安全来自未雨绸缪

很多学员上完课后遇到arp病毒有的还是不知所措，我把我对arp的理解归纳一下，供大家参考，

一：arp攻击的现象

       ping  网关时丢包，有地址冲突、访问地址返回错误应答(dns  spoofing) 、网关cpu 或者交换机接近100%

二：攻击前提

      需要管理员权限、网卡处于promiscuous模式

三：解决办法

    1、救火 

    a、用arp-hack工具的高级扫描功能看看一个vlan里面哪些主机的网卡处于promiscuous模式如图

     B、用wireshak抓包分析

     最好在交换机做端口镜像然后在监控口抓包，目的是抓到除了arp广播欺骗外的其他arp欺骗，镜像配置类似：监控口 monitor-port Ethernet 0/25 no-filt    镜像口 mirroring-port Ethernet 0/20 both  意思是说把20口流量镜像到25口去

     好了，我们开始分一下下面的arp攻击

(1)  中间人攻击（真实mac）

   一个mac(vmware_b3:07:ac)对另外两个被欺骗mac（9a:21和58:9a）说各自对方要访问的mac地址是中间人的地址  这种攻击用anti-arp防火墙可以防住，而且有arp欺骗报警

(2) 中间人攻击（spoofing mac）

这里spoofing mac (11:22:33:44:55)  现对要欺骗的双发发送arp请求然后直接告诉被欺骗双方对方的mac地址在spoofing mac(11:22:33:44:55)

  这种spoofing mac用wireshark不好用了，可以用solarwinds 监控从交换机的哪个口出来的arp欺骗，然后定位到某个主机不过可能要累得吐血J,不过可以用anti-arp防火墙防住

(2)arp 代理欺骗

  这个过程发生在当一个电脑刚刚接入网络第一次请求网关是就不能上网或者能上网但是得到的是网关的spoofing mac，注意：arp防火墙不报警，抓包也不好使了

（3）arp 洪水攻击 –死亡之神

其主要攻击路由器、交换机的vlan地址、服务器 被攻击者不断有地址冲突、而且cpu 100%

如果交换机不做广播流量限制我真的

除了这四种攻击外还有方向请求攻击、反向应答攻击效果都一样的糟糕

以上情况如果采用vlan和端口隔离能把情况减轻配置如下

Vlan 配置

#interface Ethernet1/0/9

 port link-type hybrid

 port hybrid vlan 1 100 200 301 to 306 401 501 untagged

 port hybrid pvid vlan 100

#interface Ethernet1/0/10

 port link-type hybrid

 port hybrid vlan 1 100 200 301 to 306 401 501 untagged

 port hybrid pvid vlan 100

#interface Ethernet1/0/11

 port link-type hybrid

 port hybrid vlan 1 100 200 301 to 306 401 501 untagged

 port hybrid pvid vlan 100

端口隔离

vlan 1

port-isolate enable

quit

interface Ethernet0/1

port-isolate uplink-port vlan 1

小结：大家能感觉救火太累了，我们能不能彻底解决这个arp问题呢?

能J

2、使用pppoe协议彻底解决arp

Arp攻击主要针对是通过ip地址和默认网关的以太网协议，我们干脆学习一下电信的adsl吧

a、  整个互联网出口用pppoe介入服务器，如果用户想访问互联网必须拨号 如图

b、在企业内部所有具有管理员权限而且要求时时连接互联网的lan，需要安装pppoe服务器  如下图

 pppoe服务器的配置可参考我课上讲的文档、因为涉及到真实用户保密信息，这里不放上去了