自学网络安全day6

一、ARP防御

两种解决方法：

①保证电脑不接收欺骗包。

②保证电脑收到欺骗包之后不相信。

防御图：

①当黑客发起ARP欺骗包时，会途径局域网里面的交换机或无线路由器等网络设备。

②如果网络设备能够识别这种欺骗包，并且提前丢弃掉，则电脑/手机端就不会被欺骗。

③如果网络设备没有拦截这种欺骗包，则电脑/手机端需要做安全防御，然后再丢弃。

二、DAI（Dynamic ARP Inspection）动态ARP检测

①交换机记录每个接口对应的IP地址和MAC，即port←→mac←→ip，生成DAI检测表。

②交换机检测每个接口发送过来的ARP回应包，根据DAI表判断是否违规，若违规则丢弃此数据包并对接口进行惩罚。（不同设备的惩罚方式有所不同，可以直接将接口“软关闭”，直接将攻击者断网；也可以“静默处理”，仅丢弃欺骗包，其他通信正常）

DAI检测表如何生成？

在上面图解中，我们看到交换机查看的表已经不是原来的CAM表了，内容也不太一样CAM表的内容主要是MAC和Port的映射，而DAI检测表则是Port、MAC、IP三个信息映射。目前这张表支持两种方式来生成:

第一种方式就是手工静态绑定:即用户接入网络之后，管理员根据此用户电脑的MAC和IP地址，然后在接口上绑死，缺点就是用户数太多的话，手工绑定管不过来;

第二种方式就是目前最主流的做法，即在交换机上开启DHCP侦听技术，当用户第一次通过DHCP获取到地址的时候，交换机就把用户电脑的IP、MAC、Port信息记录在DHCP侦听表，后面ARP检测直接调用这张DHCP侦听表即可。

ARP防火墙一般有以下功能：

①绑定正确的IP和MAC映射，收到攻击包时不被欺骗。

②能够根据网络数据包特征，自动识别局域网存在的ARP扫描和欺骗行为，并做出攻击判断（哪个主机做了攻击，IP和MAC是多少）

三、ARP双向绑定

 PC1和PC2通信双方都静态绑定对方的IP和MAC映射，即便收到ARP欺骗包，由于静态绑定的ARP映射条目优先级高于动态学习到的，所以可以保证不被欺骗。这种做法非常“绿色无污染”，因为不需要额外的软件安装，但是缺点也非常明显，例如普通用户不知道如何在电脑上做ARP静态绑定，另外工作量也比较大，每个主机和网关设备都需要绑定整个局域网的ARP静态映射。

Windows arp静态绑定方法：

①进入命令行cmd界面

②[arp -s ip地址 mac地址]，例如：arp -s 192.168.1.1 00-11-22-a1-c6-09

注：家用无线路由器若要进行ARP绑定，则需要通过Web登录并进行图形操作

小结：用户端的ARP防御方法，要么安装ARP防火墙，要么做ARP双向绑定。