动态ARP检测原理及应用

在一个局域网中，网络安全可以通过多种方式来实现，而采取DHCP snooping（DHCP防护）及DAI检测（ARP防护）这种技术，保护接入交换机的每个端口，可以让网络更加安全，更加稳定，尽可能的减小中毒范围，不因病毒或木马导致全网的瘫痪。 下面将详细的对这种技术的原理和应用做出解释。

一、 相关原理及作用

1、 DHCP snooping原理

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

当交换机开启了 DHCP-Snooping后，会对DHCP报文进行“侦听”，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

2、DHCP snooping作用

DHCP snooping的主要作用就是隔绝私接的DHCP server，防止网络因多个DHCPserver而产生震荡。

DHCP snooping与交换机DAI技术的配合，防止ARP病毒的传播。 建立并维护一张DHCP snooping的“绑定表”，这张表可以通过dhcpack包中的ip和mac地址生成的，也可以通过手工指定。它是后续DAI（Dynamic ARP Inspection）和IP Source Guard 基础。这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。

…… …… 余下全文

班级：网络3092 学号：41 姓名：巩卫军

常见的网络协议\端口号

一．端口的分类

端口的分类根据其参考对象不同有不同划分方法，如果从端口的性质来分，通常可以分为以下三类：

（1）公认端口（Well Known Ports）：这类端口也常称之为"常用端口"。这类端口的端口号从0到1024，它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议，这种端口是不可再重新定义它的作用对象。例如：80端口实际上总是HTTP通信所使用的，而23号端口则是Telnet服务专用的。这些端口通常不会像木马这样的黑客程序利用。

（2） 注册端口（Registered Ports）：端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象，不同程序可根据实际需要自己定义。

（3） 动态和/或私有端口（Dynamic and/or Private Ports）：端口号从49152到65535。

如果根据所提供的服务方式的不同，端口又可分为"TCP协议端口"和"UDP协议端口"两种。因为计算机之间相互通信一般采用这两种通信协议。上面所介绍的"连接方式"是一种直接与接收方进行的连接，发送信息以后，可以确认信息是否到达，这种方式大多采用TCP协议；另一种是不是直接与接收方进行连接，只管把信息放在网上发出去，而不管信息是否到达，这种方式大多采用UDP协议，IP协议也是一种无连接方式。

二．常见的网络协议

网际层协议：包括：IP协议、ICMP协议、ARP协议、RARP协议。

传输层协议：TCP协议、UDP协议。

应用层协议：FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。

…… …… 余下全文

H3C防ARP解决方案及配置

防ARP攻击配置举例

关键词：ARP、DHCP Snooping

摘 要：本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能，防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实际配置。

缩略语：ARP（Address Resolution Protocol，地址解析协议）

MITM（Man-In-The-Middle，中间人攻击）

第1章 防ARP攻击功能介绍

近来，许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H3C公司根据校园网ARP攻击的特点，给出了DHCP监控模式下的防ARP攻击解决方案，可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式；且不需要终端用户安装额外的客户端软件，简化了网络配置。

1.1 ARP攻击简介

按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。

校园网中，常见的ARP攻击有如下几中形式。

(1) 仿冒网关

攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的

MAC地址，导致该用户无法正常访问外网。

图1-1 “仿冒网关”攻击示意图

(2) 欺骗网关

攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

…… …… 余下全文

随着学校校园网越来越多人使用，用户对网络知识认知的提高，很多人在网上下载一些黑客工具或者用ping命令，进行扫描端口、IP寻找肉机，带来很坏的影响。

ping命令它可以向你提供的地址发送一个小的数据包，然后侦听这台机器是否有“回答”。查找现在哪些机器在网络上活动。使用Ping入侵即是ICMP入侵，原理是通过Ping在一个时段内连续向计算机发出大量请求使得计算机的CPU占用率居高不下达到100%而系统死机甚至崩溃。基于此，写这篇IP安全策略防ping文章以保障自己的系统安全。

其实防ping安装和设置防火墙也可以解决，但防火墙并不是每一台电脑都会去装，要考虑资源占用还有设置技巧。如果你安装了防火墙但没有去修改、添加IP规则那一样没用。有些配置不是很高为免再给防火墙占用资源用手工在自己系统中设置安全略是一个上上的办法。

下面就写下具体创建过程：

（一）创建IP安全策略

1、依次单击“开始→控制面板→管理工具→本地安全策略”，打开“本地安全设置”，右击该对话框左侧的“IP安全策略，在本地计算机”选项，执行“创建IP安全策略”命令；（之间有些简单的点击下一步之类的过程省略不写）

2、在出现的“默认响应规则身份验证方法”对话框中我们选中“此字符串用来保护密钥交换（预共享密钥）”选项，然后在下面的文字框中任意键入一段字符串（如“禁止

Ping”）

3、完成了IP安全策略的创建工作后在“IP筛选器列表”窗口中单击“添加”按钮，此时将会弹出“IP筛选器向导”窗口，我们单击“下一步”，此时将会弹出“IP通信源”页面，在该页面中设置“源地址”为“我的IP地址”；“目标地址”为“任何IP地址”，任何IP地址的计算机都不能Ping你的机器。

[在“筛选器属性”中可封闭端口。比如封闭TCP协议的135端口：在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽

…… …… 余下全文

常见的网络协议\端口号

一个网络协议至少包括三要素:

语法 用来规定信息格式；数据及控制信息的格式、编码及信号电平等。 语义 用来说明通信双方应当怎么做；用于协调与差错处理的控制信息。

时序（定时 ）详细说明事件的先后顺序；速度匹配和排序等

网际层协议：包括：IP协议、ICMP协议、ARP协议、RARP协议。 传输层协议：TCP协议、UDP协议。

应用层协议：FTP、Telnet、SMTP、HTTP、RIP、NFS、DNS。

使用TCP协议的常见端口主要有以下几种：

（1）

FTP：定义了文件传输协议，使用21端口。常说某某计算机开了FTP服务便是启动了文件传输服务。下载文件，上传主页，都要用到FTP服务。

（2）

Telnet：它是一种用于远程登陆的端口，用户可以以自己的身份远程连接到计算机上，通过这种端口可以提供一种基于DOS模式下的通信服务。如以前的BBS是纯字符界面的，支持BBS的服务器将23端口打开，对外提供服务。

（3）

SMTP：定义了简单邮件传送协议，现在很多邮件服务器都用的是这个协议，用于发送邮件。如常见的免费邮件服务中用的就是这个邮件服务端口，所以在电子邮件设置中常看到有这么SMTP端口设置这个栏，服务器开放的是25号端口。

（4）

POP3：它是和SMTP对应，POP3用于接收邮件。通常情况下，POP3协议所用的是110端口。也是说，只要你有相应的使用POP3协议的程序（例如Foxmail或Outlook），就可以不以Web方式登陆进邮箱界面，直接用邮件程序就可以收到邮件（如是163邮箱就没有必要先进入网易网站，再进入自己的邮箱来收信）。

使用UDP协议端口常见的有：

（1）

HTTP：这是大家用得最多的协议，它就是常说的"超文本传输协议"。上网浏览网页时，就得在提供网页资源的计算机上打开80号端口以提供服务。常说"WWW服务"、"Web服务器"用的就是这个端口。

…… …… 余下全文

常用端口号大全

20和21，究竟哪个是传控制的，哪个是传数据的？

ftp-data 20/tcp File Transfer [Default Data]

ftp-data 20/udp File Transfer [Default Data]

ftp 21/tcp File Transfer [Control]

ftp 21/udp File Transfer [Control]

FTP就是文件传输协议 File Transfer Protocol 的缩写.

FTP端口号是 21

FTP的端口号能改

ftp的端口号20、21的区别一个是数据端口，一个是控制端口，控制端口一般为21，而数据端口不一定是20，这和FTP的应用模式有关，如果是主动模式，应该为20，如果为被动模式，由服务器端和客户端协商而定

电脑上有多少个端口？我怎么样才能知道自己的电脑哪些端口是开的？那些是关的？哪些是可用的？怎么样才能把打开着的关了，把关着的打开，电脑上有多少个端口。

计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。

按端口号可分为3大类：

（1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

（2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

（3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

…… …… 余下全文

ARP协议

ARP协议，即地址解析协议，属于网络层协议。它负责将IP地址转换成MAC地址，以便于在局域网中进行通信。当一个计算机要与本网段的另一台计算机通信时，必须知道它的MAC地址才能进行通信。一般是先查找本计算机内的ARP缓存表，通过目标计算机的IP地址找到与其对应的MAC地址。如果找不到，则进行广播通信，由目标计算机作出响应。 ARP协议分析：

Frame number : 5 指出了帧编号是5

Packet length: 60 bytes 指出了数据包长度是60字节

Source: 00:0d:87:f8:46:2f 指出了发送此数据包的计算机的MAC地址

Destination: ff:ff:ff:ff:ff:ff 指出数据包是通过广播通信，广播到连接到总线上

的所有计算机。

Type: ARP 指出了采用的协议是ARP协议

Protocol Type: IP 这里标注还使用了一个网络层协议为IP，IP和ARP都是网

络层上的协议

Sender MAC address和Sender IP address 分别指出了发送此数据包的计算机的MAC地址和

IP地址，以便于响应包响应时发送给该计算机

Target MAC address 指出了该数据包的目标地址，且根据显示判断出这是一则广播通信，目

标是与总线相连的所有计算机。

Target IP address：192.168.80.1 指出了请求的是该IP地址的MAC地址，连接在总线上

192.168.80.1主机接到ARP请求包后通过与自己的IP对比，

对此请求作出响应，回复自己的MAC地址。

http协议

http协议，即超文本传输协议，属于应用层协议。功能是供用户访问遍布在Internet计算机上相互链接的文件。服务器，客户机之间通http协议将页面从服务器传回客户端。 Frame number: 28 说明帧编号是28

…… …… 余下全文