在上一次更新中,說到了ARP的攻擊,在最後給出了三種防禦的方法,具體怎樣操作呢?
下面來介紹一下
(1)靜態繫結ARP表項。
因為ARP表中的內容是動態更新的,每當裝置接收到ARP資料包時就會修改裡面的表項,所以攻擊者才可以隨心所欲地篡改被害者裝置的ARP表。
在ARP表中除了這種動態表項之外,還有一種不會被修改的靜態表項型別。考慮到中間人攻擊時通常篡改的都是閘道器的地址,所以我們需要將其IP地址和MAC地址繫結。繫結的命令為:
(2)使用DHCP Snooping功能。
DHCP是一種可以實現動態分配IP的協議,目前應用得十分廣泛。我們家庭中使用的無線路由器就使用這個協議為裝置分配IP地址。DHCP監聽(DHCP Snooping)是一種DHCP安全特性。當DAI交換機開啟了DHCP Snooping後,會自動記錄主機的ARP資訊,用來獲取主機的IP、MAC、VLAN、介面的繫結資訊,根據這些繫結資訊來檢視主機發出的ARP資訊兩者是否吻合,吻合就放行,不吻合就丟棄或者關閉介面。
(3)劃分VLAN。
VLAN(虛擬區域網)是對連線到的第二層交換機埠的網路使用者的邏輯分段,也就是建立了一個虛擬的網路。每一個VLAN中的所有設定都好像連線到了一個虛擬的交換機一樣,這樣VLAN裡面的裝置就不能接收其它VLAN的ARP資料包。透過VLAN技術可以在區域網中建立多個子網,這樣就限制了攻擊者的攻擊範圍。
