【正文】 再次向所有幫助我的人表示衷心的感謝！。感謝***********學(xué)院給我創(chuàng)造了良好愉快的學(xué)習(xí)環(huán)境。同樣，我深深感謝和我一起度過(guò)四年的全體*******學(xué)院的同學(xué)。我還要對(duì)*********老師致以深深的謝意。參考文獻(xiàn)〔1〕〔2〕〔3〕〔4〕〔5〕〔J〕2022年〔6〕〔J 〕技術(shù)文檔，2022年致謝能完成本論文，不是一個(gè)人的成果，有許許多多的人在無(wú)私的幫助我，借此機(jī)會(huì)向他們表示我的感謝。在接入交換機(jī)的直接連接客戶端的端口上配置 ARP 報(bào)文限速功能，同時(shí)全局開啟因 ARP 報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能。在接入交換機(jī)上為靜態(tài) IP 地址分配模式的主機(jī)或者服務(wù)器配置對(duì)應(yīng)的 IP靜態(tài)綁定表項(xiàng)。如果一致，則該 ARP 報(bào)文通過(guò)一致性檢查，交換機(jī)進(jìn)行正常的表項(xiàng)學(xué)習(xí)；如果不一致，則認(rèn)為該 ARP 報(bào)文是偽造報(bào)文，交換機(jī)不學(xué)習(xí)動(dòng)態(tài) ARP 表項(xiàng)的學(xué)習(xí)，也不根據(jù)該報(bào)文刷新 ARP 表項(xiàng)。為了防御這一類 ARP 攻擊，增強(qiáng)網(wǎng)絡(luò)健壯性，H3C 以太網(wǎng)交換機(jī)作為網(wǎng)關(guān)設(shè)備時(shí)，支持配置 ARP 報(bào)文源 MAC 一致性檢查功能。綁定后，該端口接收的源 IP 地址為指定的網(wǎng)關(guān) IP 地址，源 MAC 地址為非指定的網(wǎng)關(guān) MAC 地址的 ARP 報(bào)文將被丟棄，其他 ARP 報(bào)文允許通過(guò)。G a t e w a y S w i t c h攻 擊 者H o s t A網(wǎng) 關(guān) 的 M A C 更 新 了圖 12 網(wǎng)管仿冒攻擊示意圖為了防御“仿冒網(wǎng)關(guān) ”的 ARP 攻擊，H3C 以太網(wǎng)交換機(jī)支持基于網(wǎng)關(guān)IP/MAC 的 ARP 報(bào)文過(guò)濾功能:為了防御“仿冒網(wǎng)關(guān) ”的 ARP 攻擊，H3C 以太網(wǎng)交換機(jī)支持基于網(wǎng)關(guān)IP/MAC 的 ARP 報(bào)文過(guò)濾功能。即：攻擊者偽造 ARP 報(bào)文，發(fā)送源 IP 地址為網(wǎng)關(guān) IP 地址，源 MAC 地址為偽造的 MAC 地址的 ARP 報(bào)文給被攻擊的主機(jī)，使這些主機(jī)更新自身 ARP表中網(wǎng)關(guān) IP 地址與 MAC 地址的對(duì)應(yīng)關(guān)系。這樣可以減少網(wǎng)絡(luò)上過(guò)多的 ARP數(shù)據(jù)通信，但也為“ARP 欺騙”創(chuàng)造了條件。同時(shí)，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能，對(duì)于配置了 ARP 限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過(guò)一段時(shí)間可以自動(dòng)恢復(fù)為開啟狀態(tài)。開啟某個(gè)端口的 ARP 報(bào)文限速功能后，交換機(jī)對(duì)每秒內(nèi)該端口接收的ARP 報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果每秒收到的 ARP 報(bào)文數(shù)量超過(guò)設(shè)定值，則認(rèn)為該端口處于超速狀態(tài)（即受到 ARP 報(bào)文攻擊） 。為了解決這一問(wèn)題，交換機(jī)支持配置 DHCP Snooping 信任端口，對(duì)于來(lái)自信任端口的所有 DHCP 報(bào)文不進(jìn)行檢測(cè)，而其他非信任端口則只允許 DHCP Discover 和 Request 報(bào)文進(jìn)入。對(duì)于來(lái)自信任端口的所有 ARP 報(bào)文不進(jìn)行檢測(cè)，對(duì)其它端口的 ARP 報(bào)文通過(guò)查看 DHCP Snooping 表或手工配置的 IP 靜態(tài)綁定表進(jìn)行檢測(cè).。 信任端口設(shè)置在實(shí)際組網(wǎng)中，交換機(jī)的上行口會(huì)接收其他設(shè)備的請(qǐng)求和應(yīng)答的 ARP 報(bào)文，這些 ARP 報(bào)文的源 IP 地址和源 MAC 地址并沒有在 DHCP Snooping 表項(xiàng)或者靜態(tài)綁定表中。接入交換機(jī)可以依據(jù)配置的靜態(tài)表項(xiàng)實(shí)現(xiàn)對(duì)合法 ARP 報(bào)文的確認(rèn)，和非法 ARP報(bào)文的過(guò)濾。即：用戶的 IP 地址、MAC 地址及連接該用戶的端口之間的綁定關(guān)系。為了解決這個(gè)問(wèn)題，H3C 的交換機(jī)也支持手工配置合法用戶的 IPMAC 對(duì)應(yīng)關(guān)系，形成靜態(tài)合法用戶的 IPMAC表項(xiàng)。 IP 地址分配環(huán)境的工作機(jī)制DHCP Snooping 方式下，DHCP Snooping 表只記錄了通過(guò) DHCP 方式動(dòng)態(tài)獲取 IP 地址的客戶端信息。若記錄的表項(xiàng)租約時(shí)間小于系統(tǒng)當(dāng)前時(shí)間與表項(xiàng)添加時(shí)間的差值，則說(shuō)明該表項(xiàng)已經(jīng)過(guò)期，將刪除該條表項(xiàng)，從而實(shí)現(xiàn) DHCP Snooping 動(dòng)態(tài)表項(xiàng)的老化。目前，H3C 接入交換機(jī)的 DHCP Snooping表項(xiàng)主要記錄的信息包括：分配給客戶端的 IP 地址、客戶端的 MAC 地址、VLAN 信息、端口信息、租約信息，如 0 所示:圖 11 DHCP Snooping 表項(xiàng)示意圖為了對(duì)已經(jīng)無(wú)用的 DHCP Snooping 動(dòng)態(tài)表項(xiàng)進(jìn)行定期進(jìn)行老化刪除，以節(jié)省系統(tǒng)的資源，和減少安全隱患，H3C 接入交換機(jī)支持根據(jù)客戶端 IP 地址的租約對(duì) DHCP Snooping 表項(xiàng)進(jìn)行老化。并依據(jù)該表項(xiàng)實(shí)現(xiàn)對(duì)合法 ARP 報(bào)文的確認(rèn)和非法 ARP 報(bào)文的過(guò)濾。如下圖：1 0 . 1 0 . 1 . 3M A C C1 0 . 1 0 . 1 . 2M A C B1 0 . 1 0 . 1 . 1M A C A偽造的 A R P 應(yīng)答 ：1 0 . 1 0 . 1 . 3 是 M A C B偽造的 A R P 應(yīng)答 ：1 0 . 1 0 . 1 . 1 是 M A C B與 D H C P S n o o p i n g 表 項(xiàng) 不 匹配 ， 無(wú) 法 通 過(guò) A R P 入 侵 檢 測(cè)圖 10 ARP 入侵檢測(cè)功能示意圖1. 動(dòng)態(tài) IP 地址分配環(huán)境的工作機(jī)制當(dāng)用戶為動(dòng)態(tài) IP 地址分配環(huán)境時(shí)。并且在收到用戶發(fā)送到 ARP 報(bào)文時(shí)，可以檢查報(bào)文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與所獲取的合法用戶 IPMAC 對(duì)應(yīng)關(guān)系表項(xiàng)是否匹配來(lái)判斷該報(bào)文是否為合法ARP 報(bào)文。業(yè)務(wù)流程如下圖:圖 9 DHCP SNOOPING 模式示意圖 相關(guān)技術(shù) ARP入侵檢測(cè)機(jī)制為了防止 ARP