在网络通信中,数据包需要从一个主机传输到另一个主机,这需要依赖数据链路层的物理地址,也就是MAC地址。ARP协议的作用就是将网络层的ip地址映射到数据链路层的MAC地址。当一台主机需要向局域网内的另一台主机发送数据时,它会通过ARP协议查询目标主机的MAC地址,然后根据这个地址将数据帧发送出去。
然而,ARP协议的设计也存在一定的安全隐患,其中最常见的就是ARP欺骗。ARP欺骗利用了ARP协议的一个特性:一个主机即使没有主动请求,也会接收并处理其他主机发来的ARP应答。这种设计减少了网络中的ARP通信量,但也为ARP欺骗提供了可乘之机。ARP欺骗攻击包括中间人攻击、网关欺骗、主机欺骗等,这些攻击可能导致网络频繁掉线,甚至威胁到网络安全,如账号被盗等。
为了应对ARP欺骗,传统的防护措施是在路由器和计算机上进行双向绑定。但这种方法存在两个主要问题:首先,需要在每台计算机上添加批处理文件,这对于大型网络环境来说工作量巨大;其次,双向绑定只能防止来自互联网的欺骗,对内网安全没有保障。
针对这些问题,一些交换机提供了ARP防护功能。例如,TL-SG2224E/SG2224P交换机就提供了一种有效的ARP防护解决方案。该方案通过分析每个端口的ARP报文,阻止ARP欺骗报文从任何端口转发,从而确保内部和外部网络的安全。
下面我们来了解如何进行ARP防护设置:
首先,需要确定网络中的特殊端口。特殊端口是指直接连接到路由器或其他具有ARP防护功能的设备的端口。接下来,将主机的IP地址、MAC地址与交换机端口的对应关系添加到系统中,可以通过手动输入或动态扫描的方式完成。
然后进行全局配置,启用ARP攻击防护功能,并勾选“特殊端口”选项。具体到每台交换机的配置步骤如下:
1. 确认特殊端口:例如,A交换机的1、2、3、4端口为特殊端口。 2. 设置主机绑定:可以选择手动添加或动态扫描的方式,将主机的MAC地址和IP地址与交换机的端口进行绑定。 3. 全局配置:将ARP攻击防护功能从“禁用”改为“启用”,并提交配置。
对于不同交换机,设置方法略有不同。例如,B交换机可能只需要设置1端口为特殊端口,并通过动态扫描方式绑定主机信息。
需要注意的是,在启用ARP攻击防护功能前,必须确保所有计算机都已进行主机绑定,否则未绑定的计算机将无法上网。此外,如果路由器连接了其他不具备ARP防护功能的设备,则需要相应调整特殊端口的设置。
通过这些措施,可以有效防止ARP欺骗攻击,保障网络的安全稳定。
ARP简介
ARP(Address Resolution Protocol,地址解析协议)用于将网络层的IP地址解析为数据链路层的物理地址。网络上的一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据主机的数据链路层地址(包括MAC地址)进行转发的,设备驱动程序从不检查IP数据报中的目的IP地址,所以这就需要将IP地址解析为数据链路层地址。
ARP欺骗
按照ARP协议的设计,一个主机也会接收不是自己主动请求的ARP应答,并将应答中的IP地址和物理地址添加到ARP表中,这样设计是为了减少网络上过多的ARP通信量,但同时也为“ARP欺骗”创造了条件。
ARP欺骗的方式有多种,中间人攻击、网关欺骗、主机欺骗等等。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积频繁掉线,严重的会威胁到网络安全,如网游、网银的帐号被盗等安全问题。
ARP防护
传统的ARP防护措施是在宽带路由器和计算机上进行双向绑定,但是仍然存在两个不足:
1、每台计算机上均需要添加批处理文件,对于大中型的网吧、校园网等来说,工作量太大;
2、传统的双向绑定只保证上互联网不受欺骗,但是内网的计算机与计算机之间的安全没有保障;
综合以上两个不足及ARP攻击的特点,TL-SG2224E/2224P交换机给出了有效的防ARP攻击解决方案。通过对交换机每个端口进行分析,杜绝ARP欺骗报文从任何一个端口转发,同时保证了内部和外部网络安全。
TL-SG2224E/SG2224P网吧ARP防护解决方案
图中以TL-SG2224E作为主交换机,TL-SG2224P作为接入交换机,这两款交换机都有ARP防护功能,下面主要介绍ARP防护配置步骤,并以A、B交换机为例,进行ARP防护相关设置举例,C、D交换机的设置与B类似。
ARP防护设置
步骤一:确认网络中的特殊端口
特殊端口是针对交换机而言的,交换机对特殊端口的ARP报文直接转发。特殊端口判定标准:
1、与路由器级联的端口,如图中A交换机的4端口;
2、与其他具有ARP防护功能设备级联的端口,如图中A交换机的端口1、2、3;
因此,上图中A交换机的1、2、3、4端口为特殊端口,B、C、D交换机的1端口为特殊端口。
步骤二:添加主机的IP、MAC和交换机端口的对应关系,添加方式有手动和动态扫描两种方式
步骤三:全局配置
ARP攻击防护功能由“禁用”改为“启用”,勾选“特殊端口”,最后“提交”。
根据三步骤,A交换机配置如下:
1、确认特殊端口:A交换机的1、2、3、4端口为特殊端口。
2、设置主机绑定:这里以手动方式添加计费、游戏、音乐服务器的MAC、IP地址到5、6、7端口:
添加完成:
3、全局配置:
根据三步骤,B交换机设置如下:
1、确认特殊端口:B交换机的1端口为特殊端口。
2、设置主机绑定:这里以动态扫描方式设定B交换机下电脑MAC、IP地址和端口的对应关系。
在“主机绑定”页面选择“主机扫描”,根据实际情况填写B交换机下电脑的起止IP地址,除特殊端口外其他端口均为需要扫描的端口,如下图,点击“扫描”,得到扫描结果后,选择“全选”并“绑订选中项”:
返回“主机绑定”界面,可以看到以下信息:
3、全局配置:
至此,A、B交换机ARP防护设置完成。
补充说明:
1、一定要将所有电脑都主机绑定后,方可开启ARP攻击防护功能,否则未绑定的电脑无法上网。
2、若路由器级联了其他不具有ARP防护功能的设备时,A交换机的4端口为非特殊端口。
3、若主机扫描出现类似以下情况,即扫描到相同的MAC地址对应不同的IP地址时,交换机会以红色凸显,选定时请手动选择正确的MAC和IP地址对应关系。
4、非法ARP报文统计,此功能是统计非特殊端口收到的非法ARP报文,如下图,当非法ARP报文攻击速率达到100pps时,交换机会以红色凸显警告。
