ARP簡(jiǎn)介

ARP（Address Resolution Protocol，地址解析協(xié)議）用于將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層的物理地址。網(wǎng)絡(luò)上的一臺(tái)主機(jī)把以太網(wǎng)數(shù)據(jù)幀發(fā)送到位于同一局域網(wǎng)上的另一臺(tái)主機(jī)時(shí)，是根據(jù)主機(jī)的數(shù)據(jù)鏈路層地址（包括MAC地址）進(jìn)行轉(zhuǎn)發(fā)的，設(shè)備驅(qū)動(dòng)程序從不檢查IP數(shù)據(jù)報(bào)中的目的IP地址，所以這就需要將IP地址解析為數(shù)據(jù)鏈路層地址。

ARP欺騙

按照ARP協(xié)議的設(shè)計(jì)，一個(gè)主機(jī)也會(huì)接收不是自己主動(dòng)請(qǐng)求的ARP應(yīng)答，并將應(yīng)答中的IP地址和物理地址添加到ARP表中，這樣設(shè)計(jì)是為了減少網(wǎng)絡(luò)上過(guò)多的ARP通信量，但同時(shí)也為“ARP欺騙”創(chuàng)造了條件。

ARP欺騙的方式有多種，中間人攻擊、網(wǎng)關(guān)欺騙、主機(jī)欺騙等等。一般來(lái)說(shuō)，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會(huì)造成大面積頻繁掉線，嚴(yán)重的會(huì)威脅到網(wǎng)絡(luò)安全，如網(wǎng)游、網(wǎng)銀的帳號(hào)被盜等安全問(wèn)題。

ARP防護(hù)

傳統(tǒng)的ARP防護(hù)措施是在寬帶路由器和計(jì)算機(jī)上進(jìn)行雙向綁定，但是仍然存在兩個(gè)不足：

1、每臺(tái)計(jì)算機(jī)上均需要添加批處理文件，對(duì)于大中型的網(wǎng)吧、校園網(wǎng)等來(lái)說(shuō)，工作量太大；

2、傳統(tǒng)的雙向綁定只保證上互聯(lián)網(wǎng)不受欺騙，但是內(nèi)網(wǎng)的計(jì)算機(jī)與計(jì)算機(jī)之間的安全沒(méi)有保障；

綜合以上兩個(gè)不足及ARP攻擊的特點(diǎn)，二層網(wǎng)關(guān)交換機(jī)的四元綁定功能給出了有效的防ARP攻擊解決方案。通過(guò)對(duì)交換機(jī)每個(gè)端口進(jìn)行分析，杜絕ARP欺騙報(bào)文從任何一個(gè)端口轉(zhuǎn)發(fā)，同時(shí)保證了內(nèi)部和外部網(wǎng)絡(luò)安全。

用戶需求

某企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)如下圖，交換機(jī)TL-SL5428下接有26臺(tái)主機(jī)，1臺(tái)文件服務(wù)器。

設(shè)置步驟

1、設(shè)定綁定列表。綁定列表添加的方式有“手動(dòng)綁定”和“掃描綁定”兩種。這里手動(dòng)添加文件服務(wù)器和兩臺(tái)局域網(wǎng)主機(jī)進(jìn)去分別到交換機(jī)的27、1、2口。

添加完成如下圖：

如果局域網(wǎng)電腦較多，我們可以采取掃描綁定的方式，設(shè)定掃描“起始IP地址”和“結(jié)束IP地址”后，點(diǎn)擊掃描。

得到掃描結(jié)果后，選擇需要綁定的條目，“防護(hù)范圍”選擇“ARP防護(hù)”后點(diǎn)擊“綁定”按鈕。

綁定后可以在綁定列表中查看相應(yīng)條目。

2、確認(rèn)網(wǎng)絡(luò)中的特殊端口，特殊端口是針對(duì)交換機(jī)而言的，交換機(jī)對(duì)特殊端口的ARP報(bào)文直接轉(zhuǎn)發(fā)。可將與交換機(jī)或者路由器級(jí)聯(lián)的端口設(shè)置為特殊端口，上圖中可將28號(hào)端口設(shè)置為特殊端口。

3、設(shè)置ARP防護(hù)功能。選定特殊端口28后，啟用“防ARP欺騙”并提交。

至此ARP防護(hù)的設(shè)置完成。