книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Abnormal ARP Traffic Detection and Prevention
3.4.3.4 Шаг 3: Настройте порт SPAN в коммутаторе Cisco
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
w61 |
to |
|
|
|
|
|
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
o |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Следующие шаги показывают, как настроить порт Fa0 / 9 на коммутаторе как порт SPAN:
*Подключите хост C к консольному порту на коммутаторе.
*Запустите настройку с помощью инструмента HyperTerminal.
(Обратитесь к Главе 1 для получения дополнительной информации об инструменте HyperTerminal.)
* Введите следующую команду для настройки порта SPAN:
Switch> enable//введите команду enable для доступа к привилегированному режиму EXEC.
Switch(conf)#monitor session 1 source interface fastethernet 0/3 both
Switch(conf)#monitor session 1 source interface fastethernet 0/7 both
Switch(conf)#monitor session 1 destination interface fastethernet 0/9 Switch(conf)#exit
Switch# copy running-config startup-config
После ввода вышеуказанных команд весь трафик, исходящий от хоста A (Fa0 /3) и хоста B (Fa/07), будет прослушиваться хостом C (Fa0/9).
3.4.3.5 Шаг 4. Создание и обнаружение аномальных пакетов ARP
Пакет, выпущенный от хоста A, должен использоваться для генерации ненормальных пакетов ARP. Поскольку XArp 2 отслеживает трафик хоста A и хоста B, ожидается, что сгенерированные ненормальные пакеты ARP будут проверены XArp 2. В этом эксперименте с помощью CommView Visual Packet Builder создаются четыре типа ненормальных пакетов ARP:
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
62 |
|
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
o |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
||
Network Attacks and Defenses: A Hands-on Approach
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
* Packet#1: Хост A отправляет широковещательный пакет запроса ARP. Пакет нарушает действительное сопоставление IP / MACадреса, поскольку пара IP-адрес источника / MAC-адрес в заголовке ARP является недопустимой, как показано здесь:
CommView Visual Packet Builder позволяет генерировать вышеуказанный ненормальный пакет ARP (Packet#1; см. Снимок экрана ниже).
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Abnormal ARP Traffic Detection and Prevention
После введения ненормального пакета ARP в сеть XArp 2 сгенерировал предупреждающее сообщение ChangeFilter, показанное на следующем снимке экрана.
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
63 |
to |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
o |
|||||
|
w |
|
|
|
|
|
|
|
|
||
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
Предупреждение XArp 2 ChangeFilter указывает на то, что пакет нарушает текущие сопоставления. XArp 2 отслеживает сопоставления IP-адресов и MAC-адресов. Запросы ARP содержат сопоставление IP-MAC отправителя. Ответы ARP содержат сопоставление IP-MAC разрешенного хоста. Каждый пинг карты вставляется в базу данных. Если отслеживаемое сопоставление нарушает текущие сопоставления, генерируется предупреждение.
* Packet #2: Хост A отправляет широковещательный пакет запроса ARP. Пакет имеет MAC-адрес источника Ethernet, который не соответствует MAC-адресу источника ARP, как показано здесь:
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
||||
|
|
X |
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
r |
|
P |
|
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
|
||||
|
|
|
|
to |
|
64 |
|
|
||||
|
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
|
o |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
||
Network Attacks and Defenses: A Hands-on Approach
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
CommView Visual Packet Builder позволяет генерировать вышеупомянутый ненормальный пакет ARP (Packet #2; см. Снимок экрана ниже).
После внедрения указанного выше ненормального пакета ARP в сеть XArp 2 сгенерировал предупреждающее сообщение CorruptFilter, показанное на следующем снимке экрана.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Abnormal ARP Traffic Detection and Prevention
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
65 |
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
o |
|||||
|
w |
|
|
|
|
|
|
|
|
||
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
Предупреждение XArp 2 CorruptFilter указывает, что пакет ARP содержит неправильные значения. То есть MAC-адрес источника Ethernet не соответствует MAC-адресу источника ARP. XArp 2 проверяет эти значения на правильность.
* Packet #3: Узел A отправляет ненормальный пакет запроса одноадресной ARP на узел B. Пакет запроса ARP необходимо отправить на широковещательный MAC-адрес. Однако в этом эксперименте сгенерированный пакет запроса ARP был отправлен на одноадресный MAC-адрес (MAC-адрес хоста B), как показано здесь:
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
|
d |
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
|
i |
r |
|
|
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
|||||
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
P |
|
|
|
|
|
NOW! |
o |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||||||||
|
|
|
|
to |
|
66 |
|
|
Network Attacks and Defenses: A Hands-on Approach |
|
|
|
|
to |
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
w |
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
|
m |
||||||||||||
w Click |
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
w Click |
|
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
g |
.c |
|
|
|
|
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
CommView |
Visual |
Packet |
Builder |
позволяет |
генерировать |
-x cha |
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
вышеупомянутый ненормальный пакет одноадресной передачи ARP (Packet #3), как показано на следующем снимке экрана.
После внедрения вышеуказанного ненормального пакета запроса ARP в сеть XArp 2 сгенерировал предупреждающее сообщение DirectedRequestFilter инструмента следующим образом.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
|
X |
|
|
|
|
|
|||
|
|
|
- |
|
|
|
|
|
d |
|
||
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
BUY |
|
|
|||
Abnormal ARP Traffic Detection and Prevention |
67 |
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
w |
|
|
|
|
|
|
|
|
m |
|||
|
|
w Click |
|
|
|
|
|
o |
||||
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
|
-x cha |
|
|
|
|
||
В предупреждающем сообщении XArp 2 DirectedRequestFilter
указывается, что пакет запроса ARP отправляется на одноадресный MAC-адрес. Однако запросы ARP должны отправляться на широковещательный MAC-адрес.
* Packet #4: Хост A отправляет пакет ответа ARP, который не запрашивается, на хост B. То есть хост A отправляет пакет ответа ARP на хост B, несмотря на тот факт, что хост B не отправил ни одного пакета запроса ARP. Ответы ARP должны обычно следовать запросам ARP. Следующий ненормальный пакет ответа ARP, который не запрошен, был отправлен узлом A на узел B:
CommView Visual Packet Builder позволяет генерировать вышеупомянутый ненормальный ответный пакет ARP (Packet #4; см. Скриншот ниже).
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
||||
|
|
X |
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
r |
|
P |
|
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
|
||||
|
|
|
|
to |
|
68 |
|
|
||||
|
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
|
o |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
||
Network Attacks and Defenses: A Hands-on Approach
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
После внедрения вышеуказанного ненормального пакета запроса ARP в сеть XArp 2 сгенерировал предупреждающее сообщение RequestedResponseFilter инструмента, показанное на следующем снимке экрана.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Abnormal ARP Traffic Detection and Prevention
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
69 |
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
o |
|||||
|
w |
|
|
|
|
|
|
|
|
||
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
В предупреждающем сообщении XArp 2 RequestedResponseFilter
указывается, что был сгенерирован ответный пакет ARP, который не был запрошен. XArp 2 запоминает все исходящие запросы ARP и сопоставляет их с ответами ARP.
3.5 Лабораторная работа 3.2. Предотвращение аномального трафика ARP с использованием проверки динамического ARP для сетевой среды, отличной от DHCP
3.5.1 Результат
Цель данного практического упражнения состоит в том, чтобы учащиеся узнали, как предотвратить ненормальный трафик ARP, с помощью функции безопасности Dynamic ARP Inspection для среды без DHCP в локальной сети.
3.5.2 Динамическая проверка ARP
Усовершенствованные коммутаторы, такие как коммутаторы Cisco Catalyst 3560 и коммутаторы серии Juniper EX, используют функцию безопасности, называемую Dynamic ARP Inspection, для отклонения ненормальных пакетов ARP, главным образом с недопустимыми привязками IP-MAC-адресов. Динамическая проверка ARP обеспечивает ретрансляцию только действительных запросов и ответов ARP. Эта функция помогает предотвратить злонамеренные атаки, не передавая недопустимые запросы ARP и ответы на другие порты в той же локальной сети. Эта возможность защищает сетевые узлы от атак DoS и MiM, использующих технику отравления кэша ARP. Динамическая проверка ARP опирается на использование списка контроля доступа ARP (ACL), который включает в себя действительные привязки IP-MAC-адресов. Список ACL ARP создается вручную для сетевой среды, отличной от DHCP, и автоматически для сетевой среды DHCP.
Например, мы предполагаем, что четыре хоста (A, B, C и D) подключены к коммутатору. В коммутаторах Cisco Catalyst 3560 для защиты вышеуказанных хостов от атаки отравления кэшем ARP создается следующий список ACL ARP:
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
r |
|
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|
|||
|
|
|
|
to |
70 |
|
|
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
o |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
Network Attacks and Defenses: A Hands-on Approach
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Permit ip host Sender-IP-A Permit ip host Sender-IP-B Permit ip host Sender-IP-C Permit ip host Sender-IP-D mac ip any mac any log
mac host Sender-MAC-A mac host Sender-MAC-B mac host Sender-MAC-C host Sender-MAC-D Deny
Динамическая проверка ARP также может быть настроена для отбрасывания пакетов ARP, когда IP-адреса недействительны или когда MAC-адреса в заголовке ARP не совпадают с адресами, указанными в заголовке Ethernet.
Важно отметить, что большинство коммутаторов используют списки ACL ARP для проверки правильности только пары IP-адреса источника и MAC-адреса в заголовке ARP. Они не используются для проверки правильности определения пары IP и MAC в заголовке ARP. Это связано с тем, что неверные пары IP-адресов назначения и MAC-адресов в заголовке ARP не повреждают кэши ARP целевых хостов.
3.5.3 Эксперимент
В следующем эксперименте описывается, как предотвратить ненормальные пакеты ARP с помощью проверки динамического ARP для среды, отличной от DHCP, в локальной сети.
3.5.3.1 Архитектура сети
Архитектура сети, использованная в эксперименте, показана на следующем рисунке. Три хоста подключены к коммутатору Cisco
Catalyst 3560.
Эксперимент состоит из следующих этапов:
Шаг 1: Назначьте статические IP-адреса хостам сети.
Шаг 2. Настройте проверку динамического ARP для среды,
отличной от DHCP, в коммутаторе Cisco Catalyst 3560.
Шаг 3: Генерация и предотвращение ненормальных пакетов ARP.