然而,ARP协议的设计也带来了一定的风险。例如,一个主机即使没有主动请求,也会接收并存储其他主机发送的ARP应答。这种设计初衷是为了减少网络上的ARP通信量,但同时也为ARP欺骗提供了可乘之机。
ARP欺骗是一种网络安全威胁,它通过伪造ARP应答,将网络上的IP地址映射到错误的物理地址,从而实现对数据包的窃听、篡改或拦截。这种攻击可以采取多种形式,如中间人攻击、网关欺骗或主机欺骗等。ARP欺骗的后果往往很严重,可能导致网络频繁掉线,甚至引发账号盗窃等安全问题。
为了应对ARP欺骗,传统的防护措施是在宽带路由器和计算机上进行双向绑定。但这种方法的缺点也很明显:首先,需要在每台计算机上添加批处理文件,这在大型网络中是一项庞大的工作量;其次,这种方法只能确保计算机访问互联网时的安全,但无法防止内网计算机之间的ARP欺骗。
为了解决这些问题,二层网关交换机的四元绑定功能应运而生。它通过对交换机每个端口进行细致分析,阻止ARP欺骗报文从任何端口转发,从而有效保障了网络的安全。
以下是一个基于四元绑定功能的ARP防护设置步骤示例:
1. **设定绑定列表**:首先,手动添加需要保护的服务器及计算机到交换机的指定端口。例如,将文件服务器和两台局域网主机分别添加到交换机的27、1、2口。
2. **扫描绑定**:如果局域网中有大量计算机,可以使用扫描绑定功能。设定扫描的起始和结束IP地址,然后进行扫描。
3. **选择绑定条目**:在扫描结果中选择需要绑定的计算机,并设置“防护范围”为“ARP防护”,然后点击“绑定”按钮。
4. **查看绑定列表**:绑定完成后,可以在绑定列表中查看已绑定的计算机,确保它们都得到了保护。
5. **设置特殊端口**:确定网络中的特殊端口,这些端口是交换机直接转发ARP报文的目标。例如,可以将与交换机或路由器级联的端口设置为特殊端口。
6. **启用ARP防护功能**:选择特殊端口,启用“防ARP欺骗”功能,并提交设置。
通过以上步骤,可以有效地设置ARP防护,保障网络的安全。需要注意的是,随着网络技术的发展,新的攻击手段和防护措施也在不断涌现。因此,网络管理员需要不断更新知识和技能,以确保网络的安全。
ARP简介
ARP(Address Resolution Protocol,地址解析协议)用于将网络层的IP地址解析为数据链路层的物理地址。网络上的一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据主机的数据链路层地址(包括MAC地址)进行转发的,设备驱动程序从不检查IP数据报中的目的IP地址,所以这就需要将IP地址解析为数据链路层地址。
ARP欺骗
按照ARP协议的设计,一个主机也会接收不是自己主动请求的ARP应答,并将应答中的IP地址和物理地址添加到ARP表中,这样设计是为了减少网络上过多的ARP通信量,但同时也为“ARP欺骗”创造了条件。
ARP欺骗的方式有多种,中间人攻击、网关欺骗、主机欺骗等等。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积频繁掉线,严重的会威胁到网络安全,如网游、网银的帐号被盗等安全问题。
ARP防护
传统的ARP防护措施是在宽带路由器和计算机上进行双向绑定,但是仍然存在两个不足:
1、每台计算机上均需要添加批处理文件,对于大中型的网吧、校园网等来说,工作量太大;
2、传统的双向绑定只保证上互联网不受欺骗,但是内网的计算机与计算机之间的安全没有保障;
综合以上两个不足及ARP攻击的特点,二层网关交换机的四元绑定功能给出了有效的防ARP攻击解决方案。通过对交换机每个端口进行分析,杜绝ARP欺骗报文从任何一个端口转发,同时保证了内部和外部网络安全。
某企业网络结构如下图,交换机TL-SL5428下接有26台主机,1台文件服务器。
设置步骤
1、设定绑定列表。绑定列表添加的方式有“手动绑定”和“扫描绑定”两种。这里手动添加文件服务器和两台局域网主机进去分别到交换机的27、1、2口。
添加完成如下图:
如果局域网电脑较多,我们可以采取扫描绑定的方式,设定扫描“起始IP地址”和“结束IP地址”后,点击扫描。
得到扫描结果后,选择需要绑定的条目,“防护范围”选择“ARP防护”后点击“绑定”按钮。
绑定后可以在绑定列表中查看相应条目。
2、确认网络中的特殊端口,特殊端口是针对交换机而言的,交换机对特殊端口的ARP报文直接转发。可将与交换机或者路由器级联的端口设置为特殊端口,上图中可将28号端口设置为特殊端口。
3、设置ARP防护功能。选定特殊端口28后,启用“防ARP欺骗”并提交。
