ARP欺骗攻击
常用工具: dsniff(Linux/windows)、ettercap(Linux/windows)、cain(仅windows)。
ARP欺骗攻击的目的是嗅探发往某主机的所有IP数据包。
交换机:
在LAN接入中的三层交换机使用第五章中提到的DHCP Snooping 功能中的动态ARP检查(Dynamic ARP Inspection)功能即可有效防止ARP欺骗的发生。
并且可以设置N秒内收到M条ARP欺骗消息会产生一条日志。每秒收到超过多少条ARP数据包时 使相应端口进入错误禁用(err-disable)状态。以缓解由于处理大量ARP数据包导致的CPU使用率过高,以及CPU使用率过高导致的无法维持路由协议进程的运行可能引发的严重的路由稳定问题。
主机:
在接入的PC上忽略免费ARP消息也可以一定程度的避免ARP欺骗。当然也可以完全使用静态ARP,但是在大型网络中完全使用静态ARP工作量巨大。
入侵检测:
一款免费的工具: ARPwatch (仅Lunux) 检测到异常后会通过邮件警告管理员。