![SNR S2985G-8T-POE [179/357] Общие сведения о arp spoofing](/img/pdf.png)
SNR S2985G-8T-POE [179/357] Общие сведения о arp spoofing
![SNR S2985G-48T [179/357] Общие сведения о arp spoofing](/views2/1978520/page179/bgb3.png)
37. Предотвращение подделки ARP (ARP Spoofing) 179
37. Предотвращение подделки ARP (ARP Spoofing)
37.1 Общие сведения о ARP Spoofing
Протокол ARP отвечает за сопоставление IP-адреса с MAC-адресом. Весь процесс
сопоставления заключается в том, что хост отправляет пакет, содержащий информацию о
требуемом IP-адресе, широковещательно. Другой хост, которому принадлежит требуемый
IP-адрес, отправляет в ответ пакет, содержащий свой IP-адрес и MAC-адрес. Таким
образом два хоста могут обмениваться информацией друг с другом на основе MAC-
адреса.
Для сокращения количества ARP-пакетов в сети, протокол ARP спроектирован
таким образом, что даже если хост не запрашивал ARP другого хоста, при получении
такого пакета он внесет запись в свою таблицу. Поэтому существует возможность
подделки ARP-пакета (ARP Spoofing). Когда злоумышленник хочет перехватить трафик
между двумя хостами, он отправляет ARP-ответы на оба этих хоста по отдельности,
заставляя их принимать свой MAC-адрес за MAC-адреса друг-друга. Таким образом
трафик от одного хоста к другом фактически будет передаваться через хост
злоумышленника, что позволяет ему не только прочитать необходимую информацию, но
и модифицировать пакеты данных на свое усмотрение для последующей передачи.
37.1.1 Отключение обновления без запроса (arp-security)
Основным методом предотвращения ARP Spoofing в сетях является отключение на
коммутаторе возможность автоматического обновления ARP. После этого злоумышленник
не сможет изменить MAC-адрес в ARP-таблице. В то же время это не прерывает функцию
автоматического обучения ARP. Таким образом, это в значительной степени
предотвращает возможность подмены ARP.
37.1.2 ARP Guard
Существует также вероятность подмены злоумышленником адреса шлюза или
коммутатора - в этом случае кроме перехвата трафика данных, существует также
опасность отказа всей сети из-за передачи трафика не по назначению. Для
предотвращения подмены адреса шлюза, возможно использовать функцию ARP Guard.
При получении на порт ARP-ответа с source адресом, указанным в ARP-Guard, это пакет
будет расценен как вредоносный и отброшен.
37.1.3 Рассылка ARP коммутатором без запроса (Gratuitous ARP)
Еще одним из способов предотвращения подмены ARP коммутатора (или шлюза)
является периодическая рассылка коммутатором ARP-ответов без запроса (функция
Gratuitous ARP). С одной стороны это позволяет предотвратить акату, так как хосты
периодически будут обновлять свои ARP-таблицы и вероятность подмены будет низка. С
другой стороны это позволит уменьшить количество исходящего трафика от хостов, так
как не будет необходимости отправлять ARP-запрос шлюзу для обновления ARP-
таблицы.
Содержание
- Оглавление 2
- Out of band управление 11
- Виды управления коммутатором 11
- Основные настройки управления 11
- In band управление 12
- Интерфейс командной строки cli 15
- Режимы конфигурирования 15
- Синтаксиc 17
- Горячие клавиши 18
- Справка 18
- Проверка ввода 19
- Сокращенный ввод команд 19
- Базовая конфигурация 20
- Базовые настройки коммутатора 20
- Telnet 21
- Настройка telnet 21
- Обзор протокола telnet 21
- Настройка ip адреса коммутатора 27
- Настройка ip адреса на коммутаторе 27
- Настройка snmp 28
- Описание mib 29
- Описание протокола snmp 29
- Настройка snmp 30
- Описание rmon 30
- Snmp troubleshooting 35
- Примеры настройки snmp 35
- Обновление по коммутатора 37
- Обновление через boot меню 37
- Системные файлы коммутатора 37
- Tftp и ftp 38
- Общие сведения о tftp и ftp 38
- Конфигурация tftp и ftp 39
- Пример конфигурации tftp и ftp 41
- Решение проблем c tftp и ftp 41
- Общие сведения о файловой системе коммутатора 44
- Операции с файловой системой 44
- Пример операций с файловой системой 45
- Настройка интерфейсов 46
- Настройка параметров ethernet интерфейсов 46
- Общие сведения 46
- Настройка storm control 49
- Настройка ограничения broadcast multicast unicast трафика на ethernet интерфейсе 49
- Пример настройки ethernet интерфейса 49
- Настройка rate violation 50
- Диагностика медного кабеля 51
- Пример настройки ограничения входящих broadcast multicast и unknown unicast пакетов 51
- Пример диагностики медного кабеля 52
- Настройка изоляции портов 53
- Настройка изоляции портов port isolation 53
- Настройка изоляции портов в рамках vlan 53
- Настройка полной изоляции портов 53
- Описание функционала изоляции портов 53
- Примеры настройки изоляции портов 54
- Просмотр конфигурации изоляции портов 54
- Loopback detection 55
- Конфигурация loopback detection 55
- Общие сведения о функции loopback detection 55
- Пример конфигурации loopback detection 56
- Решение проблем с конфигурацией loopback detection 57
- Конфигурация uldp 58
- Общие сведения о uldp 58
- Пример конфигурации uldp 61
- Решение проблем с конфигурацией uldp 62
- Конфигурация lldp 63
- Общие сведения о lldp 63
- Пример конфигурации lldp 66
- Lldp med 67
- Конфигурация lldp med 67
- Общие сведения о lldp med 67
- Пример конфигурации lldp med 69
- Lacp и агрегация портов 72
- Динамическое агрегирование lacp 72
- Общие сведения об агрегации портов 72
- Статическое агрегирование 72
- Конфигурация агрегации портов 73
- Пример конфигурации агрегации портов 75
- Решение проблем при конфигурации агрегации портов 76
- Конфигурация mtu 77
- Настройка mtu 77
- Общие сведения об mtu 77
- Efm oam 78
- Общие сведения о efm oam 78
- Конфигурация efm oam 79
- Пример конфигурации efm oam 81
- Решение проблем с конфигурацией efm oam 82
- Port security 83
- Конфигурация port security 83
- Общие сведения о port security 83
- Пример конфигурации port security 84
- Конфигурация ddm 85
- Общие сведения о ddm 85
- Пример конфигурации ddm 87
- Решение проблем при использовании ddm 90
- Bpdu tunnel 91
- Конфигурация bpdu tunnel 91
- Общие сведения о bpdu tunnel 91
- Пример конфигурации bpdu tunnel 93
- Решение проблем при конфигурации bpdu tunnel 94
- Eee energy saving 95
- Конфигурация функции отключения led портов 96
- Общие сведения о функции отключения led портов 96
- Отключение led портов 96
- Пример конфигурации функции отключения led портов 96
- Общие сведения о технологии vlan 97
- Конфигурация vlan 98
- Пример конфигурации vlan 101
- Пример конфигурации hybrid порта 102
- Dot1q tunnel 105
- Общие сведения о dot1q tunnel 105
- Конфигурация dot1q tunnel 106
- Пример конфигурации dot1q tunnel 106
- Решение проблем при конфигурации dot1q tunnel 107
- Selective qinq 108
- Конфигурация selective qinq 108
- Общие сведения о selective qinq 108
- Пример применения selective qinq 109
- Решение проблем при настройке selective qinq 111
- Flexible qinq 112
- Конфигурация flexible qinq 112
- Общие сведения о flexible qinq 112
- Пример конфигурации flexible qinq 114
- Решение проблем с конфигурацией flexible qinq 116
- Vlan translation 117
- Настройка vlan translation 117
- Общие сведения о vlan translation 117
- Конфигурация vlan translation 118
- Решение проблем с конфигурацией vlan translation 119
- Multi to one vlan translation 120
- Конфигурация multi to one vlan translation 120
- Общие сведения о multi to one vlan translation 120
- Пример конфигурации multi to one vlan translation 120
- Решение проблем с multi to one vlan translation 121
- Динамический vlan 122
- Конфигурация динамических vlan 122
- Общие сведения о динамическом vlan 122
- Конфигурация динамических vlan 124
- Решение проблем с конфигурацией динамических vlan 125
- Конфигурация gvrp 126
- Общие сведения о gvrp 126
- Пример конфигурации gvrp 127
- Решение проблем с конфигурацией gvrp 129
- Voice vlan 130
- Конфигурация voice vlan 130
- Общие сведения о voice vlan 130
- Пример конфигурации voice vlan 131
- Решение проблем с voice vlan 132
- Конфигурирование таблицы mac адресов 133
- Общие сведения о таблице mac адресов 133
- Получение таблицы mac адресов 133
- Пересылка или фильтрация 134
- Конфигурация таблицы mac адресов 135
- Пример конфигурации таблицы mac адресов 137
- Решение проблем при конфигурации таблицы mac адресов 137
- Настройка уведомлений об изменениях в mac таблице 138
- Уведомления об изменениях в mac таблице 138
- Пример настройки уведомлений об изменениях в mac таблице 140
- Общие сведения о mstp 141
- Регионы mstp 141
- Роли портов 142
- Балансировка трафика в mstp 143
- Конфигурация mstp 143
- Пример конфигурации mstp 148
- Решение проблем при конфигурации mstp 152
- Качество сервиса qos 154
- Общие сведения о qos 154
- Термины qos 154
- Реализация qos 155
- Порядок конфигурации qos 158
- Пример конфигурации qos 163
- Решение проблем при настройке qos 165
- Конфигурация перенаправления трафика на основе потока 166
- Общие сведения о перенаправлении трафика на основе потока 166
- Перенаправление трафика на основе потока 166
- Пример конфигурации перенаправления трафика на основе потока 167
- Решение проблем с перенаправлением трафика на основе потока 167
- Интерфейс управления уровня 3 168
- Настройка интерфейса уровня 3 168
- Общие сведения об интерфейсе управления уровня 3 168
- Конфигурация протокола ip 169
- Общая информация о ipv4 и ipv6 169
- Конфигурация адреса ipv6 170
- Конфигурация протокола ipv4 170
- Решение проблем ipv6 172
- Конфигурация arp 173
- Общая информация о arp 173
- Решение проблем с arp 173
- Настройка функции предотвращения arp сканирования 174
- Общие сведения о функции предотвращения arp сканирования 174
- Функция предотвращения arp сканирования 174
- Пример конфигурации функции предотвращения arp сканирования 177
- Решение проблем при использовании функции предотвращения arp сканирования 178
- Arp guard 179
- Общие сведения о arp spoofing 179
- Отключение обновления без запроса arp security 179
- Предотвращение подделки arp arp spoofing 179
- Рассылка arp коммутатором без запроса gratuitous arp 179
- Настройка функции предотвращения arp spoofing 180
- Пример использования функции предотвращения arp spoofing 181
- Настройка dynamic arp inspection 184
- Общие сведения о dynamic arp inspection 184
- Функция контроля динамических arp dynamic arp inspection 184
- Пример использования dynamic arp inspection 185
- Конфигурация dhcp 187
- Конфигурация dhcp сервера 187
- Общие сведения о dhcp 187
- Dhcp relay 191
- Пример конфигурации dhcp 193
- Решение проблем при настройке dhcp 195
- Dhcp snooping 196
- Настройка dhcp snooping 196
- Общие сведения о dhcp snooping 196
- Пример настройки dhcp snooping 199
- Решение проблем с конфигурацией dhcp snooping 200
- Dhcpv6 201
- Общие сведения о dhcpv6 201
- Настройка dhcpv6 сервера 202
- Настройка dhcpv6 relay 204
- Настройка сервера делегирования префиксов dhcpv6 205
- Настройка клиента для делегирования префиксов dhcpv6 207
- Пример конфигурации dhcpv6 208
- Решение проблем при конфигурации dhcpv6 210
- Dhcp опция 82 211
- Настройка добавления опции 82 211
- Общие сведения об опции 82 211
- Пример конфигурации опции 82 216
- Пример конфигурации опции 82 для dhcp relay 216
- Пример конфигурации опции 82 для dhcp snooping 217
- Решение проблем с конфигурацией опции 82 218
- Dhcp опции 60 и 43 220
- Настройка опций 60 и 43 220
- Общие сведения об опциях 60 и 43 220
- Пример настройки опций 60 и 43 221
- Решение проблем при настройке опций 60 и 43 221
- Dhcpv6 опции 37 и 38 222
- Конфигурирование опций 37 и 38 dhcpv6 222
- Общая информация о опциях 37 и 38 dhcpv6 222
- Пример настройки опций 37 и 38 для dhcpv6 snooping и сервера 226
- Примеры настройки опций 37 и 38 dhcpv6 226
- Пример настройки опций 37 и 38 для dhcpv6 relay 228
- Решение проблем при настройке опций 37 и 38 dhcpv6 229
- Настройка dcscm 230
- Общие сведения о dcscm 230
- Пример настройки dcscm 233
- Пример настройки multicast destination control 233
- Пример настройки multicast source control 233
- Пример настройки multicast policy 234
- Решение проблем с настройкой dcscm 234
- Igmp snooping 235
- Настройка igmp snooping 235
- Общие сведения о igmp snooping 235
- Пример настройки igmp snooping 239
- Решение проблем с настройкой igmp snooping 240
- Аутентификация igmp snooping 241
- Настройка аутентификации igmp snooping 241
- Общие сведения о аутентификации igmp snooping 241
- Пример настройки аутентификации igmp snooping 243
- Mld snooping 244
- Настройка mld snooping 244
- Общие сведения о mld snooping 244
- Пример конфигурации mld snooping 247
- Решение проблем с конфигураци mld snooping 248
- Multicast vlan 249
- Настройка multicast vlan 249
- Общие сведения о multicast vlan 249
- Пример настройки multicast vlan 250
- Настройка acl 252
- Общие сведения об acl 252
- Пример настройки acl 266
- Решение проблем с настройкой acl 269
- Self defined acl 270
- Конфигурация self defined acl 270
- Общие сведения о self defined acl 270
- Примеры настройки self defined acl 272
- Общие сведения о 802 x 273
- Настройка 802 x 275
- Гостевая vlan 278
- Примеры конфигурации 802 x 278
- Radius 279
- Решение проблем с настройкой 802 x 280
- Конфигурация функции ограничения mac и ip адресов 281
- Общие сведения о функции ограничения mac и ip адресов на порту 281
- Ограничение mac и ip адресов на порту конфигурация vlan 281
- Пример конфигурации функции ограничения mac и ip адресов 284
- Решение проблем при конфигурации функции ограничения mac и ip адресов 284
- Конфигурация am 285
- Общие сведения об am 285
- Пример конфигурации am 287
- Решение проблем с конфигурацией am 287
- Конфигурация функций предотвращения атак 288
- Общие сведения о функциях предотвращения атак 288
- Функции предотвращения атак 288
- Tacacs 290
- Конфигурация tacacs 290
- Общие сведения о tacacs 290
- Пример конфигурации tacacs 291
- Устранение проблем при конфигурации tacacs 292
- Radius 293
- Общие сведения о aaa и radius 293
- Общие сведения о radius 293
- Конфигурация radius 294
- Пример конфигурации radius 296
- Устранение проблем при конфигурации radius 297
- Конфигурация ssl 298
- Общие сведения об ssl 298
- Пример конфигурации ssl 299
- Решение проблем при конфигурации ssl 299
- Ipv6 ra security 300
- Конфигурация ipv6 ra security 300
- Общие сведения об ipv6 ra security 300
- Пример конфигурации ipv6 ra security 301
- Конфигурация mab 302
- Общие сведения о mab 302
- Пример конфигурации mab 304
- Решение проблем при конфигурации mab 305
- Pppoe intermediate agent 306
- Конфигурация pppoe intermediate agent 306
- Общие сведения о pppoe intermediate agent 306
- Пример конфигурации pppoe intermediate agent 309
- Vlan acl 311
- Конфигурация vlan acl 311
- Общие сведения о vlan acl 311
- Пример конфигурации vlan acl 313
- Конфигурация savi 314
- Общие сведения о savi 314
- Пример конфигурации savi 318
- Решение проблем при конфигурации savi 318
- Общие сведения о mrpp 319
- Основные понятия 319
- Типы пакетов mrpp 319
- Конфигурация mrpp 320
- Операций протокола mrpp 320
- Debug mrpp no debug mrpp 322
- Пример конфигурации mrpp 323
- Решение проблем при конфигурации mrpp 324
- Общие сведения о ulpp 325
- Конфигурация ulpp 326
- Пример конфигурации ulpp 329
- Решение проблем с конфигурацией ulpp 332
- Конфигурация ulsm 333
- Общие сведения о ulsm 333
- Пример конфигурации ulsm 334
- Ntp sntp и летнее время 336
- Конфигурация ntp sntp и летнего времени 336
- Общие сведения о ntp sntp и летнем времени 336
- Ntp и sntp 340
- Пример конфигурации ntp sntp и летнего времени 340
- Летнее время 341
- Зеркалирование трафика 342
- Конфигурация зеркала 342
- Общие сведения о зеркалировании трафика 342
- Пример конфигурации зеркала 343
- Решение проблем при зеркалировании трафика 343
- Конфигурация rspan 345
- Общие сведения об rspan 345
- Пример конфигурации rspan 347
- Решение проблем c конфигурацией rspan 348
- Конфигурация sflow 349
- Общие сведения об sflow 349
- Пример конфигурации sflow 351
- Решение проблем при конфигурации sflow 351
- Мониторинг и отладка 353
- System log 354
- Общие сведения о system log 354
- Конфигурация system log 355
- Перезагрузка коммутатора через заданное время 356
- Отладка и диагностика трафика отправленного и принятого cpu 357
Похожие устройства
- SNR S2982G-24TE Техническое Описание
- SNR S2982G-24TE Руководство по настройке
- SNR S2982G-24T-POE Техническое Описание
- SNR S2982G-24T-POE Руководство по настройке
- SNR S2985G-24T-UPS Техническое Описание
- SNR S2985G-24T-UPS Руководство по настройке
- SNR S2985G-24T Техническое Описание
- SNR S2985G-24T Руководство по настройке
- SNR S2982G-8T Техническое Описание
- SNR S2982G-8T Руководство по настройке
- SNR S2982G-24T-POE-E Техническое Описание
- SNR S2982G-24T-POE-E Руководство по настройке
- SNR S2962-24T Техническое Описание
- SNR S2962-24T Руководство по настройке
- SNR S2989G-24TX Техническое Описание
- SNR S2989G-24TX Руководство по Настройке
- SNR S2200G-8T-POE Техническое Описание
- SNR S2200G-8T-POE Руководство по Настройке
- SNR S2965-8T-RPS Техническое Описание
- SNR S2965-8T-RPS Руководство по настройке