国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 移動安全 >

交換機防止同網(wǎng)段ARP攻擊配置案例(1)

時間:2011-05-01 17:16來源: 點擊:
S3552P是三層設(shè)備,其中IP:100.1.1.1是所有PC的網(wǎng)關(guān),S3552P上的網(wǎng)關(guān)MAC地址為000f-e200-3999.PC-B上裝有ARP攻擊軟件。 交換機防止同網(wǎng)段ARP欺騙攻擊配置案例。
Tags黑客攻防(516)ARP欺騙(78)交換機(49)  

  1 阻止仿冒IP的攻擊

  1.1 二層實現(xiàn)防攻擊

  1.1.1 配置組網(wǎng)

交換機防止同網(wǎng)段ARP欺騙攻擊配置案例(圖一)

  圖1二層交換機防ARP攻擊組網(wǎng)

  S3552P是三層設(shè)備,其中IP:100.1.1.1是所有PC的網(wǎng)關(guān),S3552P上的網(wǎng)關(guān)地址為000f-e200-3999.PC-B上裝有ARP攻擊軟件。現(xiàn)在需要對S3026_A進(jìn)行一些特殊配置,目的是過濾掉仿冒網(wǎng)關(guān)IP的ARP報文。

  1.1.2 配置步驟

  對于二層交換機如S3026C等支持用戶自定義ACL(number為5000到5999)的交換機,可以配置ACL來進(jìn)行ARP報文過濾。

  全局配置ACL禁止所有源IP是網(wǎng)關(guān)的ARP報文

  acl num 5000

  rule 0 deny 0806 ffff 24 64010101 ffffffff 40

  rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34

  其中rule0把整個S3026C_A的端口冒充網(wǎng)關(guān)的ARP報文禁掉,其中斜體部分64010101是網(wǎng)關(guān)IP地址100.1.1.1的16進(jìn)制表示形式。Rule1允許通過網(wǎng)關(guān)發(fā)送的ARP報文,斜體部分為網(wǎng)關(guān)的mac地址000f-e200-3999.

  注意:配置Rule時的配置順序,上述配置為先下發(fā)后生效的情況。

------分隔線----------------------------

推薦內(nèi)容