ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現ARP欺騙,能夠在網(wǎng)絡(luò )中產(chǎn)生大量的ARP廣播包致使網(wǎng)絡(luò )擁塞，攻擊者只要持續不斷的發(fā)送偽造的RP響應包就能更高目標主機的ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò )中斷或中間人攻擊。

ARP種類(lèi)：常規ARP、代理ARP、免費ARP

免費ARP的用途：

1 當我更新我得DHCP地址后,發(fā)送一份免費的ARP請求,告訴網(wǎng)段內所有的節點(diǎn)我更換了IP地址了,以便更新它們對我的ARP表項

2.用于檢測網(wǎng)段內是否有人跟我使用了相同的IP 地址

3．用于A(yíng)RP攻擊.

解決方法：

1.靜態(tài)綁定IP地址和MAC地址

R1(config)#arp 192.168.100.2 aaaa.bbbb.ccccfastEthernet 0/1

缺陷：如果是通過(guò)DHCP自動(dòng)獲取的地址,租期到了以后,綁定就會(huì )失效,病情重新發(fā)包請求IP地址.也不會(huì )分配到IP地址.擴展性很差。

2.Dynamic ARP Inspection 動(dòng)態(tài)ARP監測,交換機上開(kāi)啟.

DAI (Dynamic ARP Inspection) 動(dòng)態(tài)ARP監測，用于基于VLAN的防護機制

交換機開(kāi)啟DAI后，類(lèi)似DHCP snooping，交換機上的所有接口都是untrusted接口,untrusted接口接收到ARP或ARP映帶的時(shí)候,會(huì )提取ARP請求和應答中的三層或二層地址,與DHCP binding database中的信息進(jìn)行對比,查看請求者IP應答或者IP是否合法.如果不合法會(huì )丟棄報文,合法才會(huì )轉發(fā).另外,要啟用DAI首先要啟用DHCP snooping。

當交換機接口手工配置為trusted接口,當收到RP請求或者ARP應答,都不會(huì )與DHCP binding database中的信息進(jìn)行對比,如果報文合法就被方形,不合法就直接丟棄。

因此，在網(wǎng)絡(luò )拓撲中交換機連接PC的接口應該設置為untrusted接口，交換經(jīng)濟互聯(lián)的接口以及減緩及連接合法DHCP服務(wù)器的接口應該設置為trusted接口。

交換機全局模式下啟動(dòng)DAI

SW1(config)#iparp inspection vlan 20

SW2(config)#iparp inspection vlan 200

把中繼鏈路的接口設置為 trusted接口

SW1(config)#interface fastethernet 0/1

SW1(config-if)#iparp inspection trust

SW2(config)#interface fastethernet 0/2

SW2(config-if)#iparp inspection trust

配置DAI的基本步驟：

1：部署DHCP. 2：部署DHCP Snooping 3:部署DAI 4：把中繼接口和連接DHCP服務(wù)器的接口設置為trusted接口,并且限制連接PC接口接受ARP報文的速率

ARP報文的rate limit

默認DAI untrust接口的rate limit是15個(gè)P/S也就是15pps,trust接口則完全沒(méi)有限制,可以通過(guò)iparp inspection limit 這條接口級的命令來(lái)修改。

當接口收到ARP報文超出這個(gè)閾值,接口進(jìn)入err-disable。端口自動(dòng)關(guān)閉.可以使用no shutdown 的方式重新恢復這個(gè)接口.或者.使用全局命令errdisble recovery 來(lái)讓接口在一定時(shí)間間隔后自動(dòng)恢復

SW1(config)#interface fastethernet 0/1

SW1(config-if)#iparp inspection limit rate 20

把接口接受的ARP報文的速率限制20P/S

當接口設置為err-disable狀態(tài),自動(dòng)回復的時(shí)間為30S

SW1(config)#errdisable recover cause arp-inspection

SW1(config)#errdisable recovery interval 30