北京思科新版ccna認證中常用的地址解析協議arp,網工0基礎學習速成祕籍地址解析協議即ARP協議,是一種在以太網絡中常用的協議。因爲ARP協議的簡單、有效,但也因爲缺少安全的機制,很容易被攻擊者利用。ARP攻擊可能造成網絡不穩定,引發用戶通信頻繁中斷,從而影響生產數據,造成損失。另一方面,通過ARP欺騙截取用戶報文,進而非法獲取信息造成被攻擊者重大利益損失。
ARP安全機制,則是用於進行ARP防護的措施,針對於不同的ARP攻擊方式,可以採取ARP報文限制等方式進行防護。主要的ARP 攻擊方式如下:
1.ARP泛洪攻擊,也叫拒絕服務攻擊DoS( Denial of Service)。
一方面,設備進行ARP處理和維護ARP都需要消耗系統資源,同時爲實現以太網中的地址解析,滿足ARP表項查詢的要求,設備都會對ARP表項規模進行相應的限制。攻擊者就通過僞造大量源IP地址變化的ARP報文,使得設備ARP表資源被無效的ARP條目耗盡,而合法用戶的ARP報文不能繼續生成ARP條目,導致正常通信中斷。這樣就構成了ARP洪泛攻擊。另一種情況是,通過利用工具掃描本網段主機或者進行跨網段掃描時,會發送大量目標IP地址不能解析的IP報文,最終觸發大量ARP Miss消息,生成大量臨時ARP表項,並針對目標IP地址產生廣播大量ARP請求消息,從而造成CPU負荷過重。
2.ARP欺騙攻擊,是指通過發送僞造的ARP報文,惡意修改設備或網絡內其他用戶主機ARP表項,造成用戶或網絡的報文通信異常。
爲了避免上述ARP攻擊行爲造成的各種危害, ARP安全特性針對不同的攻擊類型提供了多種解決方案。針對於ARP洪泛攻擊,可以採取相應報文限速以及丟棄、對ARP表項進行相應的限制方式來進行防護。針對於ARP欺騙,可以採取ARP表固化、丟棄、mac地指標一致性檢測等方式來進行防護。北京思科新版ccna認證中常用的地址解析協議arp,網工0基礎學習速成祕籍