应答包发到交换机时,当源mac地址和IP地址和交换机绑定的不一致时,就对丢弃包!”，思科的交换机，默认的操作是shutdown端口，端口down掉了，后续不会再有包进入网络。具体到这个问题，在交换机绑定mac即可，无需绑定IP。

oldjiang · 发表于 2008-9-28 21:23:06

我指的是在接入层交换机做MAC地址绑定，参考：
http://www.csna.cn/forum.php?mod=viewthread&tid=9239 奇怪的mac地址
http://www.csna.cn/forum.php?mod=viewthread&tid=9382的后记一段，一个小技巧

[ 本帖最后由 oldjiang 于 2008-9-28 21:30 编辑 ]

关于ARP攻击

回复 5# 的帖子

回复 5# 的帖子

浏览过的版块