网络安全培训课程PPT76页

《网络安全培训课程PPT76页》由会员分享，可在线阅读，更多相关《网络安全培训课程PPT76页（76页珍藏版）》请在装配图网上搜索。

1、LOGO重庆网安计算机技术服务中心网络安全培训课程网络安全培训课程目录认识信息安全等级保护1 了解网络基础及安全防护2学习网络故障排查-实例32信息安全等级保护简介 我国计算机信息系统安全保护等级划分细则于1999年9月13日经国家质量技术监督局审查通过并正式批准发布，根据细则将计算机信息系统安全保护能力划分为五个安全保护等级：第一级：用户自主保护级。用户自主保护级通过身份鉴别，自主访问控制机制，要求系统提供每一个用户具有对自身所创造的数据进行安全保护的能力。适用于普通内联网用户。第二级：系统审计保护级。在用户自主保护级的基础上，重点强调系统的审计功能，要求通过审计、资源隔离等安全机帛，使每一

2、个用户对自己的行为负责。适用于内联/国际互联网需要保密商务活动的用户。第三级：安全标记保护级。在系统审计保护的基础上，从安全功能的设置和安全强度的要求方面均有明显的提高。首先，增加了标记和强制访问控制功能。同时，对身份鉴别、审计、数据完整性等安全功能均有更进一步的要求。如要求使用完整性敏感性标记，确保信息在网络传输的完整性。一般党政机关、金融机构、大型商业工业用户。第四级：结构化保护级。在安全标记保护级的基础上，重点强调通过结构化设计方法使得所具有的安全功能具有更高的安全要求。适用于国家机关、中央金融机构、尖端科技和国防应用系统单位。第五级：访问控制保护级。访问验证保护级重点强调”访问“监控器

3、本身的可验证性，也是从安全功能的设计和实现方面提出更高要求。适用于国防关键应用以及国家特殊隔离信息系统使用单位。3信息安全等级保护4信息安全系统定级 定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续工作都失去了针对性。信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。5系统定级一般流程 信息系统安全包括业务信

4、息安全和系统服务安全。信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。6系统定级一般流程3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体

5、的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级1、确定定级对象7 信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法；是当今发达国家的通行做法，也是我国多年来信息安全工作经验的总结。信息安全等级保护工作的重要意义 开展信息安全等级保护工作：有利于同步建设；有利于指导和服务；有利于保障重点；有利于明确责任；有利于产业发展。8网络基础及安全防护 网络基础与网络基础与OSI模型模型1 TCP-IP编址编址23 交换原理和交换原理和VLAN9网络基础与OSI模型n计算机网络定义：通过通信线路和通信设备将不

6、同地理位置上的计算机系统互连起来的一个计算机系统的集合，通过运行特定的操作系统和通信协议来实现数据通信和资源共享。n计算机网络组成：通信线路、通信设备、计算机系统、操作系统、通信协议、通信子网、资源子网。n计算机网络类型：局域网、广域网。10计算机网络组成11计算机网络类型运行在有限的地理区域；允许网络设备同时访问高带宽的介质；通过局部管理控制网络的权限；提供全时的局部服务；连接物理上相邻的设备。通常指几公里以内的，可以通过某种介质互联的计算机、打印机或其它设备的集合。目前,大多数网络都使用某些形式的以太网。距离短、延迟小、数据速率高、传输可靠12计算机网络类型运行在广阔的地理区域；通过低速串

7、行链路进行访问；网络控制服从公共服务的规则；提供全时的或部分时间的连接；连接物理上分离的、遥远的、甚至全球的设备在大范围区域内提供数据通信服务，主要用于互连局域网。公用电话网：PSTN综合业务数字网：ISDN数字数据网：专线帧中继：Frame Relay异步传输模式：ATM13OSI七层参考模型nOSI模型：1984年由国际标准化组织ISO国际标准化组织提出。n目的：提供一个大家共同遵守的标准，解决不同网络之间的兼容性和互操作性问题。n分层标准：依据功能来划分。nOSI七层参考模型的优点：促进标准化工作,允许各个供应商进行开发.各层间相互独立,把网络操作分成低复杂性单元.灵活性好,某一层变化不

8、会影响到别层.各层间通过一个接口在相邻层上下通信.14OSI分层结构数据流层数据流层传输层传输层数据链路层数据链路层网络层网络层物理层物理层应用层应用层(高高)会话层会话层表示层表示层应用层应用层负责主机之间的数据传输负责主机之间的数据传输负责网络数据传输负责网络数据传输15OSI分层结构 规定通信设备的机械的、电气的、功能的和规程的特性。主要涉及比特的传输，网络接口卡和网络连接等.没有智能性，只能对bit 流进行简单的处理。如传输，放大，复制等。网线：bit 流的传输.中继器：信号的放大.集线器：信号的放大和复制.16OSI分层结构 在相邻节点之间建立链路，传送数据帧。工作在同一个网段。主要

9、涉及介质访问控制、连接控制、流量控制和差错控制等。定义物理地址，标识节点。将bit流组合成数据帧。交换机：能识别数据帧中的MAC地址信息，在同一网 段转发数据。有智能，进行定向转发。17OSI分层结构 是一座桥梁，将不同规范的网络互连起来。在不同网段路由数据包。定义IP地址，由32bit的二进制数组成，点分十进制表示。路由转发，通过路由表实现三层寻址.MAC地址（二层）物理地址 平面结构 身份IP地址（三层）逻辑地址 层次结构 位置18OSI分层结构 实现终端用户到终端用户之间的连接。可以实现流量控制、负载均衡。分段，使数据的大小适合在网络上传递。区分服务，端口号标识上层的通信进程。19OSI

10、分层结构 在两个应用程序之间建立会话，管理会话，终止会话。一旦建立连接，会话层的任务就是管理会话。主要由操作系统来完成，把不同的应用程序设置内存区间，分配相应的内存，CPU资源，保持不同的应用程序的数据独立性。将数据转换成接收设备可以了解的格式.翻译数据格式，加密，压缩.20OSI分层结构 为具体的应用程序提供服务，实现各种网络应用（WWW FTP QQ SMTP POP3）。我们说某个应用程序的界面是否友好，就是应用层完成的。应用层为用户和计算机会话提供一个界面。计算机有他的语言，人有人的语言，人要和计算机交流，必须有一个窗口来把信息传递出来。21数据的封装与解封装 数据要通过网络进行传输，

11、要从高层逐层的向下传送，如果一个主机要传送数据到别的主机，先把数据装到一个特殊协议报头中，这个过程叫封装。上述的逆向过程。22封装过程上层数据上层数据LLC 头头+IP+TCP+上层数据上层数据IP+TCP+上层数据上层数据TCP+上层数据上层数据上层数据上层数据0101110101001000010传输层传输层 数据链路层数据链路层物理层物理层 网络层网络层 表示层表示层应用层应用层会话层会话层FCSFCSTCP 头头LLC 头头IP 头头MAC 头头23解封装过程上层数据上层数据LLC 头头+IP+TCP+上层数据上层数据IP+TCP+上层数据上层数据TCP+上层数据上层数据上层数据上层数

12、据0101110101001000010传输层传输层 数据链路层数据链路层物理层物理层 网络层网络层 表示层表示层应用层应用层会话层会话层TCP 头头IP 头头LLC 头头MAC 头头24数据传输过程通通 信信 介介 质质应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据连路层数据连路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据连路层数据连路层物理层物理层网络层数据连路层物理层通通 信信 介介 质质协议端系统端系统A A端系统端系统B B25冲突域和广播域冲突域：一个支持共享介质的网段。广播域：广播帧传输的网络范围，一般是路由器来设定边界（因为r

13、outer不转发广播）。冲突：在以太网中，当两个节点同时传输数据时，从两个设备发出的帧将会碰撞，在物理介质上相遇，彼此数据都会被破坏。26OSI模型的缺陷及意义 提供了网络间互连的参考模型。成为实际网络建模、设计的重要参考工具和理论依据。为我们提供了进行网络设计与分析的方法。许多功能在多个层次重复，有冗余感（如流2.3.4层都有，差错控制等，数据链路层有流控）。各层功能分配不均匀（链路、网络层任务重，会话层任务轻）。功能和服务定义复杂，很难产品化。27TCP/IP与OSITCP/IP与OSI的比较:nTCP/IP 分四层，OSI分的是七层。nTCP/IP网络实践上的标准，OSI网络理论的标准。

14、nTCP/IP定义每一层功能如何实现,OSI定义每一层做什么。nTCO/IP的每一层都可以映射到OSI模型中去。28TCP/IP与OSI应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层传输层传输层网络层网络层网络接口层网络接口层29TCP/IP应用层应用层应用层传输层传输层网络层网络层文件传输文件传输-TFTP*-FTP*E-Mail-SMTP远程登陆远程登陆-Telnet*-SSH*网络管理网络管理-SNMP*名称管理名称管理-DNS*网络接口层网络接口层30TCP/IP传输层传输控制协议传输控制协议(TCP)面向连接面向连接用户数据报

15、协议用户数据报协议(UDP)非面向连接非面向连接应用层应用层传输层传输层网络层网络层网络接口层网络接口层31端口号TCP端口号端口号FTPTELNETDNSSNMPTFTPSMTPUDP应用层应用层2123255369161RIP520传输层传输层32端口号作用源端口源端口目标端口目标端口Host A102823SPDPHost ZTelnet Z目标端口目标端口=23.端口号标识上层通信进程。小于1024 为周知端口、1024-5000为临时端口、大于5000为其他服务预留。33TCP 确认机制发送方发送方 发送发送 1接收接收 1发送发送 ACK 2发送发送 2接收接收 2发送发送 ACK

16、 3发送发送 3接收接收 3接收接收 ACK 4滑动窗口=1接收方接收方34TCP 三次握手发送发送 SYN(seq=100 ctl=SYN)接收接收 SYN发送发送 SYN,ACK(seq=300 ack=101 ctl=syn,ack)建立会话建立会话(seq=101 ack=301 ctl=ack)Host AHost B123接收接收 SYNTCP连接建立35IP地址组成 IP地址为32Bit二进制数组成，用点分十进制表示。（例如：192.168.1.1/24）IP地址=网络位+主机位 用来标识一个IP地址哪些是网络位,哪些是主机位。用1 标识网络为，用0标识主机位。36IP地址分类A

17、类（1-126）前8位表示网络位，后24位表示主机位。B类（128-191）前16位表示网络位，后16位表示主机位。C类（192-223）前24位表示网络位，后8位表示主机位。D类（224-239）用于组播地址。E类（240-255）科研使用。37特殊IP地址本地回环本地回环(loopback)测试测试地址地址广播地址广播地址代表任何网络代表任何网络0.0.0.0127.0.0.1255.255.255.255主机位全为1:代表该网段的所有主机。38私有IP地址C类256个：192.168.0.0/24-192.168.255.0/24A类1个：10.0.0.0/8B类16个：172.16.0

18、.0/16-172.31.0.0/1639子网划分的核心思想n“借用”主机位来“制造”新的“网络”16网络网络主机主机172.16.2.160 255.255.255.017220101011001111111110101100000100001111111100010000111111110000001010100000000000000000000000000010子网（借位）子网（借位）网络号网络号12819222424024825225425540划分子网方法n所选择的子网掩码将会产生多少个子网?:n2的x 次方(x代表借掩码位数)。n每个子网能有多少主机?:n2的y 次方-2(y代表

19、当前主机位数)。n每个子网的广播地址是?:n广播地址=下个子网号-1n每个子网的有效主机分别是?:n忽略全为0和全为1的地址，剩下的就是有效主机地址。41子网划分优点n子网划分可以解决IP地址紧缺的问题。n子网划分可以解决广播问题，分割广播域。n例如：一个C类网络，有254台主机可以用。当我们分给一个公司，但是该公司没有这么多主机，地址就有很大的浪费。通过子网划分可以节省IP地址。42交换机概述 是全双工，可发可收。能识别数据帧中的MAC信息，根据地址信息把数据交换到特定的接口。交换机是根据数据帧中的封装的目的MAC地址来做出转发数据的决定。是目的MAC和交换机接口的映射，交换机根据MAC表把

20、数据发送到相应的接口。43交换机的三个功能地址学习帧的转发/过滤环路防止44交换机地址学习n最初开机时MAC地址表是空的nMac地址表条目默认老化时间是300秒，以下命令可改变老化时间:sw(config)#mac-address-table aging-time?Aging time valueMAC地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD45交换机地址学习n主机A发送数据帧给主机Cn交换机通过学习数据帧的源MAC地址，记录下主机A的MAC地址对应端口E0 n该数据帧转发到除端口E0以

21、外的其它所有端口(不清楚目标主机的单点传送用泛洪方式)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E0E1E2E3DCBAMAC地址表地址表46帧的转发n主机C发送数据给B：交换机发现目的B的MAC对应E1接口，就把数据从这里发送出去。n主机D发送广播帧或多点帧：广播帧或多点帧泛洪到除源端口外的所有端口。0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABE0:0260.8c01.1111E2:0260.8c0

22、1.2222E1:0260.8c01.3333E3:0260.8c01.4444MAC地址表地址表47防止环路n运行STP协议防止环路。n某些端口置于阻塞状态就能防止冗余结构的网络拓扑中产生回路。阻塞阻塞x48交换机配置n配置命名：Switch(config)#hostname Sw1n配置管理IP：Sw1(config)#int vlan 1 Sw1(config-if)#ip add 172.16.1.210 255.255.255.0 Sw1(config-if)#no shutn配置网关：Sw1(config)#ip default-gateway 172.16.1.201n查看MAC

23、表。Sw1#sh mac-addn设置双工和速率。Sw1(config)#int f0/1 Sw1(config-if)#speed 10/100/auto Sw1(config-if)#duplex half/full/auto49VLAN概述第三层第三层第二层第二层第一层第一层销售部销售部人力资源部人力资源部工程部工程部一个VLAN=一个广播域=逻辑网段(子网)50VLAN的优点及分类 静态VLAN：基于交换机接口。动态VLAN：基于主机MAC地址，不常用,需要在交换中建立一张VMPS表，来标明哪些MAC属于哪个VLAN.效率低。隔离二层广播，优化网性能。VLAN可以跨越交换机，简化布线，

24、方便管理。每个VLAN是一个独立的子网，VLNA间的通信要通过三层设备实现，可以通过访问控制列表对VLNA间的通信进行安全控制。优点分类51VLAN运行n每个逻辑的VLAN就象一个独立的物理桥n交换机上的每一个端口都可以分配给不同的VLANn默认的情况下，所有的端口都属于VLAN1（Cisco）交换机交换机 A绿色绿色VLAN黑色黑色VLAN 红色红色VLAN52VLAN运作n同一个VLAN可以跨越多个交换机交换机交换机A交换机交换机B绿色绿色VLAN黑色黑色VLAN 红色红色VLAN绿色绿色VLAN黑色黑色VLAN 红色红色VLAN53VLAN运作n主干功能支持多个VLAN的数据n主干使用了

25、特殊的封装格式支持不同的VLANn只有快速以太网端口可以配置为主干端口 干道连接干道连接 快速以太网快速以太网绿色绿色VLAN黑色黑色VLAN 红色红色VLAN绿色绿色VLAN黑色黑色VLAN 红色红色VLAN54VLAN的配置全局模式Switch#configure terminal Switch(config)#vlan 3 Switch(config-vlan)#name Vlan3Switch(config-vlan)#exit Switch(config)#endSwitch#vlan database Switch(vlan)#vlan 3 VLAN 3 added:Name:VL

26、AN0003Switch(vlan)#exit APPLY completed.Exiting.数据库模式55VLAN的接入端口n接入交换机端口在一个单一的数据的VLAN56VLAN执行的命令n配置VLAN-vlan 101-switchport mode access-switchport access vlan 101n验证VLAN-show interfaces-show vlan57配置VLAN的接入Switch(config)#vlan vlan_id配置一个VLAN.Switch(config-vlan)#name vlan_name给VLAN命名.Switch(config-if

27、)#switchport mode access 配置交换机的端口为接入模式.Switch(config-if)#switchport access vlan vlan_id把接入端口划分到vlan中.58查看VLANSwitch#show vlanVLAN Name Status Ports-1 default active Fa0/1,Fa0/2,Fa0/3,Fa0/4 Fa0/5,Fa0/7,Fa0/911 asw11_data active12 asw12_data active95 VLAN0095 active Fa0/899 Trunk_Native active100 Inte

28、rnal_Access active111 voice-for-group-11 active112 voice-for-group-12 active1002 fddi-default act/unsup1003 token-ring-default act/unsup1004 fddinet-default act/unsup1005 trnet-default act/unsupVLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1-1 enet 100001 1500 -0 enet 100011 1500 -0 .5

29、9网络故障排查ARP及ARP防护 arp原理原理1 arp攻击方式攻击方式23 arp防护防护60ARP协议原理 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面有目标主机的MAC地址；在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议的基本功能就是主机在发送报文前将目标主机的IP地址解析成目标主机的MAC地址，以保证通信的顺利进行。61ARP协议原理以太网目的地址以太网源地址帧类型硬件地址协议类型硬

30、件地址长度协议地址长度OP发送端以太网地址目的以太网地址发送端IP地址目的IP地址662222116644以太网首部28字节ARP请求/应答nArp request和reply的数据帧长都是42字节（28字节的arp数据、14字节的以太帧头）62ARP协议原理以太网目的地址以太网目的地址以太网源地址以太网源地址硬件类型协议类型硬件地址长度协议地址长度操作发送者以太网地址(0-3)发送者以太网地址(4-5)发送者协议地址(0-1)发送者协议地址(2-3)目的以太网地址(0-1)目的以太网地址(2-5)目的协议地址(0-3)63ARP协议原理internetinternetinternetinte

31、rnetARP RequestPCgatewayARP Replay 正常的ARP通讯过程只需ARP Request和ARP Replay两个过程，简单的说就是一问一答：64ARP协议原理PC网关回应给主机的ARP Reply报文 主机收到网关的ARP Reply报文后，同样会提取报文中的“Senders hardware address”和“Senders protocol address”生成自己的ARP表项；65ARP攻击方式nArp flood arp 泛洪，只要是瞬间发送大量的arp数据包给switch，填满switch的mac table，导致无法switch工作异常，提示：这时s

32、witch就会象hub一样工作66ARP攻击方式ngratuitous arp 免费arp，原理：1.gratuitous arp也是arp request的一种，所以是 broadcast,就是群发，就是搞的地球人都知道 2.gratuitous arp的arp报文中，源ip和目的ip是 一样的，就是为了再次确认网络中身份。ms的ip地址冲突监测机制就是通过 免费arp实现的 67ARP攻击方式n免费arp的精髓 前文说到构建arp spoof的简易方式。这里我有一个疑问，如果攻击者不让其中的1个用户访问任何地址，是否需要发送整个网段的错误的mac地址给 受害主机？答案是 NO 如果这样劳命

33、伤财，不是好办法！只要代表受害主机发送错误的gratuitous arp。1个arp报文足以！当然arp table有老化时间，不过谎话不停的说，说了多次，就变成“真”di了 这样网络中的其他主机都收到错误的mac地址的arp报文进行更新自身的arp cache。于是灾难就这样发生了！68ARP攻击方式免费arp的工作原理普通交换机普通交换机极品良民极品良民恐怖份子恐怖份子GratuitousArpSend mac add=错误的错误的mac地址地址Send ip add=受害主机受害主机ipTarget ip add受害主机受害主机ip这是广播报文哦这是广播报文哦为什么整个为什么整个网段都网

34、段都ping不通？！不通？！发送发送源源ip和目的和目的ip均为均为受害主机的受害主机的ip地址地址的免费的免费arp报文报文我好毒、我好毒、我好毒我好毒原来 良民的地址是4444.4444.4444我真实的mac是1111.1111.111169ARP攻击方式nArp proxy arp 代理：arp proxy是arp的攻击之首，这也是传说的“中间人”攻击！原理:双向arp spoof70ARP攻击方式Proxy arp的工作原理普通交换机普通交换机极品良民极品良民恐怖份子恐怖份子Arp reply to GWSend mac add恐怖份子恐怖份子macSend ip add=极品良民极

35、品良民ipTarget mac add GW mac地址地址Target ip addGW ip地址地址我要和网关通我要和网关通讯，没钱了，讯，没钱了，我要查我的银我要查我的银行账户行账户S8610GatewayIC、IP、IQ卡，卡，统统告诉我密码统统告诉我密码恐怖份子的潜台词：恐怖份子的潜台词：Hello，良民，我是网关！Hello，网关，我是良民！Arp reply to 良民良民Send mac add恐怖份子恐怖份子macSend ip add=网关网关ipTarget mac add 良民良民mac地址地址Target ip add良民良民 ip地址地址71ARP攻击方式Proxy

36、 arp的工作原理普通交换机普通交换机极品良民极品良民恐怖份子恐怖份子我要和网关通我要和网关通讯，没钱了，讯，没钱了，我要查我的银我要查我的银行账户行账户S8610GatewayIC、IP、IQ卡，卡，统统告诉我密码统统告诉我密码恐怖份子的潜台词：恐怖份子的潜台词：Hello，良民，我是网关！Hello，网关，我是良民！原来网关的原来网关的mac地址是地址是3333.3333.3333我真实的mac是2222.2222.2222嘿嘿，俺的真实mac是3333.3333.3333原来良民的原来良民的mac地址是地址是3333.3333.333372ARP攻击方式Proxy arp的工作原理普通交

37、换机普通交换机极品良民极品良民恐怖份子恐怖份子S8610GatewayIC、IP、IQ卡，卡，统统告诉我密码统统告诉我密码恐怖份子的潜台词：恐怖份子的潜台词：Hello，良民，我是网关！Hello，网关，我是良民！我真实的mac是2222.2222.2222嘿嘿，俺的真实mac是3333.3333.3333Arp table良民ip 恐怖份子恐怖份子macArp table网关ip 恐怖份子恐怖份子mac后期良民和网关的通讯后期良民和网关的通讯路线图；路线图；所有通讯报文都要经过恐怖份子所有通讯报文都要经过恐怖份子73ARP防护电脑绑定电脑绑定arparp-s 157.55.85.212 00

38、-aa-00-62-c6-09备注:arp a arp decho off arp-d aarp s网关LAN IP网关LAN MAC AntiARP防火墙、瑞星个人防火墙防火墙、瑞星个人防火墙2008、360ARP防火墙等防火墙等 原理:拦截ARP的攻击或者是IP冲突，保障系统不会受ARP攻击的影响 NBR的免费的免费arp NBR的8.41b5后推出免费arp的功能！当前最新正式发布版本是8.5b9!目的是通过不断的gratuitous arp的broadcast宣告自己的正确mac。现在是每秒1个gratuitous arp报文。Ip和和mac的绑定的绑定 该功能只是该ip只响应绑定的m

39、ac，如果更换ip，就有可以正常上网，并不是该mac一定只能使用该ip才能上网，这个是一定要区分清楚的！除非绑定一个子网74ARP防护nDHCP Snooping 监控方式也即DHCP Snooping方式，适合大部分主机为动态分配IP地址的网络场景。实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。另外，ARP泛洪攻击会产生大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度急剧降低。因此可以在接入交换机部署ARP报文限速，对每个端口单位时间内接收到的ARP报文数量进行限制，避免ARP泛洪攻击，保护网络资源。75重庆网安计算机技术服务中心（023-67031431）76