ARP欺骗攻击与防御策略

工作目的

理解交换式局域网监听原理，掌握ARP欺骗过程和动态ARP检测

任务分析

ARP用于将目标IP地址转换为物理地址。常用于局域网内部主机之间基于MAC地址通信，源主机发送信息时将包含主机IP地址ARP请求广播发送网络中所有主机，并接受返回信息，将IP地址和MAC地址存入ARP缓存表

环境拓扑

基本配置

system-view 
[Huawei]sysname AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip ad 192.1.1.254 24
[AR1-GigabitEthernet0/0/0]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip ad 192.168.1.254 24
[AR1-GigabitEthernet0/0/1]q

各主机联通情况

查看ARP缓存

入侵实战

修改pc3的IP地址为pc1的IP地址

使用pc3进行ping

再次查看arp缓存

修改回pc3的地址

使其它pc进行ping

查看arp缓存

防范策略

绑定接口和mac地址

[AR1]user-bind static ip-address 192.168.1.1 mac-address 5489-9827-394D

pc3进行ping

查看arp缓存

重新改回192.168.1.3 pc3的地址，进行ping

任务总结

• 为防范ARP攻击，如果管理员没有开启动态ARP检测，在客户机上手动绑定网关IP和MAC地址关系
• ARP欺骗劫持不属于病毒木马，不能通过安装防病毒软件达到防范效果