Dynamic ARP Inspection(DAI)工作原理及测试

最新推荐文章于 2022-01-31 12:21:32 发布
最新推荐文章于 2022-01-31 12:21:32 发布
阅读量818 收藏 3
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_33841722/article/details/85070082
本文详细介绍了DHCPSnooping与DAI的工作原理、配置步骤、测试方法及其作用。通过搭建测试拓扑,实验证明了这两种技术在防止非法接入和恶意ARP欺骗方面的有效性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.工作原理:

A.根据DHCP Snooping或手工方式形成的MAC地址与IP地址绑定表,来确定网络中的非法接入的MAC地址

B.同时为了防止恶意ARP欺骗,还可以对接口的arp请求包进行限速

---测试发现,对于非信任口的arp请求和回复(包括无理arp)都会被丢弃,因此觉得在非信任端口做限速没有多大必要(没有手工修改DHCP绑定表,或用arp access-list做排除的情况)

参考链接:http://wenku.baidu.com/view/cda2e815c5da50e2534d7f05.html

二.测试拓扑:

154539919.jpg

测试交换机IOS:

--Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(55)SE3, RELEASE SOFTWARE (fc1)

三.配置步骤:

A.交换机:

①全局开启DHCP Snooping

ipdhcp snooping

②在VLAN 11启用DHCP Snooping

ipdhcp snooping vlan 11

③指定连接R2(DHCP服务器)的接口为信任接口

interface FastEthernet0/2
ip dhcp snooping trust

④在VLAN 11开启DAI

ip arp inspection vlan 11

B.DHCP服务器配置

①设定ip地址池

ip dhcp pool dhcppool
  network 10.1.1.0 255.255.255.0
  default-router 10.1.1.2

②信任82选项

interface GigabitEthernet0/0
ip dhcp relay information trusted

四.测试:

A.R1和PC1都作为DHCP客户端

---这时DHCP Snooping binding表中同时有R1和PC1的mac地址和IP对照表,因此当R1去ping PC1时,PC1的ARP Reply包能够被交换机正常转发,相反也是一样,所以ping通

B.将PC的IP手工指定为DHCP分派之外的其他地址

---比如10.1.1.130

---这时DHCP Snooping binding表中没有PC1的mac地址和IP对照表,立马报出日志:

*Mar  2 00:45:40.424: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/9, vlan 11.([0050.56bc.9f6a/10.1.1.130/0000.0000.0000/10.1.1.130/00:45:40 UTC Tue Mar 2

---这时R1 ping PC1不通,在PC1上面抓包,可以看到由R1发出的arp请求包,PC也给R1回复了一个arp reply包,但是R1上show arp却没有PC1的arp记录,可见DAI依据DHCP Snooping binding表来判断,如果没有记录的话,则把该端口的arp reply包给丢弃了

---如果这时PC1去ping R1的接口地址,不通,在PC上面抓包可以看到,发出的arp request包根本就没有得到回应,在R1上debug也看不到arp request,说明开启DAI后,DAI把没有记录的接口的ARPrequest包也给丢弃了。

---可见:交换机对DHCP Snooping绑定表没有记录及没有做特殊设置的接口的ARP回复包和请求包都会丢弃

C.对于DHCNP Snooping binding表没记录的解决方式

---R1和PC1虽然都作为DHCP客户端时能互相ping通,但是它们都ping不通10.1.1.2,DHCP服务器的地址。

---原因是DAI检查DHCP绑定表没有10.1.1.2的条目,将10.1.1.2回复的ARP Reply包给丢弃了

---这时R2上能收到R1和PC1发出的Arp Request包的,所以它的arp缓存里面有R1和PC1对应的条目的

---如果R1和PC1上手工添加R2的ARP记录,它们是可以PING通R2的

①指定连接静态IP的设备接口为信任接口

SW1(config-if)#ip arp inspection trust
②设定arp access-list,并在vlan arp审查过滤时调用

arp access-list testarp
permit ip host 10.1.1.2 mac host 0002.0002.0002

ip arp inspection filter testarp vlan 11 <static>

---这个static是可选的,输入和不输入有什么区别没有测试出来

---在输入arp access-list名称时是不进行检查的,即使输入不存在的名称,也不做提示

③在DHCP Snooping表中增加静态条目

ip source binding 0002.0002.0002 vlan 11 10.1.1.2 interface Fa0/2

---增加后可以通过如下命令查看:show ip source binding 显示动态和静态绑定项

Dynamic ARP Inspection(动态ARP检测)功能,简称DAI
qq_42342531的博客
01-06 9356
Dynamic ARP Inspection简介: Dynamic ARP Inspection(动态ARP检测)功能,简称DAI功能。通过检查ARP(Address Resolution Protocol,地址解析协议)报文的合法性,发现并防止ARP欺骗攻击,增强网络安全性。DAI功能主要分为以下两类: 1.端口DAI功能:对指定端口接收到的ARP报文进行合法性检测,便于发现并防止ARP欺骗...
Brocade交换机配置DAI(Dynamic ARP Inspection)和DHCP Snooping
然后呢
12-20 2712
这是前几年通过一个项目的测试总结出来的。现在不再做Brocade了,发出来给有需要的朋友们参考。ARP欺骗是局域网内非常常见的攻击手段,而DAI可以有效的防止这种攻击。相关配置:enable acl-per-port-per-vlan #开启基于物理端口的ACL过滤功能 ! ip arp inspection vlan 1 #在指定的VLAN开启DAI功能 ! interface
【交换安全】DAI - Dynamic ARP Inspection 详解
cisco_eigrp的博客
07-29 1165
一、ARP协议原理 1.协议概述 Address Resolution Protocol在以太网环境中,节点之间互相通信,需知晓对方的MAC地址在现实环境中,一般采用IP地址标示通信的对象,而ARP的功能就是将IP“解析”到对应的MAC地址。 2.协议漏洞 基于广播,不可靠ARP响应报文无需请求即可直接发送,这给攻击者留下巨大漏洞没有确认
CCIE试验备考之交换security(5)
weixin_34162629的博客
04-03 250
第五部分 IP源保护(IP Source Guard)IPSG提供检测机制来确保单个接口所接收到的数据包能够被各个接口所接收。如果检查成功通过,那么就将许可数据包;否则就会发生违背策略的活动。IPSG不仅能够确保第2层网络中终端设备的IP地址不会被劫持,而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或导致网络崩溃及瘫痪。在DHCP监听绑定表或静态IP源绑定的...
Dynamic ARP Inspection
weixin_50938927的博客
01-25 263
DAI -Dynamic ARP Inspection前言一、DAI是什么?二、使用步骤1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 提示:文章写完后,目录可以自动
Dynamic ARP Inspection(动态ARP检测)功能.docx
09-06
Dynamic ARP Inspection(动态ARP检测)功能 Dynamic ARP Inspection(动态ARP检测)功能是一种网络安全机制,旨在防止ARP欺骗攻击,增强网络安全性。该功能主要分为两类:端口DAI功能和全局DAI功能。 端口DAI...
What is the output of the command executed by the network administrator to configure Dynamic ARP Inspection (DAI) on switch SW1?
11-02
The output of the command executed by a network administrator to configure Dynamic ARP Inspection (DAI) on switch SW1 would depend on the specific vendor's command syntax and the exact configuration ...
Dynamic arp
12-01
动态地址解析协议(ARP)检查,简称Dynamic ARP InspectionDAI),是一种网络安全功能,主要用于防御ARP欺骗攻击。在局域网中,动态ARP检查通过对ARP报文进行检查,确保每个IP地址只与特定的MAC地址相关联,从而...
DAIdynamic arp inspection
繁星流动天际
04-02 877
DAIdynamic arp inspection) 是一种能够验证网络ARP数据包的安全特性,可以防止中间人攻击。 通常需要和DHCP的snooping结合使用,因为要利用到DHCP snooping技术生成的绑定表。也可静态写IP和MAC的绑定表 原理:启用DAI后,将接口分为trusted和untrusted。对于untrusted接口,要进行ARP的检查,必须是和绑定表中的条目相匹...
ARP_攻击与防御(动态ARP_检测
11-15
ARP_攻击与防御(动态ARP_检测).非常详细的讲解了如何进行局域网防护
CCNP学习之路之DAI(Dynamic ARP Inspection)
weixin_33736832的博客
02-06 287
DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。 在基于TCP/IP协议的网络中,每台计算机都必须有唯一的IP地址才能访问网络上的资源,网络中计算机之间的通信是通过IP地址来实现的,并且通过IP 地址和...
DHCP Snooping,Dynamic ARP Inspection实现
MySpace
10-14 2069
DHCP监听将交换机端口划分为两类:     ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等     ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一、DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层
【交换安全】DAI - Dynamic ARP Inspection 详解/arp欺骗/gratuitous arp
weixin_39068791的博客
07-17 2050
写在开篇:最近在测试DAI相关的内容,公司文档一如既往的简陋,新人看完保准一脸懵逼,搜了很多文章,个人觉得下面的这篇是写的最详细,最完整,也最容易理解,很值得学习,点赞。原文链接在文末,防止丢失,特转载一份留存待日后翻阅 一、ARP协议原理 1.协议概述 Address Resolution Protocol 在以太网环境中,节点之间互相通信,需知晓对方的MAC地址 在现实环境中,一般采用IP地址标示通信的对象,而ARP的功能就是将IP“解析”到对应的MAC地址。 2...
DHCP Snooping + DAI原理
qq_48359654的博客
10-09 1580
1.交换机开户dhcp snooping后会维护一个IP地址与MAC地址的绑定信息表。 2.DAI基于dhcp snooping工作,DAI可以利用dhcp snooping的binding表来检查所有信任端口的ARP请求和响应,确保应答来自真正的MAC所有者。如果是虚拟的MAC则丢弃。 举例: 即假如DAI的数据表记录着PC1的mac是a.a.a.a 10.1.1.1 fa0/1的信息 如果交换机fa0/1收到一个ARP的信息说 是 b.b.b.b 10.1.1.3的话就会把这个arp包丢弃.
ARP的欺骗泛洪攻击的防御——DAI动态ARP监控技术、
qq_62311779的博客
01-31 4688
目录 一、DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二、非DHCP SNOOPING环境下: 扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连接: (36条消息) MAC地址的欺骗和泛洪攻击、arp欺骗和泛洪攻击、如何防御、思科交换机端口安全技术配置命令、不能启用端口安全特殊案列讲解(附图,建议PC查看)_孤城286的博客-优快云博客 DHCP snooping技术及DHCP欺骗攻击,前往: (36条消息) DHCP欺骗泛洪攻击、如何防御
交换安全——详述
HC博客
11-21 861
一、端口安全技术 将 MAC 地址固定在该接口上,如果进入该接口的数据和绑定的 MAC 地址不符合就阻塞该 端口,这样可以防止 MAC 地址洪泛攻击和 MAC 中间人攻击 sw1(config)#mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1 静态安全 MAC 地址 sw1(config)#int f0/1 sw1(config-if...
Cisco中access-list的应用
qq_42627388的博客
05-29 5824
Cisco中access-list的应用 1.access-list的含义和作用 access-list含义为访问控制列表,分为标准访问控制列表以及扩展访问控制列表。标准访问控制列表标号ID为0-99,1399-1900,扩展访问控制列表ID为100-199,2000-2699.在标准访问控制列表中只能够包含目的的地址,但是扩展访问控制列表能够进行地址、端口、协议进行访问的控制。 2.实验中应用 1).拓补图 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pC8E79Av-1
NA基础回顾
weixin_43801718的博客
07-23 530
1.什么是代理ARP:路由器收到ARP request时,发现源目ip不在相同网段,就会饰演代理ARP角色,代为回答,告诉查询者它想要的MAC地址 2.跨网段查询MAC地址方法:主机设置了默认网关,当查询的对象在局域网外时,将查询任务交给网关 3.代理ARP过程:网段A的设备广播ARP request包,源MAC写自己的MAC地址,目的MAC写FFFF.FFFF.FFFF,网关收到后返回接口的MAC地址,A收到网关返回的ARP reply包后更新自己
Dynamic ARP inspection with DHCP snooping
最新发布
08-08
<think>我们讨论的是动态ARP检测(DAI)与DHCP监听(Snooping)的结合使用。DAI用于防止ARP欺骗攻击,而DHCP Snooping则通过建立信任端口和监听DHCP交互来构建绑定表(IP-MAC-Port映射)。DAI利用这个绑定表来验证ARP请求和响应的合法性。 我将按照要求提供实现方案,包括架构、配置示例、关键机制等,并在最后提出相关问题。</think>### 基于DHCP Snooping的动态ARP检测(DAI)实现方案 动态ARP检测(DAI)与DHCP Snooping协同工作可有效防御ARP欺骗攻击,通过建立IP-MAC-Port绑定关系实现二层网络安全。以下是完整实现方案: --- #### 1. **核心防护架构** ```mermaid graph LR A[客户端] -->|DHCP请求| B(接入交换机) B -->|DHCP Snooping| C[绑定表] C --> D{DAI引擎} D -->|ARP验证| E[合法流量] D -->|攻击检测| F[阻断端口] ``` --- #### 2. **绑定表构建机制** **DHCP Snooping绑定表示例**: ```python class DHCPSnoopingBinding: def __init__(self): self.bindings = {} # MAC: (IP, Port, VLAN, LeaseTime) def update(self, packet): if packet.is_dhcp_ack(): mac = packet.src_mac ip = packet.yiaddr port = packet.in_port vlan = packet.vlan_id lease = packet.options['lease_time'] # 更新绑定表 self.bindings[mac] = (ip, port, vlan, time.time() + lease) def validate_arp(self, arp_packet): src_mac = arp_packet.src_mac src_ip = arp_packet.src_ip if src_mac not in self.bindings: return False # 未认证设备 stored_ip, stored_port, _, _ = self.bindings[src_mac] # 验证IP和端口一致性 return src_ip == stored_ip and arp_packet.in_port == stored_port ``` --- #### 3. **交换机配置(Cisco示例)** ```cisco ! 启用DHCP Snooping ip dhcp snooping ip dhcp snooping vlan 10,20 ! 配置信任端口 interface GigabitEthernet0/1 description Uplink to Router ip dhcp snooping trust ! interface range GigabitEthernet0/2-24 ip dhcp snooping limit rate 10 ! 限制请求速率 ! 启用DAI并关联绑定表 ip arp inspection vlan 10,20 ip arp inspection validate src-mac dst-mac ip ip arp inspection filter binding-table vlan 10 ip arp inspection filter binding-table vlan 20 ! 配置DAI信任端口 interface GigabitEthernet0/1 ip arp inspection trust ``` --- #### 4. **ARP验证流程** ```python def dai_packet_processing(packet): if packet.is_arp(): if packet.in_port.is_trusted: forward(packet) # 信任端口直接放行 else: if binding_table.validate_arp(packet): forward(packet) # 验证通过 else: block_port(packet.in_port) # 阻断攻击端口 log_attack(packet, "ARP Spoofing") else: forward(packet) # 非ARP流量 ``` --- #### 5. **防护策略矩阵** | 攻击类型 | DHCP Snooping防护 | DAI防护机制 | |---------------|---------------------------|--------------------------------| | ARP欺骗 | 建立IP-MAC绑定表 | 验证ARP包与绑定表一致性 | | DHCP饥饿攻击 | 端口请求速率限制 | 阻断异常ARP请求 | | 非法DHCP服务器 | 非信任端口丢弃DHCP Offer | 拒绝未注册设备的ARP响应 | | MAC泛洪 | 端口MAC数量限制 | 丢弃异常ARP请求 | --- #### 6. **违规处理机制** **自动响应脚本**: ```python def arp_inspection_response(): violations = get_dai_violations() for violation in violations: if violation.type == "IP-MAC MISMATCH": # 隔离违规设备 block_port(violation.port) send_alert(f"ARP欺骗攻击检测: {violation.mac} on {violation.port}") elif violation.count > 10: # 高频违规 # 永久禁用端口 shutdown_port(violation.port) log_event("端口禁用", f"持续ARP攻击: {violation.port}") ``` --- #### 7. **云环境集成(AWS方案)** ```terraform # VPC DHCP选项集 resource "aws_vpc_dhcp_options" "dai" { domain_name_servers = ["10.0.0.2"] ntp_servers = ["10.0.0.3"] # 启用DHCP Snooping options { option_name = "snooping" value = "enabled" } } # DAI安全组策略 resource "aws_networkmanager_connect_attachment" "dai" { core_network_id = awscc_networkmanager_core_network.example.id options { protocol = "GRE" } # DAI配置 security_policy = jsonencode({ "DAI": { "enabled": true, "binding_source": "DHCP_SNOOPING", "violation_action": "BLOCK_PORT" } }) } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值