没有路由器只有交换机,还会受到ARP攻击吗?_百度知道
没有路由器只有交换机,还会受到ARP攻击吗?
我的公司用的是TP憨偿封锻莩蹬凤拳脯哗交换机，我一把从交换机出来的网线连接到TP无线路由器就显示有ARP攻击，不插路由器，直连在交换机上就没事，请问下这是怎么回事？
路由器就我一台电脑在用，交换机有3台电脑，没有查到ARP攻击源的MAC，我主要是想问这到底是怎么回憨偿封锻莩蹬凤拳脯哗事，是路由器的事？交换机的事？还是外网（无法避免）的原因？当然，我也用了360的防ARP攻击的功能，我也知道开这个可以防一定程度上的攻击，但它这样一直攻击我哪还敢用路由器啊，一用全公司都有可能会卡，我公司可是100M的光纤啊
提问者采纳
开启金山arp防御，就没事了，设置你的电脑的与你原来不一样的ip，查IP 方法：运行里输入cmd出现dos对话框输入ipconfig/all
就可以看到你原来的ip.路由器里的ARP功能取消。
提问者评价
虽然回答的是文不对题,但还是谢谢你们的回答
其他类似问题
为您推荐：
其他2条回答
你的意思是说你想无线上网吧如果是那就需要网络管理员设置一下，无线路由当无线AP使用单位是DHCP分配IP地址吧，网络管理员需要你无线路由的MAC地址，让DHCP自动分配给无憨偿封锻莩蹬凤拳脯哗线路由一个IP至于ARP应该是你无线路由IP地址和单位网关冲突吧都是192.168.0.1或者192.168.1.1我们单位就是这样的。
ARP就是网关欺骗.一般网关都是路由器提供,企业内部一般有专门的服务器控制网域.你可以在路由器里绑定静态IP,使用静态IP上网会比较安全,而且方便管理.
arp攻击的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁如何检查交换机是否受到ARP攻击_百度知道
如何检查交换机是否受到ARP攻击
提问者采纳
第一观察你的网络环境是否不稳定，第二查看交换机日志，第三查看交换机端口数据包流量
来自团队：
其他类似问题
为您推荐：
arp攻击的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁【路由器】如果局域网中发生了大规模的ARP攻击，交换机受影响大呢，还是路_科技_易房网
如果局域网中发生了大规模的ARP攻击，交换机受影响大呢，还是路
作者：admin
易房网小编为您精选了网友的解决办法，供您参考 ----------------------------------------------------- 网友回答： 易房网小编
易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
站在理想的网络三层模型的高度来看，交换机做为常用的接入设备，受ARP攻击影响是要远大于路由器的。因其主要工作模式就是工作在二层。
1.本站遵循行业规范，任何转载的稿件都会明确标注作者和来源；2.本站的原创文章，请转载时务必注明文章作者和来源，不尊重原创的行为我们将
追究责任；3.作者投稿可能会经我们编辑修改或补充。
江苏扬中：设智慧长江引导基金促经济动能转换
男子酒后掉落电梯井 疑似去井口方便不慎失足(图)
传李湘请辞深圳卫视？助理回应：正在录影
高密村民家中平白无故闯进轿车 已是三个月内第二
延续高增长 中国金茂2015年签收301亿
女子公交车上纵火 乘客跳窗逃生被卡在车窗 现场惨
丹泽尔·华盛顿获金球奖终身成就奖 家人齐上台
婚检时女友查出疑似艾滋遭隐瞒 小伙婚后被感染
友情链接、商务合作QQ:&ARP攻击三层交换机判断方法
秒后自动跳转到登录页
(奖励10下载豆)
快捷登录：
举报类型：
不规范：上传重复资源
不规范：标题与实际内容不符
不规范：资源无法下载或使用
其他不规范行为
违规：资源涉及侵权
违规：含有危害国家安全等内容
违规：含有反动/色情等内容
违规：广告内容
详细原因：
任何违反下载中心规定的资源，欢迎Down友监督举报，第一举报人可获5-10下载豆奖励。
网站常用入侵黑客教
网站常用入侵黑客教
网站常用入侵黑客教
网站常用入侵黑客教
黑客防线2015年第4期
从零开始学习黑客技
由浅入深学习黑客攻
ARP攻击三层交换机判断方法
上传时间：
技术分类：
资源评价：
（7位用户参与评价）
已被下载&56&次
一般应用而言，三层交换机已是核心层，但是，它的正常运行直接关系整个局域网的生死攸关。本文档，就其中一个安全隐患提供一个快捷的诊断方法，希望能给从事这方面的同行，给予帮助。
本资料共包含以下附件：
ARP攻击三层交换机判断方法.docx
（12位用户参与评价）
down友评价
51CTO下载中心常见问题：
1.如何获得下载豆？
1)上传资料
2)评论资料
3)每天在首页签到领取
4)购买VIP会员服务，无需下载豆下载资源
5)更多途径：点击此处
2.如何删除自己的资料？
下载资料意味着您已同意遵守以下协议：
1.资料的所有权益归上传用户所有
2.未经权益所有人同意，不得将资料中的内容挪作商业或盈利用途
3.51CTO下载中心仅提供资料交流平台，并不对任何资料负责
4.本站资料中如有侵权或不适当内容，请邮件与我们联系（）
5.本站不保证资源的准确性、安全性和完整性, 同时也不承担用户因使用这些资料对自己和他人造成任何形式的伤害或损失
下载1065次
下载1074次
下载1277次
相关专题推荐
不论你是黑客发烧友，还是网络安全工
网络管理人员应认真分析各种可能的入
DDOS全名是Distributed Denial of se
本着学习和研究的精神，以知己知彼为
本视频专题包涵从了解互联网世界，服
本专题收集了渗透中常用的一些工具（
本专题为黑客入侵基础视频教程，共10
本专题为现场录制的思科ASA防火墙培训
　　目前国内发行量最大的网络安全（
本专题为电脑报随书视频——《黑客入
本专题为黑鹰破解视频教程基础篇，掌
本专题为黑客入门常用dos命令视频教程
网络安全管理视频，阐述网络安全的基
TCP/IP协议详解，包括了链路层、ARP、
本专题为学习黑客技术朋友们提供的新
本专题为WEB安全-渗透测试安全培训视
本周下载热点【交换安全】DAI&-&Dynamic&ARP&Inspection&详解
一、ARP协议原理
1.协议概述
Address Resolution Protocol
在以太网环境中，节点之间互相通信，需知晓对方的MAC地址
在现实环境中，一般采用IP地址标示通信的对象，而ARP的功能就是将IP“解析”到对应的MAC地址。
2.协议漏洞
基于广播，不可靠
ARP响应报文无需请求即可直接发送，这给攻击者留下巨大漏洞
没有确认机制，任何人都可以发起arp请求或response
IPv6中通过特定的机制规避掉ARP以及其漏洞
二、ARP欺骗原理
1.正常情况下各设备的ARP表项
2.欺骗过程ARP Request
PC1要欺骗PC2，通过造包工具，如anysend等，发出一个ARP
request广播，这个ARP数据帧的以太网头部中，源MAC为PC1的MAC，目的MAC为全F，关键内容在于ARP协议报文（ARP
body），也就是这个数据帧的以太网帧头后的内容，这才是ARP的真正内容，里头包含的主要元素有：发送者mac、发送者IP、接收者MAC及接收者IP。PC1发出的这个ARP数据帧中，sender
MAC为自己的MAC地址，但是SenderIP为网关IP即192.168.0.254，此刻，PC2收到这个arp消息后，将更新自己的arp表项，如下：
如此一来，PC2发送数据到自己的网关0.254时，由于网关的MAC已经被欺骗成了PC1的MAC，因此数据都被转发给了PC1，那么PC2就断网了。如果PC1再机灵点，将PC2发过来的数据再转给真实的网关，同时在本地运行一个报文分析工具窥探PC2发过来的数据，那么就可以在PC2不断网的情况下，神不知鬼不觉的窥探PC2的上网流量，这就是the
man in the middle，中间人攻击。
3.欺骗过程ARP Response&
& & 由于ARP的response并不需要arp
request为先决条件即可直接发送，因此攻击者可以构造arp
reply消息，并发送给被攻击对象，从而刷新被攻击者的arp表，同样能达到arp欺骗的目的。
4.理解invalid arp表项
什么是invalid arp表项：
ARP表中的MAC地址为全零（Windows主机）或“No completed”（网络设备）
产生的原因：发送ARP Request后，为接收ARP Reply做准备
大量存在的原因：同网段扫描（主机）、跨网段扫描（网络设备）
5.Gratuitous ARP
Gratuitous ARP，免费ARP是一种特殊的ARP Request/response报文，即Sender
IP与Target IP一致（一般用于IP冲突检测）
我们看下面的例子：
PC2是新接入的主机，配置了192.168.0.1的地址，完成地址配置后，PC2向网络中发送一个Gratuitous
ARP，以防内网中有人使用相同的IP地址，这个Gratuitous ARP的senderIP和target
IP都是自身，senderMAC是自己的MAC。
& & 那么当PC1收到这个Gratuitous
ARP后，由于senderIP和自己冲突了，于是在本地弹出一个气泡（如果是windows系统），同时回复一个Gratuitous
ARP response以告知对端出现了IP地址重复。
& & 对端收到这个Gratuitous
ARP消息后，知道内网中已经存在这个IP地址的使用者了，于是告警。
& & Gratuitous
ARP的另外一个作用是，某些厂家用于防止ARP欺骗。例如在某些路由器上，配置了基于Gratuitous
ARP的防arp欺骗解决方案，则该路由器（的接口）将以一定的时间间隔发送Gratuitous
ARP，目的就是刷新底下PC的arp表，以保持网关IP对应的MAC始终是正确的，当然，这种防arp的解决方案挺土鳖的。&
6.如何判断内网中是否存在arp欺骗
现在市面上其实已经有许多arp防火墙可以识别到，当然有一些简单的方法，例如arp &a看MAC是否正确。或者抓包等。
7.Arp欺骗的解决方案
解决方案1：手工绑定IP+MAC
例如在PC上，用arp &s
静态绑定网关IP及网关的MAC，以防止arp欺骗，或者在关键节点的网络设备上，使用命令arp进行绑定。
显然这种方式扩展性太差。
解决方案2：免费arp
这个前面已经说过了&
解决方案3：DAI
其他，其实防ARP欺骗的解决方案业内还是有许多的，每个厂家都有自己的方法。
三、DAI工作机制
1.机制概述
部署DAI前，内网如果出现ARP欺骗行为，例如PC发送非法的ARP报文，对于交换机而言，是无法检测并作出防御动作的。
部署DAI后，我们可以定义交换机接口的信任状态：trusted，或untrusted，对于信任端口，将不对收到的ARP报文做检测，直接放行。而对于untrusted接口，ARP报文在收到后回进行检查，只有合法的ARP报文才会被放行，如果出现非法的ARP报文，则会被log，同时丢弃。
& & DAI依赖DHCP
snooping技术，在一个用户动态获取IP地址的网络环境中，我们通过部署DHCP
snooping一来可以起到防御DHCP欺骗的效果，另一方面，会在交换机上得到DHCP snooping binding
database，这个数据库是DHCP
Snooping侦听DHCP交互过程后的信息记录，里头包含客户端的IP、MAC、所属VLAN等等相关信息，而这些信息，恰恰可以作为ARP合法性校验的依据。
& & DAI部署于交换机上，用于确保合法的ARP
request或response被放行而非法的ARP消息被丢弃。交换机部署DAI后的主要动作如下：
在DAI untrust接口上（注意与DHCP snooping的untrust接口区分开）阻拦一切ARP
requests或response消息并作校验
在更新自己ARP表或将收到的ARP消息转发出去之前先进行合法性校验，主要看ARP报文中的IP及MAC对应关系是否合法
丢弃非法的ARP报文，交换机会在丢弃非法的ARP后进行log
前面说了DAI借助于DHCP snooping的绑定数据库进行ARP合法性校验。另一个合法性校验的依据是手工配置的ARP
你也可以配置DAI来丢弃那些以太网帧头源MAC与ARP
body里的MAC不一致的非法ARP。这个后面有做进一步的介绍。
2.接口信任状态及网络的安全问题
一般来说，我们认为攻击行为多来自于终端的PC，可能是中毒或者黑客行为等。所以我们常会将连接终端PC的接口配置为DAI
untrust接口，而交换机之间的接口配置为trust接口。
看上图，我们假设交换机A和B都运行DAI，而PC1及PC2都通过DHCP服务器获取地址，那么这时候对于PC1而言，只有在交换机A上的DHCP
snooping database中才有其IP+MAC的绑定，交换机B则没有。因此如果A和B之间的接口为DAI
的untust，则来自PC1的ARP报文，将被交换机B丢弃，因为它认为这些报文是非法的，如此一来，PC1和2的通信就出问题了。所以建议A和B之间的接口设置为DAI的trust。
但是，并非所有的交换机互联接口设置为DAI的trust都会没有问题，在特定的环境下，这会留下一个安全隐患。例如，仍然是上面的图，假设A交换机不支持DAI，如果B的3/3口配置为trust，那么PC1就可以大摇大摆的去对B和PC2进行ARP欺骗了，即使B运行了DAI。所以DAI仅仅是保证运行DAI的交换机本身所连接的终端PC不能进行非法的ARP动作。像刚才所述的情况，可以考虑将交换机B的3/3口配置为untrust接口，再通过在B上手工配置ARP
ACLs的方式来创建安全表项。当然，你可以将这两台交换机进行三层隔离，例如，加个路由器神马的。
3.ARP报文的rate limit
对于DAI而言，是需要损耗交换机CPU资源的，如果开启了DAI，就有可能会成为拒绝服务攻击的对象。所以我们对于运行了DAI的交换机接口，有ARP报文的限制。默认DAI
untrust接口的rate limit是15个P/S也就是15pps，trust接口则完全没有限制。可以通过ip arp
inspection limit这条接口级的命令来修改。
当接口收到的ARP报文超出这个阀值，接口将进入err-disable。可以使用shutdown no
shutdown的方式手工重新恢复这个接口。或者，使用全局命令the errdisable
recovery来让接口在一定的时间间隔后自动恢复。
4.ARP ACL及DHCP snooping database条目的相对优先级
ARP ACL的优先级高于DHCP snooping database条目。在你使用全局命令ip arp
inspection filter指定了ARP ACL后，如果ARP报文被ARP ACL
deny掉了，那么这些报文就被直接丢弃，即使在DHCP snooping
database中有合法的表项匹配这些ARP报文。
四、DAI的配置方针
DAI是ingress安全特性，不会做egress的安全校验
DAI的工作需依赖DHCP snooping
如果DHCP snooping被关闭或者，这是一个无DHCP 的网络环境，例如纯静态IP地址的环境，使用ARP
ACLs来放行或丢弃ARP报文
DAI在access接口, trunk 接口, EtherChannel 接口, 及 private VLAN
接口上都支持
五、DAI配置命令
1.基本配置
ip arp inspection vlan {vlan_ID | vlan_range}
激活特定VLAN的DAI
ip arp inspection trust
接口模式，将接口配置为DAI trusted，默认为untrusted
2.应用ARP ACLs到DAI
ip arp inspection filter arp_acl_name vlan {vlan_ID |
vlan_range} [static]
将配置好的ARP ACL应用到DAI
如果不使用static关键字，则ARP报文会先被ARP ACL匹配，如果没有任何匹配项，则再被DHCP Snooping
database的安全表项再做一次校验，如果有合法表项，则放行，如果没有，则丢弃。
如果使用static关键字，则意味着ARP ACLs启用隐含deny any机制。也就是说如果ARP报文与ARP
ACLs匹配，而结果是没有任何匹配项，则直接丢弃，不管DHCP Snooping database里是否有合法的条目。
3.配置ARP报文rate limit
ip arp inspection limit {rate pps [burst interval seconds] |
接口级命令。通过限制接口上收到的ARP报文的数量，可以有效的防止开启DAI的交换机被DoS攻击。
注意事项：
默认在DAI untrusted接口上rate是15pps，而trusted接口则无限制
Ip arp inspection limit rate none，是无限制
Burst interval
，默认是1s，可选配置。这是一个连续的检测时间段，用来检测在这个时间段内的ARP报文数量，默认是1S，所以就是说1S内，如果超出了15个（默认）ARP，则违例
。这个时间可选区间为1-15S
当出现违例，接口进入err-disable状态
errdisable recovery cause arp-inspection
激活由于arp-inspection违例导致的err-disable接口的自我恢复。
4.配置附加的校验动作
ip arp inspection validate { [dst-mac] [ip] [src-mac] }
我们可以通过配置一些额外的选项，让DAI做进一步的校验。
有三个可选关键字，dst-mac、ip、src-mac
dst-mac检测收到的ARP报文中，以太网帧头的目的MAC与ARP body里的target
MAC是否一致，这个check针对ARP response。当开启这个选项后，如果两个MAC不一致，则ARP报文被丢弃
ip检测ARP
body里的IP地址是否是无效或非预期的，如0.0.0.0、255.255.255.255，以及组播IP地址，这些都被认为是无效的IP。SenderIP是无论报文为ARP
request或response都会进行校验。而targetIP只有在报文是ARP response时才会进行校验
src-mac检测收到的ARP报文中，以太网枕头的源MAC与ARP body里的sender
MAC是否一致。这个校验动作在ARP request及response报文中都会进行。
5.配置DAI logging
当DAI丢弃一个ARP报文，交换机会在log buffer里存储一条信息，随后产生一条system
message系统信息，在这条系统信息产生后，交换机从log
buffer里清除之前存储的条目。每一个条目都包含例如VLAN、端口号、源目的IP地址、源目的MAC等信息。
一个存储在log
buffer中的条目可以代表多个报文，例如交换机从同一个接口同一个VLAN收到具有相同ARP元素的ARP包，那么这些报文对应一个条目，以节省buffer的占用。同时只会产生一条系统信息。
ip arp inspection log-buffer entries number
配置DAI占用log buffer的大小（最大条目数量），区间是0-1024
默认是32条
ip arp inspection log-buffer logs number_of_messages interval
length_in_seconds
配置DAI loggin system message，系统消息将以每length_in_seconds
发送number_of_messages 的速率来约束系统消息的发送。number_of_messages
默认为5，范围是0-1024，如果配置为0则表示条目只出现在log buffer中而不产生系统消息；length_in_seconds
默认是1S，范围是0-86400（1天），如果配置为0则表示系统消息将会立即产生，而log
buffer中不再存储条目，如果将length_in_seconds
配置为0，则number_of_messages也会变为0。
ip arp inspection vlan vlan_range logging {acl-match {matchlog
| none} | dhcp-bindings {all | none | permit}}
默认情况下，只要DAI丢弃报文，则会被logged
acl-match matchlog—Logs packets based on the DAI ACL
configuration. If you specify the
matchlog keyword in this command and the log keyword in the
permit or deny ARP access-list
configuration command, ARP packets permitted or denied by the
ACL are logged.
acl-match none —Does not log packets that match ACLs.
dhcp-bindings all —Logs all packets that match DHCP
dhcp-bindings none —Does not log packets that match DHCP
dhcp-bindings permit —Logs DHCP-binding permitted
ip arp inspection vlan 100 logging acl-match none
意思是针对VLAN100中的流量，不去log被ARP ACL 匹配丢弃的报文
六、DAI配置范例
基本配置如下：
基本配置完成后，来看一下：
接下去在SW1上开启DAI：
为了使得PC2发出的ARP消息能够被放行，我们首先使用手工配置DHCP
snooping bingding表项的方法：
另一个方法，是用ARP ACL：
再来做一个测试，就是PC1私自修改IP地址：
由于DAI开启后，下联的PC如果段时间发送大量的无效ARP，可能会导致交换机性能大量损耗，也就是DoS攻击。那么建议在接口上限定ARP消息门限。
网络工程 | 项目管理 | IT服务管理 | CCIE培训
学习 沉淀 成长 分享
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。