Конфигурация dai, Обзор dai – Инструкция по эксплуатации ZTE ZXR10 3900E series
Страница 232
Руководство пользователя ZXR10 3900E
140
Собственность корпорации ZTE. Конфиденциально.
статистики на
определенном
порту.
3
ZXR10#
clear protocol-protect
{
packets-count | buckets-count} <
interfacename>
Сброс счетчика
статистики
протокола на
определенном
порту.
Конфигурация DAI
Обзор DAI
Атака на основе ARP обычно происходит в сети. Модуль
DHCP SNOOPING на коммутаторе выполняет функцию DAI
(динамическая проверка ARP), но эта функция ограничена.
В настоящее время функция DAI только проверяет таблицу
привязки в DHCP SNOOPING для пакета изучения ARP
коммутатора, т.е. проверяется только пользователь уровня 3.
Если пользователи коммутатора находятся в одной VLAN, то
связь между пользователи требует коммутатора для
переадресации не только на уровне 3, но и на уровне 2.
Коммутатору не нужно изучать пакеты ARP данных
пользователей. Следовательно, нет соответствующей
проверки безопасности. Это серьезная ошибка безопасности,
что является причиной атак человека посередине, как
показано на
Рис. 17-4.
Р
И С
.
1 7 -4
А
Т А К А Ч Е Л О В Е К А П О С Е Р Е Д И Н Е
A/B/C находятся в одном широковещательном домене, т.е.
одном сетевом сегменте. Если А и В связываются друг с
другом, то сначала отправляется пакет ARP, который может
изучаться С. Если С действует как человек посередине для
выполнения
злонамеренного
сканирования,
только