ARP欺骗防不住?交换机配置好这几项,内网安全立马不一样

最新推荐文章于 2025-12-11 17:58:08 发布
原创 最新推荐文章于 2025-12-11 17:58:08 发布 · 859 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #华为

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部


在内网里搞破坏,最常见的攻击方式就是ARP欺骗了。

ARP欺骗攻击组网 

它不需要特别高级的黑客技术,只要有访问权限,几行命令就能轻松伪装网关、劫持流量,甚至让整个局域网瘫痪。

别以为你把网关设好了,启用了静态IP就安全了,只要ARP欺骗没防住,数据该去哪儿就能被拦到哪儿。

那问题来了:

在交换机侧,怎么部署才真正能防住ARP欺骗?

答案其实很明确:三板斧——动态ARP检测(DAI)+ IP-MAC绑定(静态绑定)+ DHCP Snooping

只要这几项配对了,绝大部分ARP攻击在你网里根本施展不开。

今天我们就来一次梳理,把交换机侧能做的ARP防御手段讲透,不仅要知道原理,更要懂怎么配置、怎么部署、怎么判断是否生效


1. 先别讲配置,ARP欺骗到底咋回事?

ARP是二层协议,作用是将IP地址解析成MAC地址,而ARP欺骗攻击的本质就是:发伪造的ARP响应,把目标设备的IP-MAC映射篡改了

比如:

  • 攻击者伪装成网关(发送我就是192.168.1.1,这里是我的MAC),让PC把网关指向他;

  • 攻击者伪装成目标PC,拦截/中转数据包,搞中间人攻击;

  • 大规模发虚假ARP广播,造成交换机学习错误的MAC,内网乱套,Ping网关不通,访问不上外网。

ARP攻击的最大问题就是“无感知”

你抓不到攻击者在哪儿,只看现象就是“网慢”“断流”“网关不通”,误判率极高。

所以防御要靠交换机来控制。


2. ARP欺骗防护的核心逻辑:不能信任ARP报文

ARP是无验证的,设备谁都可以发。所以:

  • 要想控制ARP,就得靠交换机;

  • 要让交换机知道“谁发的ARP是可信的”,谁是假的。

这就有了下面三个核心机制:


3. DHCP Snooping:IP-MAC绑定的基础

作用:记录哪个MAC从哪个接口、通过DHCP获取了哪个IP。

一旦有了这个记录,后续的ARP报文交换机就能比对:你说你是192.168.1.100,MAC也对上了,来源接口也是你,那没问题;但你要是MAC错了,接口不对了,就拦!

配置关键点:

system-view
dhcp snooping
dhcp snooping enable
interface GigabitEthernet0/0/1
 dhcp snooping trust  # 网关、DHCP服务器口设为 trust
interface GigabitEthernet0/0/2
 undo dhcp snooping trust  # 普通用户口设为非信任

配置完成后,设备会自动学习绑定关系:

display ip source binding


4. 动态ARP检测(DAI):ARP报文做校验

DAI就是专门配合DHCP Snooping使用的,它在收到ARP报文时,会对照绑定表来判断报文是否合法。

动作流程如下:

  • 收到ARP请求或响应;
  • 拿报文中的IP+MAC+VLAN+接口信息去比对绑定表;
  • 不符合的报文直接丢掉,记录日志、触发告警。

配置示例:

system-view
arp detection enable
interface GigabitEthernet0/0/2
 arp detection trust  # 接口是否启用ARP报文校验

还可以做细粒度配置,比如只检测ARP响应,忽略请求:

arp detection validate check ip mac


5. 静态IP怎么办?用静态绑定表!

有些办公设备、摄像头不走DHCP,无法生成自动绑定记录怎么办?

很简单,手工绑定。

arp static 192.168.1.100 00e0-fc12-3456 vlan 10 interface GigabitEthernet0/0/2

或者:

ip source binding 192.168.1.100 00e0-fc12-3456 GigabitEthernet0/0/2 vlan 10

这就把某IP与某MAC、某端口绑定死了,非它不可用。


6. 终极封锁:ARP限速、防广播风暴

如果内网还有异常ARP包刷屏,建议再加一手ARP速率限制:

interface GigabitEthernet0/0/2
 arp rate-limit 10 5  # 每秒10个包,突发5个

此外还可以结合广播风暴抑制:

storm-control broadcast cir 128


7. 最佳部署建议

Tip:

防ARP,不是只靠交换机设置,网关配置、主机网卡设置也需要配合,比如禁止自动响应ARP请求。


总结一句话

交换机侧防ARP的核心就是“让ARP不能随便发、随便改、随便信”,该验证的要验证,该信任的要设 trust,该封死的要绑定清楚。

只要 DHCP Snooping + DAI + 静态绑定这三件事配合到位,ARP欺骗的空间就几乎为零。


原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

网络工程师必修课之ARP MAC欺骗交换机静态ARP绑定配置
Bert_Wang的博客
05-23 1850
静态ARP绑定及MAC地址绑定
思科IP伪造和ARP欺骗
minoboy的专栏
11-30 1948
源IP地址护:止IP地址伪造(只在三层交换机上可用) 先绑定IP,网卡,接口 ip source binding 网卡地址 vlan vlan号 ip地址 inter fa0/1 (接口) 然后在接口下应用: inter fa0/1等 ip verify source [port-security] 默认情况下只检查源IP,要同时检查MAC,可用关键字port-se...
止同网段ARP欺骗攻击的配置方法
xiaohua327的专栏
12-15 737
止同网段ARP欺骗攻击的配置方法二层交换机实现仿冒网关ARP防攻击:一、组网需求:1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图:   图1二层交换机ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999
华为交换机ARP病毒处理方法
weixin_34378922的博客
11-01 3894
一、ARP病毒的表现形式: 1、 通过网段部分甚至所有电脑都能上网; 2、 打开网页出现乱码; 3、 打开网页提示有病毒; 二、拓扑图: 三、ARP病毒的查找方法: 如果网络里出现上叙故障现状,很有可能是有电脑中ARP病毒。具体查杀办法如下: 1、 先确定故障网段的VLAN 、网关和IP地址等信息; 2、 登陆网关交换机(...
TCP/IP高频考点之一个数据包的流浪日记
陈宇明
03-03 905
往期推荐TCP/IP 开胃菜 之 HTTP面试反客为主 TCP4 网络层 IP数据包的传输主要经过应用层、传输层、网络层、链路层。承接应用层HTTP、传输层TCP讲解,应用层数据被传输层包...
泷羽sec——安全见闻学习笔记
2301_78960955的博客
10-18 1057
比如说搞web渗透,搞二进制的,写代码都是基于操作系统去写的 ,没有操作系统你们什么都写了,这就是事实,但是还有一种程序也就是裸板程序,直接在stm32上写一段代码,或者我们的单片机上写一个代码,这就是裸板程序,裸板程序是没有操作系统的概念的,也没有进程这种概念,所以有些东西需要我们自己去模拟才行,有操作系统就特别方便,裸板程序也是软件程序的一种,它就是一个代码组成的。硬件火墙,把“软件火墙”嵌入在硬件中,把“火墙程序”加入到芯片里面,由硬件执行这些功能,从而减少计算机或服务器的CPU负担。
华为HCIP-DATACOM题库
qq_25467441的博客
07-23 1962
解析:IGMP Snooping设备通过监听IGMP报文,形成二层组播转发表,并决定接口类型(形成),IGMP Snooping设备通过监听IGMP离开报文,IGMP成员关系报告报文决定特定端口是否还需要发送特定组播(维护)本地始发的BGP路由优于从其他对等体学习到的路由,本地始发的路由优先级:优选手动聚合>自动聚合>network>import>从对等体学到的。TCP的三次握手中,第一次握手的Flags=SYN置位、第二次握手的Flags=SYN置位,ACK置位、第三次握手的Flags=SYN置位。
CCNA思科的一些基础知识
qq_57165715的博客
09-21 3503
路由器是可以接外外网的,如果只有交换机就只能成局域网局域网:一组设备全都接在一台交换机下一个局域网就形成了。用交换机组建广域网:范围大。用路由器可以组建路由器的作用:是可以从一个局域网连接到另一个局域网实现一个广域网如果用路由器全用交换机连在一起会实现把n多个局域网拼成了一个大局域网osi和tcp的同Osi参考模型 tcp协议应用层表示层------------应用层会话层传输层------------传输层网路层------------网路互联层链路层物理层------------网络接口层一
华为_网络工程师_初级笔记(完整版)
热门推荐
运维开发工程师
08-11 3万+
初级网络工程师笔记完整版1.1 企业网架构2.0 OSI 七层 模型2.1 OSI模型-简介2.2 OSI模型-物理层2.3 OSI模型-数据链路层2.4 OSI模型-网络层2.5 OSI模型-传输层3.0 CSMA/CD3. CSMA/CD4.1 OSI-分层模型4.2 数据封装5.1 IP头部5.2 IP 编址5.3 IP 头部详解6.0 ICMP协议7.0 ARP 协议8.0 传输层协议:TCP/UDP9.0 数据包转发过程10.VRP基础11.命令行基础12.交换网络基础113.交换网络基础 214
数通IP-222
qq_41862216的博客
10-09 3868
1、为了给同的用户或业务提供同的服务,可以根据报文的信息(如报文优先级、源IP、目的IP、端口号等)来精细划分用户或业务,那么为了实现划分功能,我们通常采用的QoS技术是? A.拥塞避免 B.流量监管 C.复杂流分类 D.拥塞管理 【正确答案】C 【答案解析】给同的用户或者业务提供同的服务,可以根据报文信息进行分类 ,分类包含简单流分类和复杂流分类,比如用报文优先级、源IP、目的IP、端口号等来精细划分用户或业务的,所以正确答案是“复杂流分类”。 2、SDN架构主要包含两个接口:N
HCIE-Security-备考指南-ARP安全配置(S5700交换机).pdf
02-11
HCIE-Security_备考指南——ARP安全配置(S5700交换机).pdf
MAC地址的欺骗和泛洪攻击、arp欺骗和泛洪攻击、如何御、思科交换机端口安全技术配置命令、能启用端口安全特殊案列讲解(附图,建议PC查看)
qq_62311779的博客
01-29 1万+
目录 一般情况下的ARP响应: arp欺骗攻击(欺骗的是PC或者路由器): mac地址欺骗欺骗交换机): mac地址泛洪攻击与arp泛洪攻击: 总结: 如何御: 端口安全详解: 能启用端口安全的特列: (1)trunk接口 ( 2)连接AP的接口: AP(无线访问接入点(WirelessAccessPoint))简介: AC(无线接入控制服务器)简介: 端口安全配置命令: 一般情况下的ARP响应: pc1发送arp请求到pc2,及pc2对pc1的arp响应所生成的...
华为S3552P交换机配置御同网段ARP欺骗攻击策略
华为交换机止同网段ARP欺骗攻击的配置案例主要针对的是三层设备S3552P,该设备作为网络中的网关,IP地址为100.1.1.1,其MAC地址为000f-e200-3999。网络中存在一台安装了ARP攻击软件的PC(PC-B),为了保护网络的...
计算机系统知识总结——安全性与可靠性与系统性评测*
omroji的博客
12-08 822
加密和解密采用同的密钥(公开密钥(双发都知道)和私有密钥(私钥只有自己知道)),如果用公钥加密(接收方的公钥加密),则要用私钥(接收方的私钥解密)解密,使用私钥加密,则用公钥解密。数字证书(CA),用于身份认证,发送方用CA私钥加密,接收方用CA公钥解密(A公钥可以解密CA的签名,再通过CA的签名来验证真伪)计算机安全指的是计算机资产安全,是要保证这些计算机资产受自然和人为的有害因素的威胁和危害。计算机系统的可靠性是指从它开始运行(t=0)到某时刻这段时间内能正常运行的概率,用 R(t)表示。
交换机ACL与火墙的区别
最新发布
imtech的博客
12-11 576
对比维度交换机 ACL火墙核心机制无状态逐包匹配(五元组 / 端口 / VLAN)状态检测(会话表 + 安全策略)处理层级L2-L4 层L3-L7 层性能表现硬件加速,低延迟、高线速硬件款低延迟,软件款性能一般,复杂规则损耗大功能范围仅简单访问控制访问控制 + 安全护 + 高级功能(NAT/VPN/IDS)控制方向双向阻断(默认),需手动配置反向规则单向阻断,响应包自动放行适用场景局域网内分段隔离(高带宽、低延迟需求)网络边界护(深度安全、复杂策略需求)
Kamailio usrloc 细节测试
fs交流的博客
12-11 82
版本 kamailio 5.7.xIP 地址 192.168.43.68窥视 usrloc 细节,重点是内存跟数据库的同步慢慢测试,慢慢写。
网络安全(黑客技术)—2025自学手册
2401_84760527的博客
11-24 1775
网络安全可以基于攻击和御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
Calico网络架构与实现深度解析(下)
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
12-08 591
Calico网络架构与实现深度解析(下)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值