本文介绍了DHCP Snooping和DAI(ARP Detection)如何结合使用,以防范ARP协议的缺陷导致的恶意切断通信和中间人攻击。通过DHCP Snooping收集的IP-MAC信息,DAI对ARP数据包进行合法性校验,有效避免了LAN内的ARP欺骗和IP地址冲突。
目录
前言
为什么想写这个系列的文章呢?人生在世过半时间都在与网络打交道,一直热爱甚至有点沉迷,沉淀积累了许多年也掌握不少经验和技巧,而这些经验和技巧的获得离不开互联网上各路网友发布过的经验技术文章和行内网友的启发,而对于我自己的积累却从来没整理过,也不热衷发论文。但人总得有点BT精神,不能一味地索取不分享。暑假遇上疫情,无所事事那就写吧,有时会想万一某天睡着睡着就起不来了是不是就可惜了呢?
第一章 《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
第二章 《dhcp snooping + DAI(arp detection)杜绝ARP攻击》
第三章 《dhcp snooping + dhcp option 82获取设备接入信息》
第四章 《dhcp vander class按终端类型分配地址》
第四章 《dhcp option 识别终端类型》
第五章 《dhcp option 249,121,33下发路由》
第六章 《IPoE认证与 dhcp option 60》
摘要
本系列第一章中介绍过DHCP Snooping + IPSG限制用户随意修改IP地址信息,既然用户只能使用由DHCP服务器分配的IP地址为什么还需要对ARP进行限制呢?源于IPSG是对IP协议的数据包进行合法性校验,而ARP协议的数据包不在IPSG的处理范围内,ARP协议作为以太网通信里的一个重要协议,决定主机发送的数据能不能被交换机正确转发。DAI可以通过DHCP Snooping生产的IP-MAC表项对进入交换机的ARP数据包进行合法性校验,保证LAN内所有主机及路由器网关等设备ARP缓存信息不被恶意修改,杜绝ARP欺骗攻击、IP地址冲突。
以太网交换机转发原理
以太网交换机的工作原理十分简单,在收到以太网帧时主要会对帧头的两个字段进行操作,源MAC地址及目标MAC地址, 前者用于产生或更新MAC转发表的“行数据”,把源客户端的MAC与对应接收端口作为“一行”数据插入或更新行数据的老化时间; 后者用于匹配交换机自身的MAC转发表找到转发端口,如果找不到把以太网帧泛洪(广播)到其他接口,如果后者是一个广播地址FF:FF:FF:FF:FF:FF同样会被转发到其他端口。
ARP协议的作用
假设主机A的IP为10.0.0.1/24,主机B的IP为10.
最低0.47元/天 解锁文章
扫一扫
1657
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
