Конфигурация dai, Обзор dai – Инструкция по эксплуатации ZTE ZXR10 3900E series

Руководство пользователя ZXR10 3900E

140

Собственность корпорации ZTE. Конфиденциально.

статистики на
определенном
порту.

3

ZXR10#

clear protocol-protect

{

packets-count | buckets-count} <

interfacename>

Сброс счетчика
статистики
протокола на
определенном
порту.

Конфигурация DAI

Обзор DAI

Атака на основе ARP обычно происходит в сети. Модуль
DHCP SNOOPING на коммутаторе выполняет функцию DAI
(динамическая проверка ARP), но эта функция ограничена.

В настоящее время функция DAI только проверяет таблицу
привязки в DHCP SNOOPING для пакета изучения ARP
коммутатора, т.е. проверяется только пользователь уровня 3.

Если пользователи коммутатора находятся в одной VLAN, то
связь между пользователи требует коммутатора для
переадресации не только на уровне 3, но и на уровне 2.
Коммутатору не нужно изучать пакеты ARP данных
пользователей. Следовательно, нет соответствующей
проверки безопасности. Это серьезная ошибка безопасности,
что является причиной атак человека посередине, как
показано на

Рис. 17-4.

Р

И С

.

1 7 -4

А

Т А К А Ч Е Л О В Е К А П О С Е Р Е Д И Н Е

A/B/C находятся в одном широковещательном домене, т.е.
одном сетевом сегменте. Если А и В связываются друг с
другом, то сначала отправляется пакет ARP, который может
изучаться С. Если С действует как человек посередине для
выполнения

злонамеренного

сканирования,

только