1 簡單說ARP表就是mac和IP的對應關係
arp原理:某機器A要向主機B發送報文,
會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,進行數據傳輸
如果未找到,則廣播一個ARP請求報文
網上所有主機包括B都收到ARP請求,理想情況是隻有主機B向主機A發回一個ARP響應報文,其中包含有B的MAC地址
風險:不幸的是,網內所有的主機均可向A發回一個ARP響應報文,並且可以隨意修改ARP響應報文中的IP和MAC
發現arp***後的處理
命令:arp -a 查看 arp -d 刪除 arp -s 1.1.1.1 MAC靜態綁定
1.arp -a 如果發現網關的MAC地址發生了改變,或者發現有很多IP指向同一個物理地址,那麼肯定就是ARP欺騙所致。
2.arp -d 後臨時可以上網,過會有上不了網,可能是ARP***。
3.tracert–d www.163.com 馬上就發現第一條不是網關機的內網ip,而是本網段內的另外一臺機器的IP,再下一跳纔是網關的內網IP;正常情況是路由跟蹤執行後的輸出第一條應該是默認網關地址,由此判定第一跳的那個非網關IP地址的主機就是罪魁禍首。
4.靜態可以查編號,動態的話認爲造成IP地址衝突,使病毒機報警。
5.找到主機後殺毒,重裝。
防範
dhcp-snooping的主要作用就是隔絕非法的dhcp server
DAI
IP SOURCE Guard:相當於給接口配置了一個ACL
DAI,IP SOURCE Guard都需要DHCP-SNOOPING這張表
1.當交換機開啓了DHCP-Snooping後,會對DHCP報文進行偵聽,並可以從接收到的DHCP Request或DHCP Ack報文中提取並記錄IP地址和MAC地址信息。另外,DHCP-Snooping允許將某個物理端口設置爲信任端口或不信任端口。信任端口可以正常接收並轉發DHCP Offer報文,而不信任端口會將接收到的DHCP Offer報文丟棄。這樣,可以完成交換機對假冒DHCP Server的屏蔽作用,確保客戶端從合法的DHCP Server獲取IP地址。(也就是說DHCP的Snooping技術,能夠保證可以信任的端口,可以正常的發送和接受DHCP的那幾個報文。而不可信任的端口,他只能發送請求報文,其他的都不可以。)
2.建立和維護一張dhcp-snooping的綁定表,這張表一是通過dhcp ack包中的ip和mac地址生成的,二是可以手工指定。這張表是後續DAI(dynamic arp inspect)和IP Source Guard 基礎。這兩種類似的技術,是通過這張表來判定ip或者mac地址是否合法,來限制用戶連接到網絡的.
3.DHCP snooping或者手工配置的綁定裏面有哪些東西:表中的每一項都有一個IP地址,並和一個MAC地址和一個VLAN號相關聯。而IP Source Guard就是基於這個表來工作的。如果沒有這個表,那麼也不會有IP Source Guard。同時IP source guard僅支持2層端口,包括acess和trunk口.可以配置IP source guard和源IP地址過濾或者IP/MAC地址過濾共同工作.(詳細解釋:Catalyst IP源地址保護(IP Source Guard)功能打開後,可以根據DHCP偵聽記錄的IP綁定表動態產生PVACL,強制來自此端口流量的源地址符合DHCP綁定表的記錄,這樣***者就無法通過假定一個合法用戶的IP地址來實施***了。這個功能將只允許對擁有合法源地址的數據包進行轉發,合法源地址是與IP地址綁定表保持一致的,它也是來源於DHCP Snooping綁定表。IP Source Guard不但可以配置成對IP地址的過濾,也可以配置成對MAC地址的過濾。這樣,就只有IP地址和MAC地址都與DHCP Snooping綁定表匹配的通信包才能夠被允許傳輸。)