《网络安全技术及实训课件童均实训4-2ARP攻击与防御》由会员分享,可在线阅读,更多相关《网络安全技术及实训课件童均实训4-2ARP攻击与防御(38页珍藏版)》请在金锄头文库上搜索。
1、第4章 交换机安全配置 实训4-2:ARP攻击与防御,实训目的,使用交换机的 DAI(动态 ARP检测)功能增强网络安全性,实训背景,某企业的网络管理员发现最近经常有员工抱怨无法访问互联网,经过故障排查后,发现客户端 PC 上缓存的网关的 ARP 绑定条目是错误的,从此现象可以判断出网络中可能出现了ARP欺骗攻击,导致客户端 PC 不能获取正确的 ARP条目,以至不能够访问外部网络。 如果通过交换机的 ARP 检查功能解决此问题,需要在每个接入端口上配置地址绑定,工作量过大,因此考虑采用 DAI 功能解决 ARP欺骗攻击的问题。,实训拓扑,实训设备,实训步骤,1.按拓扑图连接实训设备 2.配置
2、DHCP服务器 3.配置SW1 4.配置SW2 5.验证测试 6.验证测试 7.使用WinArpSpoofer进行扫描 8.进行ARP欺骗 9.验证测试 10.配置DAI 11.验证测试,1.按拓扑图连接实训设备,2.配置 DHCP服务器,2.配置 DHCP服务器,将一台 PC 配置为 DHCP 服务器,可以使用 Windows Server 配置 DHCP服务器,或者使用第三方 DHCP服务器软件。DHCP服务器中的地址池为 172.16.1.0/24。,3.配置SW1,3.配置SW1,(1)SW1基本配置 Switch#configure Switch(config)#hostname S
3、W1 SW1(config)#interface fastEthernet 0/24 SW1(config-if)#switchport mode trunk SW1(config-if)#exit SW1(config)#vlan 2 SW1(config-vlan)#exit SW1(config)#interface vlan 2 SW1(config-if)#ip address 172.16.1.1 255.255.255.0 SW1(config-if)#exit SW1(config)#vlan 100 SW1(config-vlan)#exit,3.配置SW1,SW1(conf
4、ig)#interface vlan 100 SW1(config-if)#ip address 10.1.1.2 255.255.255.0 SW1(config-if)#exit SW1(config)#interface fastEthernet 0/1 SW1(config-if)#switchport access vlan 100 SW1(config-if)#exit,3.配置SW1,(2)启用 DHCP snooping 功能 SW1(config)#ip dhcp snooping (3)配置 F0/1 端口为trust 端口 SW1(config)#interface fa
5、stEthernet 0/1 SW1(config-if)#ip dhcp snooping trust (4)配置 F0/24 端口为trust 端口 SW1(config-if)#exit SW1(config)#interface fastEthernet 0/24 SW1(config-if)#ip dhcp snooping trust (5)配置 DHCP 中继,指明 DHCP服务器地址 SW1(config-if)#exit SW1(config)#service dhcp SW1(config)#ip helper-address 10.1.1.1,4.配置SW2,4.配置SW
6、2,(1)SW2基本配置 Switch#configure Switch(config)#hostname SW2 SW2(config)#vlan 2 SW2(config-vlan)#exit SW2(config)#interface range fastEthernet 0/1-2 SW2(config-if-range)#switchport access vlan 2 SW2(config-if-range)#exit SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport mode trunk SW2(c
7、onfig-if)#exit,4.配置SW2,(2)配置DHCP监听 SW2(config)#ip dhcp snooping SW2(config)#interface fastEthernet 0/24 SW2(config-if)#ip dhcp snooping trust SW2(config-if)#end,5.验证测试,5.验证测试,确保 DHCP 服务器可以正常工作。将客户端 PC1 和PC2(攻击机)配置为自动获取地址后,接入交换机端口,此时可以看到从 DHCP 服务器获得了地址。 (1)配置PC1自动获取地址,获取地址为 172.16.1.2,如所示。,5.验证测试,(2)
8、配置PC2自动获取地址,获取地址为 172.16.1.3,如所示。,5.验证测试,(3)在 SW2 上查看 DHCP监听绑定信息: SW2#show ip dhcp snooping binding Total number of bindings: 2 MacAddress IpAddress Lease(sec) Type VLAN Interface - - - - - - 0015.f2dc.96a4 172.16.1.2 79364 dhcp-snooping 2 FastEthernet 0/1 0016.d393.22c6 172.16.1.3 85420 dhcp-snoopi
9、ng 2 FastEthernet 0/2,6.验证测试,6.验证测试,(1)使用 ping命令验证设备之间的连通性,保证可以互通。查看 PC1 机本地的ARP缓存,ARP表中存有正确的网关的 IP与 MAC地址绑定,如所示。,6.验证测试,(2)在攻击机上运行 WinArpSpoofer 软件,如所示。,6.验证测试,(3)选择“Adapter”标签,选择正确的网卡后,WinArpSpoofer 会显示网卡的 IP地址、掩码、网关、MAC 地址以及网关的 MAC地址信息。,7.使用 WinArpSpoofer 进行扫描,7.使用 WinArpSpoofer 进行扫描,(1)在 WinArpS
10、poofer 窗口,选择“Spoofing”标签,如所示。,7.使用 WinArpSpoofer 进行扫描,(2)不选中 ,如果选中,软件还将进行 ARP 中间人攻击。 (3)在 WinArpSpoofer 窗口,单击工具栏中的 按钮,软件将会扫描网络中的主机,并获取其 IP 地址、MAC地址等信息,如所示。,8.进行 ARP 欺骗,8.进行 ARP 欺骗,在 WinArpSpoofer 窗口,单击工具栏中的 按钮,软件将进行 ARP 欺骗攻击,如所示。,9.验证测试,9.验证测试,通过使用Ethereal捕获攻击机发出的报文,可以看出攻击机发送了经过伪造的ARP应答(Reply)报文,目的M
11、AC地址为PC1的MAC地址(0016.D393.22C6)。攻击者“声称”网关(IP地址为172.16.1.1)的MAC地址为自己的MAC地址(0015.F2DC.96A4),并声称自己(IP地址为172.16.1.2)的MAC地址为网关的MAC地址(00D0.F821.A543),如所示。,9.验证测试,在PC1的命令窗口ping网关地址,发现无法ping通。查看PC1的ARP缓存,可以看到PC1收到了伪造的ARP应答报文后,更新了ARP表,表中的条目为错误的绑定,即网关的IP地址与攻击机的MAC地址进行了绑定,如所示。,10.配置 DAI,10.配置 DAI,(1)在SW2上对于 VLA
12、N 2配置DAI,防止VLAN 2中的主机进行ARP欺骗。 SW2#configure terminal SW2(config)#ip arp inspection SW2(config)#ip arp inspection vlan 2 (2)配置F0/24 端口为监控信任端口 SW2(config)#interface f0/24 SW2(config-if)#ip arp inspection trust,11.验证测试,11.验证测试,启用了ARP检查功能后,当交换机端口收到非法ARP报文后,会将其丢弃。这时在PC机上查看ARP缓存,发现ARP表中的条目是正确的,并且PC1可以ping通网关。 注意,由于PC机之前缓存了错误的ARP条目,所以需要等到错误条目超时或者使用arp d命令进行手动删除之后,PC1才能解析出正确的网关MAC地址,如所示。,11.验证测试,【注意事项】 DHCP监听只能够配置在物理端口上,不能配置在VLAN接口上。 DAI只能够配置在物理端口上,不能配置在VLAN接口上。 如果端口所属的VLAN启用了DAI,并且为Untrust端口,当端口收到ARP报文后,若查找不到DHCP监听表项,则丢弃ARP报文,造成网络中断。 WinArpSpoofer软件仅可用于实训。,Thank You !,
