DCNSAR欺騙與DCN防御手段v

DCN-TS16ARP欺騙與DCN防御手段Version1.0學(xué)習(xí)目標(biāo)學(xué)完本課程，您應(yīng)該能夠：深刻理解ARP協(xié)議原理及其攻擊手段深刻理解相應(yīng)的防御手段及其原理ArpGuardDhcpSnoopingBindingARPBindingUserControlBindingDot1xAnti-Arpscan熟練掌握相關(guān)協(xié)議的配置、特點及其針對點掌握相關(guān)協(xié)議的分析及TroubleShooting課程內(nèi)容第一章ARP協(xié)議原理及其攻擊手段第二章DCN防御手段及原理第三章DCN防御協(xié)議配置第四章典型配置案例ARP協(xié)議介紹ARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層提供服務(wù)。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進(jìn)行。ARP的工作原理ARP的工作原理：1. 首先，每臺主機(jī)都會在自己的ARP緩沖區(qū)(ARPCache)中建立一個ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。2. 當(dāng)源主機(jī)需要將一個數(shù)據(jù)包要發(fā)送到目的主機(jī)時，會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機(jī)對應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。3. 網(wǎng)絡(luò)中所有的主機(jī)收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；4. 源主機(jī)收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。RARP的工作原理RARP的工作原理：1.發(fā)送主機(jī)發(fā)送一個本地的RARP廣播，在此廣播包中，聲明自己的MAC地址并且請求任何收到此請求的RARP服務(wù)器分配一個IP地址；2.本地網(wǎng)段上的RARP服務(wù)器收到此請求后，檢查其RARP列表，查找該MAC地址對應(yīng)的IP地址；3.如果存在，RARP服務(wù)器就給源主機(jī)發(fā)送一個響應(yīng)數(shù)據(jù)包并將此IP地址提供給對方主機(jī)使用；4.如果不存在，RARP服務(wù)器對此不做任何的響應(yīng)；5.源主機(jī)收到從RARP服務(wù)器的響應(yīng)信息，就利用得到的IP地址進(jìn)行通訊；如果一直沒有收到RARP服務(wù)器的響應(yīng)信息，表示初始化失敗。ARP報文結(jié)構(gòu)硬件類型協(xié)議類型硬件地址長度協(xié)議長度操作類型發(fā)送方的硬件地址（0-3字節(jié)）源物理地址（4-5字節(jié)）源IP地址（0-1字節(jié)）源IP地址（2-3字節(jié)）目標(biāo)硬件地址（0-1字節(jié)）目標(biāo)硬件地址（2-5字節(jié)）目標(biāo)IP地址（0-3字節(jié)）ARP協(xié)議報文--RequestARP協(xié)議報文--ReplyARP協(xié)議報文--Gratuitous常見的ARP攻攻擊手段段ARP掃描網(wǎng)關(guān)欺騙騙單播Request方式單播Reply方式廣播Request方式主機(jī)欺騙騙單播Request方式單播Reply方式廣播Request方式ARP攻擊擊手段段—ARP掃描描ARP攻擊擊手段段--網(wǎng)關(guān)關(guān)(主主機(jī))欺騙騙/單單播RequestARP攻擊擊手段段--網(wǎng)關(guān)關(guān)(主主機(jī))欺騙騙/單單播ReplyARP攻擊擊手段段--網(wǎng)關(guān)關(guān)欺騙騙--廣播播Request課程內(nèi)內(nèi)容第一章章ARP協(xié)議原原理及及其攻攻擊手手段第二章章DCN防御手手段及及原理理第三章章DCN防御協(xié)協(xié)議配配置第四章章典典型型配置置案例例Arp-Guard--介紹紹ARP協(xié)協(xié)議的的設(shè)計計存在在嚴(yán)重重的安安全漏漏洞，，任何何網(wǎng)絡(luò)絡(luò)設(shè)備備都可可以發(fā)發(fā)送ARP報報文通通告IP地地址址和MAC地地址的的映射射關(guān)系系。這這就為為ARP欺欺騙騙提供供了可可乘之之機(jī)，，攻擊擊者發(fā)發(fā)送ARPrequest報文文或者者ARPreply報報文文通告告錯誤誤的IP地地址址和MAC地地址映映射關(guān)關(guān)系，，導(dǎo)致致網(wǎng)絡(luò)絡(luò)通訊訊故障障。ARPGuard功功能常常用于于保護(hù)護(hù)網(wǎng)關(guān)關(guān)不被被攻擊擊，如如果要要保護(hù)護(hù)網(wǎng)絡(luò)絡(luò)內(nèi)的的所有有接入入PC不受受ARP欺欺騙攻攻擊，，需要要在端端口配配置大大量受受保護(hù)護(hù)的ARPGuard地地址，，這將將占用用大量量芯片片F(xiàn)FP表表項項資源源，可可能會會因此此影響響到其其它應(yīng)應(yīng)用功功能，，并不不適合合。Arp-Guard--原理理主要攻攻擊形形式（（如上上圖））：ARP欺騙的的危害害主要要表項項為兩兩種形形式：：1、、PC4發(fā)送ARP報文通通告PC2的IP地址映映射為為自己己的MAC地址，，將導(dǎo)導(dǎo)致本本應(yīng)該該發(fā)送送給PC2的IP報文全全部發(fā)發(fā)送到到了PC4，這樣PC4就可以以監(jiān)聽聽、截截獲PC2的報文文；2、PC4發(fā)送ARP報文通通告PC2的IP地址映映射為為非法法的MAC地址，，將導(dǎo)導(dǎo)致PC2無法接接收到到本應(yīng)應(yīng)該發(fā)發(fā)送給給自己己的報報文。。特別別是如如果攻攻擊者者假冒冒網(wǎng)關(guān)關(guān)進(jìn)行行ARP欺騙，，將導(dǎo)導(dǎo)致整整個網(wǎng)網(wǎng)絡(luò)癱癱瘓。。防御手手段：：我們利利用交交換機(jī)機(jī)的過過濾表表項保保護(hù)重重要網(wǎng)網(wǎng)絡(luò)設(shè)設(shè)備的的ARP表項不不能被被其它它設(shè)備備假冒冒?；驹砭途褪抢媒唤粨Q機(jī)機(jī)的過過濾表表項，，檢測測從端端口輸輸入的的所有有ARP報文，，如果果ARP報文的的源IP地址是受到到保護(hù)的IP地址，就直直接丟棄報報文，不再再轉(zhuǎn)發(fā)。L3交換機(jī)PC1PC2PC3PC4PC5PC6HUBABCDDHCPSnooping--介紹紹（1）防偽裝DHCPServer：DHCPSnooping最初的應(yīng)用用是為了防防止用戶私私設(shè)DHCP服務(wù)器，通通過啟用DHCPSnooping，將交換機(jī)上上各端口定定義為Trust接口和Untrust接口，在Untrust接口判斷是是否有DHCPServer才能發(fā)送的的DHCPOFFER、DHCPACK、DHCPNAK報文，如果果截獲到這這些報文，，將發(fā)出警警告并做出出相應(yīng)反應(yīng)應(yīng)（shutdown該接口或者者下發(fā)blockhole）。防DHCP過載攻擊：：DHCPSnooping要對信任端端口和非信信任端口做做DHCP收包限速，，防止過多多的DHCP報文攻擊CPU，實現(xiàn)了防止止DHCP過載攻擊，，防止過多多的DHCP報文耗盡CPU資源。記錄DHCP綁定數(shù)據(jù)：：DHCPSnooping在轉(zhuǎn)發(fā)DHCP報文的同時時，記錄DHCPSERVER分配的綁定定數(shù)據(jù)，并并可以把綁綁定數(shù)據(jù)上上載到指定定的服務(wù)器器進(jìn)行備份份。添加綁定ARP：DHCPSnooping捕獲到綁定定數(shù)據(jù)之后后，可以根根據(jù)綁定數(shù)數(shù)據(jù)中的參參數(shù)添加靜靜態(tài)綁定ARP，這樣可以防防止交換機(jī)機(jī)的ARP表項欺騙騙。DHCPSnooping--介紹紹（2）添加信任用用戶:DHCPSnooping捕獲到綁定定數(shù)據(jù)之后后，可以根根據(jù)綁定數(shù)數(shù)據(jù)中的參參數(shù)添加添添加信任用用戶表項，，這樣這些些用戶就可可以不經(jīng)過過DOT1X認(rèn)證而訪問問所有資源源。自動恢復(fù):交換機(jī)shutdown端口或者下下發(fā)blockhole一段時間后后，交換機(jī)機(jī)應(yīng)主動恢恢復(fù)該端口口或源Mac的通訊，同同時通過syslog發(fā)送信息到到LogServer。LOG功能:交換機(jī)檢測測發(fā)現(xiàn)異常常收包時；；或者自動動恢復(fù)時，，應(yīng)自動發(fā)發(fā)送syslog信息到LogServer。DHCPSnooping—原理實現(xiàn)機(jī)制：：DHCPSnooping通過動態(tài)監(jiān)監(jiān)控客戶端端從DHCP服務(wù)器獲取取地址的過過程（或者者手工靜態(tài)態(tài)綁定），，將客戶端端的IP、MAC關(guān)聯(lián)到具體體的交換機(jī)機(jī)端口，并并將該綁定定關(guān)系下發(fā)發(fā)給驅(qū)動，，只有符合合該綁定關(guān)關(guān)系的ARP報文交換機(jī)機(jī)才會轉(zhuǎn)發(fā)發(fā)，從而實實現(xiàn)防ARP攻擊。注意事項：：必須保證手手工靜態(tài)綁綁定及第一一次動態(tài)獲獲取IP、MAC的正確性和和有效性不能阻止以以符合綁定定關(guān)系的IP、MAC為源的網(wǎng)段段掃描，請請注意結(jié)合合Anti-Arpscan使用Anti-Arpscan--介紹ARP掃掃描是一種種常見的網(wǎng)網(wǎng)絡(luò)攻擊方方式。為了了探測網(wǎng)段段內(nèi)的所有有活動主機(jī)機(jī)，攻擊源源將會產(chǎn)生生大量的ARP報報文在網(wǎng)段段內(nèi)廣播，，這些廣播播報文極大大的消耗了了網(wǎng)絡(luò)的帶帶寬資源；；攻擊源甚甚至有可能能通過偽造造的ARP報文而而在網(wǎng)絡(luò)內(nèi)內(nèi)實施大流流量攻擊，，使網(wǎng)絡(luò)帶帶寬消耗殆殆盡而癱瘓瘓。而且ARP掃掃描通常是是其他更加加嚴(yán)重的攻攻擊方式的的前奏，如如病毒自動動感染，或或者繼而進(jìn)進(jìn)行端口掃掃描、漏洞洞掃描以實實施如信息息竊取、畸畸形報文攻攻擊，拒絕絕服務(wù)攻擊擊等。由于ARP掃描給給網(wǎng)絡(luò)的安安全和穩(wěn)定定帶來了極極大的威脅脅，所以防防ARP掃掃描功能能將具有重重大意義。。DCN系系列交換機(jī)機(jī)防ARP掃描的的整體思路路是若發(fā)現(xiàn)現(xiàn)網(wǎng)段內(nèi)存存在具有ARP掃掃描特征的的主機(jī)或端端口，將切切斷攻擊源源頭，保障障網(wǎng)絡(luò)的安安全。Anti-Arpscan--原原理理實現(xiàn)現(xiàn)機(jī)機(jī)制制：：有有兩兩種種方方式式來來防防ARP掃描描：：基基于于端端口口和和基基于于IP。。基于于端端口口的的ARP掃描描會會計計算算一一段段時時間間內(nèi)內(nèi)從從某某個個端端口口接接收收到到的的ARP報文文的的數(shù)數(shù)量量，，若若超超過過了了預(yù)預(yù)先先設(shè)設(shè)定定的的閾閾值值，，則則會會down掉此此端端口口。?；谟贗P的ARP掃描描則則計計算算一一段段時時間間內(nèi)內(nèi)從從網(wǎng)網(wǎng)段段內(nèi)內(nèi)某某IP收到到的的ARP報文文的的數(shù)數(shù)量量，，若若超超過過了了預(yù)預(yù)先先設(shè)設(shè)置置的的閾閾值值，，則則禁禁止止來來自自此此IP的任任何何流流量量，，而而不不是是down掉與與此此IP相連連的的端端口口。。此此兩兩種種防防ARP掃描描功功能能可可以以同同時時啟啟用用。。端端口口或或IP被禁禁掉掉后后，，可可以以通通過過自自動動恢恢復(fù)復(fù)功功能能自自動動恢恢復(fù)復(fù)其其狀狀態(tài)態(tài)。。注意意事事項項：：為了了提提高高交交換換機(jī)機(jī)的的效效率率，，可可以以配配置置受受信信任任的的端端口口和和IP，，交換換機(jī)機(jī)不不檢檢測測來來自自受受信信任任的的端端口口或或IP的ARP報文文，，這這樣樣可可以以有有效效地地減減少少交交換換機(jī)機(jī)的的負(fù)負(fù)擔(dān)擔(dān)。。如果果PC1偽造造PC2發(fā)起起網(wǎng)網(wǎng)段段掃掃描描，，Anti-Arpscan（（基于于IP方式式））可可能能會會將將PC2給封封掉掉，，所所以以，，請請注注意意結(jié)結(jié)合合其其他他ARP防御御手手段段一一起起使使用用。。課程程內(nèi)內(nèi)容容第一一章章ARP協(xié)議議原原理理及及其其攻攻擊擊手手段段第二二章章DCN防御御手手段段及及原原理理第三三章章DCN防御御協(xié)協(xié)議議配配置置第四四章章典典型型配配置置案案例例Arp-Guard——配配置置命命令令arp-guardip命令令：：arp-guardip<addr>noarp-guardip<addr>功能能：：添添加加ARPGuard地址址。。參數(shù)數(shù)：：<addr>為受受到到保保護(hù)護(hù)的的以以點點分分十十進(jìn)進(jìn)制制形形式式表表示示的的IP地址址。。命令令模模式式：：端端口口配配置置模模式式。。缺省省情情況況：：沒沒有有ARPGuard地址址。。DHCPSnooping——配配置置任任務(wù)務(wù)1.啟啟動動DHCPSnooping2.啟啟動動DHCPSnooping綁綁定定功功能能3.啟啟動動DHCPSnooping綁綁定定ARP功功能能（（應(yīng)應(yīng)用用一一））4.啟啟動DHCPSnooping綁綁定DOT1X功功能（應(yīng)應(yīng)用二））5.啟啟動DHCPSnooping綁綁定USER功能能（應(yīng)用用三）6.添添加靜態(tài)態(tài)表項功功能（應(yīng)應(yīng)用四））7.設(shè)設(shè)置信任任端口8.設(shè)設(shè)置防御御動作9.設(shè)設(shè)置DHCP報報文速速率限制制DHCPSnooping—配置置命令（（1）ipdhcpsnooping命令：ipdhcpsnoopingenablenoipdhcpsnoopingenable功能：開開啟DHCPSnooping功能。參數(shù)：無無。命令模式式：全局局配置模模式。缺省情況況：DHCPSnooping默認(rèn)關(guān)閉閉。DHCPSnooping—配置置命令（（2）ipdhcpsnoopingbinding命令：ipdhcpsnoopingbindingenablenoipdhcpsnoopingbindingenable功能：開開啟DHCPSnooping綁定功能能。參數(shù)：無無。命令模式式：全局局配置模模式。缺省情況況：DHCPSnooping綁定默認(rèn)認(rèn)關(guān)閉。。DHCPSnooping—配置置命令（（3）ipdhcpsnoopingbindingarp命令：ipdhcpsnoopingbindingarpnoipdhcpsnoopingbindingarp功能：開開啟DHCPSnooping綁定ARP功能。參數(shù)：無無。命令模式式：全局局配置模模式。DHCPSnooping—配置置命令（（4）ipdhcpsnoopingbindingdot1x命令：ipdhcpsnoopingbindingdot1xnoipdhcpsnoopingbindingdot1x功能：開開啟DHCPSnooping綁定DOT1X功能。參數(shù)：無無。命令模式式：端口口配置模模式。缺省情況況：所有有端口默默認(rèn)不啟啟動綁定定DOT1X功能。DHCPSnooping—配置置命令（（5）ipdhcpsnoopingbindinguser-control命令：ipdhcpsnoopingbindinguser-controlnoipdhcpsnoopingbindinguser-control功能：開開啟DHCPSnooping綁定用戶戶功能。。參數(shù)：無無。命令模式式：端口口配置模模式。缺省情況況：所有有端口默默認(rèn)不啟啟動綁定定用戶功功能。DHCPSnooping—配置置命令（（6）ipdhcpsnoopingbindinguser命令：ipdhcpsnoopingbindinguser<mac>address<ipAddr><mask>vlan<vid>interface[Ethernet]<ifname>noIpdhcpsnoopingbindinguser<mac>interface[Ethernet]<ifname>功能：配配置靜態(tài)態(tài)綁定用用戶信息息。參數(shù)：<mac>：靜態(tài)綁定定用戶的的MAC地址，MAC地址是綁綁定用戶戶的唯一一索引值值；<ipAddr>、<mask>：靜態(tài)綁定定用戶的的IP地址、掩掩碼；<vid>：靜態(tài)綁定定用戶的的所屬VLANID；<ifname>：靜態(tài)綁定定用戶的的接入端端口。命令模式式：全局局配置模模式。缺省情況況：DHCPSnooping默認(rèn)沒有有靜態(tài)綁綁定表項項。DHCPSnooping—配置置命令（（7）ipdhcpsnoopingtrust命令：ipdhcpsnoopingtrustnoipdhcpsnoopingtrust功能：設(shè)設(shè)置或刪刪除端口口的DHCPSnooping信任屬性性。參數(shù)：無無。命令模式式：端口口配置模模式。缺省情況況：所有有端口默默認(rèn)為非非信任端端口DHCPSnooping—配置置命令（（8）ipdhcpsnoopingaction命令：：ipdhcpsnoopingaction{shutdown|blackhole}[recovery<second>]noipdhcpsnoopingaction功能：：設(shè)置置或刪刪除端端口上上的自自動防防御動動作。。參數(shù)：：shutdown：：端口檢檢測到到偽裝裝DHCPServer時，將將shutdown此端口口；blackhole：端口檢檢測到到偽裝裝DHCPServer時，將將以偽偽裝數(shù)數(shù)據(jù)包包的vid和源mac設(shè)置blackhole來阻止止此Mac的流量量；Recovery：：用戶可可選設(shè)設(shè)置自自動防防御動動作執(zhí)執(zhí)行后后還可可以自自動恢恢復(fù)（（noshut端口或或刪除除相應(yīng)應(yīng)的blackhole）；；<second>：用戶指指定多多長時時間后后恢復(fù)復(fù)防御御動作作，單單位：：秒，，范圍圍是10-3600。。命令模模式：：端口口配置置模式式。缺省情情況：：沒有有默認(rèn)認(rèn)的防防御動動作。。DHCPSnooping—配配置命命令（（9））ipdhcpsnoopingactionMaxNum命令：：ipdhcpsnoopingaction{<maxNum>|default}功能：：設(shè)置置端口口上同同時生生效的的防御御動作作數(shù)目目。參數(shù)：：<maxNum>：每個端口口的防御御動作數(shù)數(shù)目，范范圍是1-200，默默認(rèn)為10；default：恢復(fù)默認(rèn)認(rèn)的防御御動作數(shù)數(shù)目。命令模式式：全局局配置模模式。缺省情況況：默認(rèn)認(rèn)數(shù)目為為10。。DHCPSnooping—配置置命令（（10））ipdhcpsnoopinglimit-rate命令：ipdhcpsnoopinglimit-rate<pps>noipdhcpsnoopinglimit-rate功能：設(shè)設(shè)置DHCP報文速率率限制。。參數(shù)：<pps>：每秒鐘轉(zhuǎn)轉(zhuǎn)發(fā)的DHCP報文數(shù)量量，范圍圍是0-600，默認(rèn)認(rèn)為100。0表示示不再轉(zhuǎn)轉(zhuǎn)發(fā)DHCP報文。命令模式式：全局局配置模模式。缺省情況況：默認(rèn)認(rèn)數(shù)目為為100。Anti-Arpscan——配置任任務(wù)1)啟啟動防ARP掃掃描功功能2)配配置基于于端口和和基于IP的的防ARP掃掃描的閾閾值3）配置置信任端端口4）配置置信任IP5)配配置自動動恢復(fù)時時間6)顯顯示和調(diào)調(diào)試防ARP掃掃描相相關(guān)信息息Anti-Arpscan——配置命命令（1）anti-arpscanenable命令：anti-arpscanenablenoanti-arpscanenable功能：全全局啟動動防ARP掃描功能能；no命令全局局關(guān)閉防防ARP掃描功能能。參數(shù)：無無。缺省情況況：關(guān)閉閉防ARP掃描功能能。命令模式式：全局局配置模模式。Anti-Arpscan——配置命命令（2）anti-arpscanport-basedthreshold<threshold-value>命令：anti-arpscanport-basedthreshold<threshold-value>noanti-arpscanport-basedthreshold功能：設(shè)設(shè)置基于于端口的的防ARP掃描的接接收ARP報文的閾閾值，如如果接收收的ARP報文的速速率超過過此設(shè)定定值，則則關(guān)閉此此端口。。單位為為個/秒秒。no命令恢復(fù)復(fù)為默認(rèn)認(rèn)值，即即10個個/秒秒。參數(shù)：速速率閾值值，有效效范圍為為2-200。。缺省情況況：10個/秒。命令模式式：全局局配置模模式。Anti-Arpscan——配置命命令（3）anti-arpscanip-basedthreshold<threshold-value>命令：anti-arpscanip-basedthreshold<threshold-value>noanti-arpscanip-basedthreshold功能：設(shè)設(shè)置基于于IP的防ARP掃描的接接收ARP報文的閾閾值，如如果接收收的ARP報文的速速率超過過此設(shè)定定值，則則交換機(jī)機(jī)所有端端口都禁禁止接收收來自此此IP的IP報文，而而且和此此IP相連的端端口禁止止接收來來自此IP的ARP報文。單單位為個個/秒。。no命令恢復(fù)復(fù)為默認(rèn)認(rèn)值，即即3個個/秒。。參數(shù)：速速率閾值值，有效效范圍為為1-200。。缺省情況況：3個個/秒秒。命令模式式：全局局配置模模式。Anti-Arpscan——配置命命令（4）anti-arpscantrust<port|supertrust-port>命令：anti-arpscantrust<port|supertrust-port>noanti-arpscantrust<port|supertrust-port>功能：配配置為信信任端口口或超級級信任端端口；no命令恢復(fù)復(fù)為非信信任端口口。參數(shù)：無無。缺省情況況：缺省省全部為為非信任任端口。。命令模式式：端口口配置模模式。Anti-Arpscan——配置命命令（5）anti-arpscantrustip<ip-address>[<netmask>]命令：anti-arpscantrustip<ip-address[<netmask>]>noanti-arpscantrustip<ip-address[<netmask>]>功能：配配置信任任IP；no命令恢復(fù)復(fù)為非信信任IP。參數(shù)：IP的子網(wǎng)掩掩碼。缺省情況況：缺省省所有IP都為非信信任IP。掩碼缺省省為255.255.255.255。命令模式式：全局局配置模模式。Anti-Arpscan——配置命命令（6）anti-arpscanrecoveryenable命令：anti-arpscanrecoveryenablenoanti-arpscanrecoveryenable功能：啟啟動自動動恢復(fù)功功能，no命令取消消自動恢恢復(fù)功能能。參數(shù)：無無。缺省情況況：啟動動自動恢恢復(fù)功能能。命令模式式：全局局配置模模式。Anti-Arpscan——配置命命令（7）anti-arpscanrecoverytime<seconds>命令：anti-arpscanrecoverytime<seconds>noanti-arpscanrecoverytime功能：配配置自動動恢復(fù)時時間；no命令恢復(fù)復(fù)自動恢恢復(fù)時間間為默認(rèn)認(rèn)值。參數(shù)：自自動恢復(fù)復(fù)時間值值，單位位為秒。。有效范范圍為5-86400秒。。缺省情況況：300秒秒。命令模式式：全局局配置模模式。課程內(nèi)內(nèi)容第一章章ARP協(xié)議原原理及及其攻攻擊手手段第二章章DCN防御手手段及及原理理第三章章DCN防御協(xié)協(xié)議配配置第四章章典典型型配置置案例例典型案案例--拓拓?fù)鋱D圖192.168.1.128/24E0/0/1DCS-3950-28CTDCRS-7608IPv4192.168.1.1/24E0/0/24DHCPSRV192.168.1.10/24案例要求：1.通過Anti-Arpscan防御ARP掃描;2.通過Arp-Guard防御網(wǎng)關(guān)欺騙;3.通過DHCPSnooping綁定ARP防御交換機(jī)表項欺騙;4.通過DHCPSnooping綁定user-control防御主機(jī)欺騙。典型案案例——Anti-Arpscan配置置DCS-3950-28CT(Config)#anti-arpscanenable//全局使使能Anti-arpscan功能DCS