Cisco自然環境處理ARP蒙騙難題

因為經常在網上看到幫助ARP防病毒的方法，事實上，ARP欺騙的原理很簡單，利用ARP協議的一個“缺陷”，免費ARP欺騙主機上面的網關ARP條目。

事實上，免費ARP設計有兩個目的:

1.IP地址沖突檢測

2.ARP條目會自動更新以更新網關。

ARP欺騙就是在這里使用第二個。攻擊主機發送ARP更新。條目的ip地址是網關，但媒體訪問控制地址不是網關。其他主機收到后，會根據ARP協議的規則達到欺騙的目的，原理越新越可靠。

雖然ARP不是tcp/ip協議集群的成員，但是考慮到以太網的普及(除了某些情況)，放棄動態ARP協議并使用手動方法進行ARP映射似乎是不現實的。

首先，深入的ARP協議特性

我想介紹一些在思科網絡環境中解決這個問題的想法:

事實上，使用了兩種技術:DHCP偵聽和ARP檢查。

DHCP窺探技術是一種DHCP安全功能。它通過建立和維護一個DHCP偵聽綁定表來過濾不受信任的DHCP信息，該綁定表引用來自不受信任區域的DHCP信息。DHCP偵聽綁定表包含不受信任區域中用戶的媒體訪問控制地址、IP地址、租用期限、VLAN標識接口和其他信息。