防ARP攻击测试

    防ARP攻击测试

    H3C S1650提供了MAC地址、IP地址及端口三元素绑定，虽然说目前H3C已经有四元绑定，但通过此次测试的三元绑定，我们仍然可以看到一些特别之处。

    我们首先在Vlan1中将评测设备IP仍然设置为192.168.0.254，DELL PowerEdge 2950服务器设置为192.168.0.100，网关为192.168.0.254。

实际测试环境（白色线连接DELL PowerEdge 2950）

DELL PowerEdge 2950（受攻击端）

    由于服务器有两块网卡，我们从另外一块网卡远程登录，ping网关192.168.0.254正常，ARP -a显示MAC地址和IP信息（注意第二块才是测试网卡）。

攻击前测试

Telnet连接也正常

    在SmartWindow中建立一个ARP Reply攻击流，目的MAC：00-1E-C9-ED-51-E5，构造虚假MAC地址为01-01-01-01-01-01，SourceIP为192.168.0.254，准备进行ARP网关欺骗攻击。

ARP攻击配置

开始ARP攻击

攻击结果

Telnet连接丢失

抓取的数据包

    在没有开启ARP防护时，看到ARP的攻击是相当顺畅的，我们可以通过三元绑定将IP、MAC和端口绑定，也可以使用如下命令：

    arp detection enable

    按Y确定，该功能将开启防ARP欺骗功能，但如果交换机仅仅能够防欺骗还不够，如果攻击端发送大量的ARP流，交换机的资源将急剧下降，影响正常网络交换功能，所以还需要对发送大量ARP流的端口实施过滤。

    arp rate-limit enable 开启数据流极限过滤功能

    arp rate-limit 100 设置一个上限（10-100）

    接下来再次进行ARP攻击，我们发现交换机已经完全能够防护住了。

防止ARP攻击