首页 > 其他分享 >DAI功能简介

DAI功能简介

时间:2024-06-20 17:00:01浏览次数:23  
标签:ARP 功能 snooping 简介 DAI 交换机 82.0 DHCP

Catalyst交换机上启用DHCP Snooping以及DAI(Dynamic ARP Inspection)功能,目的是防止出现DHCP假冒以及ARP欺骗攻击。其中,DAI功能的实现需要借助DHCP Snooping建立的IP与MAC地址的绑定表。 启用该功能后,发现交换机的某些端口每天不定时的发出大量ARP检测告警,告警发生时,相关联的PC无法访问网络,需要通过重新插拔网线来恢复。

故障诊断步骤

首先DAI功能是基于DHCP snooping建立的binding表项为依据来进行ARP报文的合法性的, DHCP snooping功能通过在DHCP snooping untrust接口的DHCP消息获得该接口下客户端的MAC、IP address、VLAN和Port四个参数建立唯一的binding表,每个MAC地址只能绑定唯一的IP地址。 例:
Cat4507#show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ---------- ------------- ---- --------------------00:21:97:13:C5:8B 82.0.255.99 619391 dhcp-snooping 425 GigabitEthernet3/1700:10:DC:72:8B:90 82.0.255.81 1312129 dhcp-snooping 425 GigabitEthernet3/19
当交换机在使能DAI的VLAN端口收到ARP报文时,会检查其源IP及MAC地址,如果地址与binding表项一致,则允许通过并转发,如果和DHCP binding表项不统一,则认为是非法ARP报文并丢弃,同时系统打印告警日志。 在问题发生时,发生以下ARP检测告警信息:
Jan 29 08:53:14.049 BJT: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Gi3/26, vlan 425.([000a.e4c1.b8b7/82.0.255.163/0000.0000.0000/82.0.255.254/08:53:13 BJT Fri Jan 29 2010])
这条告警信息的含义是, 交换机收在G3/26端口收到了一个ARP request报文,源IP及MAC地址分别为000a.e4c1.b8b7/82.0.255.163,需要请求IP地址为82.l0.255.254的MAC地址。交换机将该报文的源IP和MAC与本地的DHCP snooping binding表进行匹配检查,发现源MAC和IP与表项中信息不一致,认为是非法ARP请求报文,丢弃了该ARP请求包并打印了日志。 接着,对发生告警的交换机端口进行镜像抓包,发现以下现象:

 

  • 客户端开机后,通过DHCP协议正常获取了IP地址,此时可以正常访问网络,交换机上也建立了正确的DHCP snooping 绑定表项,没有DAI告警日志。此时,客户PC获得了IP地址为82.0.239.66。
同时在交换机上也可以看到绑定表项的正确建立:
Cat4507#show ip dhcp snooping binding interface gigabitEthernet 4/3MacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ---------- ------------- ---- --------------------00:1A:6B:3A:8B:B6 82.0.239.66 2591916 dhcp-snooping 424 GigabitEthernet4/3

 

  • 在客户PC获得IP地址后不久,又再次发出DHCP Discovery报文来向DHCP服务器申请IP地址。DHCP服务器响应了请求,分配了83.0.239.89给客户端。



同一时间,交换机上的绑定表项也更新为新IP地址:
Cat4507#show ip dhcp snooping binding interface gigabitEthernet 4/3MacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ---------- ------------- ---- --------------------00:1A:6B:3A:8B:B6 82.0.239.89 2591999 dhcp-snooping 424 GigabitEthernet4/3

 

  • 新的绑定表项建立后,交换机开始出现大量ARP检测告警日志:
Mar 31 15:41:52.927 BJT: %SW_DAI-4-DHCP_SNOOPING_DENY: 2 Invalid ARPs (Req) on Gi4/3, vlan 424.([001a.6b3a.8bb6/82.0.239.66/0000.0000.0000/82.0.239.254/15:41:52 BJT Wed Mar 31 2010])Mar 31 15:41:53.927 BJT: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Gi4/3, vlan 424.([001a.6b3a.8bb6/82.0.239.66/0000.0000.0000/82.0.239.254/15:41:53 BJT Wed Mar 31 2010])


下一步计划

客户确认是Windows的RAS(Remote Access Service)服务发起了第二次DHCP申请。故建议客户或者取消PC机的RAS服务,抑或停止相应交换机接口下的DAI检测功能。

标签:ARP,功能,snooping,简介,DAI,交换机,82.0,DHCP
From: https://www.cnblogs.com/officexie/p/18259005

相关文章

  • 揭秘AI无人直播的核心功能 到底是割韭菜还是未来的核心竞争力呢
    AI无人直播平台具备以下核心功能:直播监控:借助先进的人工智能技术,平台能够实时、精细地监控直播画面,及时响应并处理异常情况,确保直播的流畅与稳定。不论是网络延迟、媒体传输问题还是用户投诉等,平台都能快速检测并采取相应措施,保障用户体验。无人直播咨询:yp2200227直播互动:平......
  • CertWatcher:一款功能强大的证书监控和恶意活动检测工具
    关于CertWatcherCertWatcher是一款功能强大的证书监控和恶意活动检测工具,旨在实时分析SSL/TLS证书,并检测web服务器上的恶意活动、漏洞和错误配置。它通过捕获和跟踪证书透明度日志,并使用YAML模板检测和分析钓鱼网站以及其他类型的恶意活动来实现其功能。Certwatcher持续监......
  • pbootcms上系统日志添加爬虫头分类功能
    因为pbootcms模板框架种默认的系统日记记录有爬虫信息,但是爬虫头又没分类查询,为了方便查询添加了一个爬虫头分类选择下拉框。1.在apps/admin/view/default/system/syslog.html中添加爬虫头分类选择下拉框功能:<formaction="{url./admin/Syslog/index}"method="get"class......
  • 数据采集与控制> 数字I/O卡 > PXI2371,PXI总线,离散量输入输出卡,每通道可通过跳线实现切换
    数据采集与控制 > 数字I/O卡 > PXI2371/2372/2373本章主要介绍237X的系统组成及基本特性,为用户整体了解237X的相关特性提供参考。产品简介237X板卡是本公司推出的一系列高密度离散量输入输出卡,每通道可通过跳线实现切换电源/开、电源/地、地/开三种输入状态选择,输入通......
  • PCI2363/PCIe2363/PXI2363/PXIe2363,工业级光电隔离DI/O卡,通道间隔离,支持24路漏极源极
    数据采集与控制 > 数字I/O卡 > 2363系列236x系列板卡是本公司推出的PCI、PCIe、PXI、PXIe四种总线的工业级光电隔离DI/DO卡,采用并行数字IO接口设计,支持多达48路I/O通道,并且通道与通道间隔离。输入包含可编程输入滤波器功能,以消除信号的毛刺/尖峰,使采集结果更精准。输出......
  • 深入解析微软Edge浏览器:探索其功能与应用
    微软Edge浏览器是微软公司推出的一款现代化网页浏览器,旨在为用户提供快速、安全和高效的上网体验。本文将全面解析微软Edge浏览器,从其历史背景、核心功能、性能表现、安全特性到实际应用场景,带领读者深入了解这款浏览器的优势和使用技巧。一、Edge浏览器的历史背景1.1Edge的......
  • Springboot 权限认证框架 -- SA-Token 简介(一)
    引言现今的软件开发中,权限认证与访问控制是每一个应用都必不可少的功能。SA-Token是一个简单、安全、易用的权限认证框架,它主要解决登录认证、权限认证、Session会话、单点登录等功能。SA-Token以其轻量级、零学习成本的特点,迅速赢得了开发者的青睐。本文将介绍如何在Sprin......
  • rebindMultiA:一款功能强大的多重A记录重绑定攻击测试工具
    关于rebindMultiArebindMultiA是一款功能强大的多重A记录重绑定攻击测试工具,该工具可以帮助广大研究人员通过针对目标域名执行多重A记录重绑定攻击,来测试目标域名或地址的安全情况。工具提供了一个rebindmultia.com域名,用来帮助广大研究人员使用该工具来进行测试实践。它会......
  • Automa实现的Gmail个人邮箱批量发邮件-带定时功能-实战原创
    文章目录前言一、Gmail个人邮箱批量发邮件是什么?二、操作演示1.工作流全貌2.数据读取3.创建空文件4.写入数据5.切换标签页6.定时功能总结高效办公新技能:使用Automa和Gmail实现定时邮件发送,提升效率!前言Gmail个人邮箱批量发邮件-自定义内容,这个插件之前做的是安......
  • 推荐一款目前可用的百度网盘下载工具:ODE多功能助手
    ODE多功能助手是一款百度网盘下载工具,目前还在开发阶段,但已实现百度网盘解析下载功能。用户可以提前使用该功能进行百度网盘文件的下载。软件特点:1.多功能预期:虽然目前功能有限,但开发者计划将其打造为一款多功能下载工具。2.自动解析:能够自动识别百度网盘链接中的提取码,......