首先,我们来了解ARP协议的基本功能。当你想要将数据帧发送到同一局域网内的另一台主机时,你需要知道目标主机的数据链路层地址,这样才能确保数据正确到达。由于设备驱动程序并不检查IP数据报中的目的ip地址,这就需要通过ARP协议来进行IP地址到MAC地址的转换。
然而,ARP协议并非无懈可击。它的设计允许主机接收非请求的ARP应答,并将应答中的IP地址和物理地址添加到ARP表中。这种设计初衷是为了减少ARP通信量,但同时也为ARP欺骗提供了可乘之机。
ARP欺骗有多种形式,包括中间人攻击、网关欺骗和主机欺骗等。这类攻击的后果可能非常严重,可能导致大规模的网络中断,甚至威胁网络安全,如导致网络游戏、网银等账号被盗。
为了防止ARP欺骗,传统的防护措施是在宽带路由器和计算机上进行双向绑定。这种方法的不足之处在于:一是需要在每台计算机上添加批处理文件,对于大中型网吧或校园网来说,这是一项庞大的工作;二是传统的双向绑定只能确保上网不受欺骗,但无法保证内网计算机之间的安全。
为了克服这些不足,一种叫做四元绑定的技术被提出来。通过在二层网关交换机上实施四元绑定,可以有效地防止ARP欺骗。这种方法通过对交换机每个端口进行分析,杜绝ARP欺骗报文从任何一个端口转发,同时保障了内部和外部网络安全。
接下来,让我们看看如何在实际操作中实施ARP防护。假设你所在的网络结构如下:交换机TL-SL5428下接有26台主机和1台文件服务器。以下是实施ARP防护的步骤:
1. 设定绑定列表。你可以手动添加设备或使用扫描绑定方式。例如,将文件服务器和两台局域网主机分别绑定到交换机的27、1、2口。
2. 确认网络中的特殊端口。例如,可以将与交换机或路由器级联的端口设置为特殊端口,如28号端口。
3. 设置ARP防护功能。选择特殊端口后,启用“防ARP欺骗”并提交设置。
通过上述步骤,你就可以有效地实施ARP防护,确保网络的安全与稳定。需要注意的是,随着网络安全威胁的日益复杂化,仅依靠ARP防护可能不足以保障网络安全,还需要结合其他安全措施,如防火墙、入侵检测系统等。
ARP简介
ARP(Address Resolution Protocol,地址解析协议)用于将网络层的IP地址解析为数据链路层的物理地址。网络上的一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据主机的数据链路层地址(包括MAC地址)进行转发的,设备驱动程序从不检查IP数据报中的目的IP地址,所以这就需要将IP地址解析为数据链路层地址。
ARP欺骗
按照ARP协议的设计,一个主机也会接收不是自己主动请求的ARP应答,并将应答中的IP地址和物理地址添加到ARP表中,这样设计是为了减少网络上过多的ARP通信量,但同时也为“ARP欺骗”创造了条件。
ARP欺骗的方式有多种,中间人攻击、网关欺骗、主机欺骗等等。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积频繁掉线,严重的会威胁到网络安全,如网游、网银的帐号被盗等安全问题。
ARP防护
传统的ARP防护措施是在宽带路由器和计算机上进行双向绑定,但是仍然存在两个不足:
1、每台计算机上均需要添加批处理文件,对于大中型的网吧、校园网等来说,工作量太大;
2、传统的双向绑定只保证上互联网不受欺骗,但是内网的计算机与计算机之间的安全没有保障;
综合以上两个不足及ARP攻击的特点,二层网关交换机的四元绑定功能给出了有效的防ARP攻击解决方案。通过对交换机每个端口进行分析,杜绝ARP欺骗报文从任何一个端口转发,同时保证了内部和外部网络安全。
某企业网络结构如下图,交换机TL-SL5428下接有26台主机,1台文件服务器。
1、设定绑定列表。绑定列表添加的方式有“手动绑定”和“扫描绑定”两种。这里手动添加文件服务器和两台局域网主机进去分别到交换机的27、1、2口。
添加完成如下图:
如果局域网电脑较多,我们可以采取扫描绑定的方式,设定扫描“起始IP地址”和“结束IP地址”后,点击扫描。
得到扫描结果后,选择需要绑定的条目,“防护范围”选择“ARP防护”后点击“绑定”按钮。
绑定后可以在绑定列表中查看相应条目。
2、确认网络中的特殊端口,特殊端口是针对交换机而言的,交换机对特殊端口的ARP报文直接转发。可将与交换机或者路由器级联的端口设置为特殊端口,上图中可将28号端口设置为特殊端口。
3、设置ARP防护功能。选定特殊端口28后,启用“防ARP欺骗”并提交。
