动态ARP检测防止中间人攻击技巧
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
者 c 所 连 接 的 端 口 设 置 为 e - i be r d al r s 状 态 , 向管 理 员 发 出 警报 。 并 当启 用了动 态 A RP检 测 的 时 候 ,
、
中 间人 攻 击 案例 模 拟
通 常 一 个 简 单 的 网 络 架 构 , 少 有 至 三 台 终 端 同 时 连 接 到 同一 个 工 作 组 交 换 机 中 。实 际 情 况 可 能 会 有 更 多 的 终
附 上 主 机 A 的 MA 地 址 。 这 个 A C RP 请 求 会 以广 播 的形 式 在 网络 中 传播 , 即
网 络 中 的 每 一 台 客 户 端 都 将 收 到 这 个
机 能 够确 定 正 确 的 端 口。如 果 交换 机 能 够 确 认 数 据 来 自错 误 的端 口 , 会 自动 则
抛 弃 这 个 数 据 包 , 会将 相 关 的 信 息 记 并
个 集 线 器连 接 到 交 换 机 。此 时 当其 发 出 中 间 者 攻 击 时 , 换机 会 将 这 个 接 口关 交
换 机 。而 在 实 际 工 作 中 , 业 往 往 是 有 企
用 , 当不 恰 当 的 角 色 。现 在 针 对 A 担 RP
的 攻 击 , 以说 是 层 出 不 穷 。 虽 然 相 关 可 的 防 范 措 施 也 有 不 少 ,但 是 道 高 ~ 尺 、
确 MA 地 址 与 I 址 。 于 主机 A来 C P地 对
端 , 了 简 单 起 见 , 者 以 三 个 终 端 为 为 笔 例 。 此 时 如 果 主 机 A需 要 访 问 主 机 B, 第 一 次 访 问时 只 知道 对 方 的 I 址 而 P地
不 知道 MAC 地 址 ,就 需 要 先 发 送 一 个
A KP请 求 。向 各 台主 机 询 问 , I 址 为 P地 多 少 的主 机 其 MAC地 址 为 多 少 ,并 会
安 全 咖 啡 屋
l n - 曩 町I 11 1 啊 I |1 啜 r 叠 I● E r 鼻 L -j I = 删 吾 日 1 羽T E I 百
懿
A RP协 议 对 于 网 络 来 说 是 一 把 双
糖
紫藏天麓囊瓣
抛 弃 这 个 数 据 包 ,而 是 发 送 了伪 造 的
是将 交 换 机 之 间 的链 路 配 置 为 D I A 信 任 端 口 。 以使 用命 令 i a set n 可 p r i pc o pn i
t s 来 实现 。 r t u 当启用 了动 态 A RP检 测 功 能 , 如 果 再 发 生 中 间 人攻 击 事 件 的 话 。 交换 机
欺 骗 。这 个 原 理说 起 来 简 单 , 实 要 实 其
现 起 来 需 要经 过 许 多 的技 术 处 理 。通 常 情 况 下 , 过 DHC 通 P监 听 绑 定 表 , 交换
需要 注 意 其 误 诊断 的情 况 。如 果 中间 人
C不是直接连接在 工作组交换机上 , 而 是 连接 在 一 个 集 线 器 上 , 后 再 通 过 这 然
说 , 就 会 错 误 地 认 为主 机 c 就 是 其 要 它 发 送 数 据 的 对 象 。从 而 将 数 据直 接 发 送
多 个 交换 机 共 同 组成 一个 网络 。此 时如
果 让 多 个 交 换 机 之 间 也 能 够 启 用 动 态 A RP检 测 功 能 呢 ?其 需 要 做 的 配 置 . 就
给 主 机 c。 此时 主 机 A 和 主机 B之 间 的 任何通信 , 就会 被 发 送 到 主机 c 上 。然
后 主 机 c 在 获取 相 关 的 内容 之 后 , 能 可 进 行 流 量 的 重定 向 。在 这 个 过 程 中 , 主 机 C 就被 称 为 中间 人 。 个 过 程 就 被称 这
魔高 一 丈 , 不 胜 防 。针 对 这 种 情 况 , 防 在 思 科 的 网 络 产 品 中 ,设 计 了 动 态 A RP
检 测 的技 术 。虽然 这 个技 术 不 能 够 从 根 本 上解 决 A k IP带 来 的 安 全 隐 患 ,但 是 对 于 遏 制其 危 害 , 别 是 在 中 间人 攻 击 特
会 如 何 应对 呢?当攻 击 者 c连 接 到 工 作 组 交 换 机 ,并 且 试 图 发 送 虚 假 的 A KP 响应时, 交换 机 会 根据 DHC P监 听绑 定 表 检 测 到 这 种 攻 击 行 为 , 会 丢 弃 这 个 并 A RP数据 包 。 后 交换 机 会 将 这 个攻 击 然
第二步是比较关键 , 要将交换机 需
刃剑 。一方面 A RP协议 是网络通信 中 A RP响应 ( 自己的 MAC地址替代 主 间的连接配置 为 DA 动态 A P检 测) 将 [( R
不 可 或 缺 的协 议 , 就 好 像 是 一 个 问路 其 人 , 一 定程 度 上 决 定 了 数 据 的 传 输 路 在
方 面 , 然 有 独 到 的表 现 。 仍
一
为 中 间 人攻 击 。 二 、 通 过 动 态 A P 检 测 来 防止 中 R 间 人 攻 击 为 了 有 效 防 止 中 间 人 攻 击 . 思 科 在 的网络 产品 中设 计了动 态 A P检测 。 R
其原 理 比 较 简 单 , 是交 换 机 的相 关 端 就 口 会 自动 检 测 A k tP数 据 包 来 自于 正 确 的端 口 , 且 没 有 被 攻 击 者 所 更 改 或 者 并
径 。在 另 一 方 面 , 又 容 易 被 攻 击 者 使 其
ቤተ መጻሕፍቲ ባይዱ
机 B的 MAC地 址 )其 就 可 以发 起 中 间 , 人 攻 击 。在 接 收 到 主 机 c 的 A kP响 应
之 后 , 机 A 将 不 能 够 拥 有 主机 B 的正 主
信 任 端 口 。在 上面 举 例 子 的 时 候 , 者 笔 为 了 简 单 起 见 , 设 定 了 一 个 工 作 组 交 只
、
中 间人 攻 击 案例 模 拟
通 常 一 个 简 单 的 网 络 架 构 , 少 有 至 三 台 终 端 同 时 连 接 到 同一 个 工 作 组 交 换 机 中 。实 际 情 况 可 能 会 有 更 多 的 终
附 上 主 机 A 的 MA 地 址 。 这 个 A C RP 请 求 会 以广 播 的形 式 在 网络 中 传播 , 即
网 络 中 的 每 一 台 客 户 端 都 将 收 到 这 个
机 能 够确 定 正 确 的 端 口。如 果 交换 机 能 够 确 认 数 据 来 自错 误 的端 口 , 会 自动 则
抛 弃 这 个 数 据 包 , 会将 相 关 的 信 息 记 并
个 集 线 器连 接 到 交 换 机 。此 时 当其 发 出 中 间 者 攻 击 时 , 换机 会 将 这 个 接 口关 交
换 机 。而 在 实 际 工 作 中 , 业 往 往 是 有 企
用 , 当不 恰 当 的 角 色 。现 在 针 对 A 担 RP
的 攻 击 , 以说 是 层 出 不 穷 。 虽 然 相 关 可 的 防 范 措 施 也 有 不 少 ,但 是 道 高 ~ 尺 、
确 MA 地 址 与 I 址 。 于 主机 A来 C P地 对
端 , 了 简 单 起 见 , 者 以 三 个 终 端 为 为 笔 例 。 此 时 如 果 主 机 A需 要 访 问 主 机 B, 第 一 次 访 问时 只 知道 对 方 的 I 址 而 P地
不 知道 MAC 地 址 ,就 需 要 先 发 送 一 个
A KP请 求 。向 各 台主 机 询 问 , I 址 为 P地 多 少 的主 机 其 MAC地 址 为 多 少 ,并 会
安 全 咖 啡 屋
l n - 曩 町I 11 1 啊 I |1 啜 r 叠 I● E r 鼻 L -j I = 删 吾 日 1 羽T E I 百
懿
A RP协 议 对 于 网 络 来 说 是 一 把 双
糖
紫藏天麓囊瓣
抛 弃 这 个 数 据 包 ,而 是 发 送 了伪 造 的
是将 交 换 机 之 间 的链 路 配 置 为 D I A 信 任 端 口 。 以使 用命 令 i a set n 可 p r i pc o pn i
t s 来 实现 。 r t u 当启用 了动 态 A RP检 测 功 能 , 如 果 再 发 生 中 间 人攻 击 事 件 的 话 。 交换 机
欺 骗 。这 个 原 理说 起 来 简 单 , 实 要 实 其
现 起 来 需 要经 过 许 多 的技 术 处 理 。通 常 情 况 下 , 过 DHC 通 P监 听 绑 定 表 , 交换
需要 注 意 其 误 诊断 的情 况 。如 果 中间 人
C不是直接连接在 工作组交换机上 , 而 是 连接 在 一 个 集 线 器 上 , 后 再 通 过 这 然
说 , 就 会 错 误 地 认 为主 机 c 就 是 其 要 它 发 送 数 据 的 对 象 。从 而 将 数 据直 接 发 送
多 个 交换 机 共 同 组成 一个 网络 。此 时如
果 让 多 个 交 换 机 之 间 也 能 够 启 用 动 态 A RP检 测 功 能 呢 ?其 需 要 做 的 配 置 . 就
给 主 机 c。 此时 主 机 A 和 主机 B之 间 的 任何通信 , 就会 被 发 送 到 主机 c 上 。然
后 主 机 c 在 获取 相 关 的 内容 之 后 , 能 可 进 行 流 量 的 重定 向 。在 这 个 过 程 中 , 主 机 C 就被 称 为 中间 人 。 个 过 程 就 被称 这
魔高 一 丈 , 不 胜 防 。针 对 这 种 情 况 , 防 在 思 科 的 网 络 产 品 中 ,设 计 了 动 态 A RP
检 测 的技 术 。虽然 这 个技 术 不 能 够 从 根 本 上解 决 A k IP带 来 的 安 全 隐 患 ,但 是 对 于 遏 制其 危 害 , 别 是 在 中 间人 攻 击 特
会 如 何 应对 呢?当攻 击 者 c连 接 到 工 作 组 交 换 机 ,并 且 试 图 发 送 虚 假 的 A KP 响应时, 交换 机 会 根据 DHC P监 听绑 定 表 检 测 到 这 种 攻 击 行 为 , 会 丢 弃 这 个 并 A RP数据 包 。 后 交换 机 会 将 这 个攻 击 然
第二步是比较关键 , 要将交换机 需
刃剑 。一方面 A RP协议 是网络通信 中 A RP响应 ( 自己的 MAC地址替代 主 间的连接配置 为 DA 动态 A P检 测) 将 [( R
不 可 或 缺 的协 议 , 就 好 像 是 一 个 问路 其 人 , 一 定程 度 上 决 定 了 数 据 的 传 输 路 在
方 面 , 然 有 独 到 的表 现 。 仍
一
为 中 间 人攻 击 。 二 、 通 过 动 态 A P 检 测 来 防止 中 R 间 人 攻 击 为 了 有 效 防 止 中 间 人 攻 击 . 思 科 在 的网络 产品 中设 计了动 态 A P检测 。 R
其原 理 比 较 简 单 , 是交 换 机 的相 关 端 就 口 会 自动 检 测 A k tP数 据 包 来 自于 正 确 的端 口 , 且 没 有 被 攻 击 者 所 更 改 或 者 并
径 。在 另 一 方 面 , 又 容 易 被 攻 击 者 使 其
ቤተ መጻሕፍቲ ባይዱ
机 B的 MAC地 址 )其 就 可 以发 起 中 间 , 人 攻 击 。在 接 收 到 主 机 c 的 A kP响 应
之 后 , 机 A 将 不 能 够 拥 有 主机 B 的正 主
信 任 端 口 。在 上面 举 例 子 的 时 候 , 者 笔 为 了 简 单 起 见 , 设 定 了 一 个 工 作 组 交 只