Атака путем подделки записей кэша arp что это
Хакеры врут. Хорошие хакеры врут еще лучше. И все хакеры во всем мире вдохновенно врут как людям, так и машинам. Ложь в рабочем коллективе, которая также называется «социальным инжинирингом», заключается в том, что хакер втирается в доверие к сотруднику компании (примерно так поступил в свое время легендарный Кевин Митник), незаметно выуживая из него все корпоративные секреты.
Когда человек врет машине, он использует различные способы. Об одином из них – подмене ARP-кэша поговорим в данной статье.
Подмена ARP позволяет хакерам причинять ущерб сетевым системам. И так как подобный тип атак фактически неустраним, системным администраторам следует знать о том, что же это такое и к чему может привести.
ARP изнутри
1. ARP-запрос. Компьютер A спрашивает сеть: «У кого есть этот IP-адрес?»
2. ARP-ответ. Компьютер Б говорит компьютеру A :«У меня есть! Мой MAC-адрес такой-то».
3. Обратный ARP-запрос (RARP). Очень похож на простой запрос, только компьютер A спрашивает: «У кого есть этот MAC-адрес?».
4. RARP-ответ. Компьютер Б говорит компьютеру A: «У меня есть такой MAC-адрес! Мой IP-адрес такой-то!».
Все сетевые устройства имеют так называемую ARP-таблицу, хранящую все пары IP- и MAC-адресов устройств. ARP-таблица указывает, для каких машин не нужно повторять ARP-запросы.Пример нормального обмена ARP-пакетами.
Джессика, секретарь, дала в Microsoft Word команду распечатать список контактов сотрудников компании. Это ее первая распечатка за сегодняшний день. Ее компьютер (с IP-адресом 192.168.0.16) посылает задачу в принтер HP LaserJet (имеющий IP-адрес 192.168.0.45). Таким образом, компьютер Джессики выдает следующий ARP-запрос в локальную сеть: «Кто владеет IP-адресом 192.168.0.45?» Все устройства в сети игнорируют этот ARP-запрос, кроме принтера HP LaserJet. Он видит, что кто-то интересуется его IP и посылает ответ: «Это мой IP-адрес 192.168.0.45. А мой MAC-адрес вот такой: 00:90:7F:12:DE:7F» Теперь компьютер Джессики знает MAC-адрес принтера. Он отошлет запрос на печать этому устройству и ассоциирует этот MAC-адрес с IP-адресом этого же принтера (192.168.0.45) в ARP-таблице.
ARP, как же ты доверчив…
Создатели сетевых протоколов предельно упростили процесс коммуникации для ARP. Вероятно, для того, чтобы оно эффективно функционировало. К сожалению, такая простота оборачивается плохой защитой. В процесс коммуникации с ARP отсутствует система аутентификации пользователей.
ARP очень доверчив, даже чересчур. Когда устройство в сети шлет ARP-запрос, оно слепо верит тому устройству, которое пришлет ответ и никак не проверяет, чем ответившее устройство является на самом деле. Вообще, большинство операционных систем обращаются с ARP столь халатно, что даже устройства, которые никогда не посылали ARP-запрос, могут принимать ARP-ответ от любого другого оборудования в локальной сетиТеперь представим себя на месте злоумышленника. Вы только что узнали о том, что ARP-протокол никак не проверяет ARP-ответы. Вы узнали, что много устройств принимает ARP-ответы, даже если не запрашивали их. А это значитчто я могу внедрить вредоносное устройство, которое сгенерирует ARP-ответ, содержащий какие-нибудь произвольные IP- и MAC-адреса или просто транслирую мои ARP-ответы в сеть, где находится компьютер жертвы, и обведу вокруг пальца все компьютеры! Вернемся в реальный мир. Теперь вы примерно понимаете, почему эта атака называется «подмена ARP-кэша» (или просто «подмена ARP). Злоумышленник обманывает девайсы в вашей сети, повреждает или «отравляет» их «знания» о других устройствах. Эта донельзя простая процедура позволяет хакеру доставить множество неприятностей, описанных далее. Способность ассоциировать любой IP-адрес с любым MAC-адресом позволяет хакерам осуществлять управление сетевым доступом, проводить множество разнообразных атак, включая отказ в обслуживании (DoS-атака) «man-in-the-middle» и MAC-флуд.
Отказ в обслуживании
Хакер может легко ассоциировать рабочий IP-адрес с фальшивым MAC-адресом. Например, он посылает ARP-ответ, который связывает IP вашего роутера с несуществующим MAC-адресом. Ваши компьютеры уверены в том, что они знают шлюз по умолчанию, но в реальности они шлют пакеты неизвестно куда и неизвестно кому. Одним легким движением злоумышленник отрезал вас от Интернета.
Man in the Middle
Хакер использует подмена ARP-кэша для перехвата сетевого трафика между двумя устройствами в вашей сети. Например, хакер хочет увидеть трафик между вашим компьютером (192.168.0.12) и вашим интернет-роутером (192.168.0.1). Он начинает отсылать пакеты ARP-ответа (которые никто не запрашивал) на ваш роутер, подставив в качестве IP-адреса своего компьютера адрес вашего – 192.168.0.12.Теперь роутер думает, что компьютер хакера – это ваш компьютер. Далее, хакер шлет зараженный ARP-ответ на ваш компьютер, подставив исходный IP-адрес 192.168.0.1 Ваш компьютер теперь думает, что компьютер хакера – это роутер. Наконец, хакер задействует функцию операционной системы под названием переадресация IP. Эта функция разрешает компьютеру хакера «пропускать» через себя любой сетевой трафик, который ваш компьютер отсылает роутеру. (см. рис. 5). Это значит, что ваш трафик станет полностью прозрачным для него, и вы можете лишиться важнейшей информации
MAC-флуд
Да, это все достаточно пугающе. Подмена ARP-кэша – по сути примитивный эксплойт, который, тем не менее, очень эффективен. Успокаивает то, что ARP-уязвимостью можно воспользоваться при наличии физического доступа к вашей сети или полного контроля над машиной в локальной сети для отравления ARP-кэша. Эта атака не может быть произведена удаленно. Хорошие администраторы должны предохранять сеть от отравления ARP. Так как это происходит из-за уязвимостей в самом протоколе TCP/IP, вы не сможете устранить опасность полностью. Но минимизировать риски, последовав нижеследующим советам, вам вполне по силам.
Для малых сетей
Если вы управляете небольшой сетью, то можете попробовать использовать статические IP-адреса и статические же ARP-таблицы. Используя команды «ipconfig /all» в Windows или «ifconfig» в 'NIX, вы можете изучить IP- и MAC-адреса каждого устройства вашей сети. Используя команду «arp -s», вы можете добавить статические ARP-данные для всех известных устройств. Вы можете также просто создать скрипт, добавляющие строки со статическими данными каждый раз при загрузке вашего компьютера. Однако статическими ARP-адресами сложно манипулировать в больших сетяхПричина в том, что вы должны менять скрипт с ARP-таблицей каждый раз, когда добавляете новое устройство в сеть (будь то компьютер или принтер), причем на каждом компьютере.
Для больших сетей
Если вы управляете большой сетью, исследуйте функцию Port Security (Безопасность портов) в вашем роутере. Эта функция позволяет ассоциировать только один MAC-адрес на один физический порт в вашей сети, что не дает хакеру возможность поменять или размножить MAC-адреса на своем компьютере. Это также может предотвратить ARP-атаки типа man-in-the-middle.
В качестве резюме
Наилучшая защита от ARP-отравлений – это понимание данного типа атак и наблюдение за сетью. Настоятельно рекомендуем вам использовать специальную утилиту для ARP-мониторинга, например, ARPwatch или любую другую И это будет наилучшей защитой.
–Автор статьи: Corey Nachreiner, сертифицированный профессионал систем информационной безопасности (CISSP)
В данной статье я расскажу как, используя пакет утилит arp-sk в операционной системе GNU/Linux реализовать атаку man-in-the-middle на протокол arp.
Для чего вообще нужна такая атака:
На хабре достаточно много статей например для взлома Wi-Fi. Но что делать после того, как ключ взломан? Тут можно увидеть один из вариантов действий.
Немного теории
Наша задача: получить траффик компьютера Victim с помощью компьютера Attacker.
Для этого мы будем использовать самопроизвольный arp-ответ. В протоколе arp предусмотрена возможность отправления устройством arp-запроса или ответа в случае, если такое не требуют другие устройства. Для чего это надо — например, если изменился mac-адрес маршрутизатора. В случае, если компьютер поддерживает самопроизвольный arp то он перезапишет легитимный адрес на адрес атакующего.
Проведение атаки
Установка необходимого ПО
-d --dst получатель в link layer (
-s --src источник в link layer (
-i --interface указать интерфейс (eth0)
Подмена адреса
Теперь отправляем устройствам следующие arp-пакеты: подставляем в качестве mac-адреса другого устройства свой.
Первый от имени 192.168.4.17 о том, что его mac-адрес теперь 00:13:CE:5C:11:34 отправляем на 192.168.4.1 (00:50:ba:46:5d:92)
Второй от имени 192.168.4.1 о том, что его mac-адрес теперь 00:13:CE:5C:11:34 отправляем на 192.168.4.17 (00:1c:bf:41:53:4b)
У нас будет следующий вывод:
+ Initialization of the packet structure
+ Running mode "reply"
+ Ifname: eth1
+ Source MAC: 00:13:ce:5c:11:34
+ Source ARP MAC: 00:13:ce:5c:11:34
+ Source ARP IP : 192.168.4.1
+ Target MAC: 00:1c:bf:41:53:4b
+ Target ARP MAC: 00:1c:bf:41:53:4b
+ Target ARP IP : 192.168.4.17
--- Start classical sending ---
TS: 21:30:44.338540
To: 00:1c:bf:41:53:4b From: 00:13:ce:5c:11:34 0x0806
ARP For 192.168.4.17 (00:1c:bf:41:53:4b):
192.168.4.1 is at 00:13:ce:5c:11:34
Посмотрим теперь на компьютере Victim arp-таблицу:
Собственно все. Теперь можно запустить свой любимый сниффер и получить необходимые пакеты. Например ping до яндекса
Данная информация приведена только для ознакомления. Автор напоминает вам о Статье 272 УК РФ «Неправомерный доступ к компьютерной информации»
Антивирус запищал ARP атака обнаружен идентичный IP адрес в журнале смотрю "Обнаружена атака путём подделки записей кеша ARP" протокол ARP.
Можете обьяснить попроще на скоко серьёзно и стоит ли опасаться или антивирус сам справится? в Вике прочитал не очень понял сути атаки.
Объясняю на пальцах. Вот ты сидишь в инете и начинается эта атака. Суть этой атаки в том, что данные, отправляемые из интернета к твоему компу перехватываются, для того чтобы узнать твой логин, пароль или просто подсмотреть передаваемые или принимаемые тобой данные или например, чтобы ты подключался к интернету не через своего провайдера, а через компьютер хакера, который сможет полностью отследить весь твой трафик и тебя шантажировать и/или узнать все пароли, передаваемые компьютером в интернет во время того, как ты "залогиниваешься" на сервере. При обнаружении данной атаки рекомендую разорвать соединение с интернетом или воспользоваться альтернативным каналом, а также проверить компьютер на "троянские" вирусные программы.
атака полностью бесполезна в сегментированных многоуровневых сетях по такому принципу строятся почти все сети современных провайдеров, уровень доступа, агрегации, ядро.. .
а вот если у вас домашняя локальная сеть, то кто-то может решил ваш трафик поснифать.. . тут есть в этом толк какой-то
ARP (англ. Address Resolution Protocol — протокол определения адреса) — протокол в компьютерных сетях, предназначенный для определения MAC-адреса по известному IP-адресу.
Рассмотрим суть функционирования ARP на простом примере. Компьютер А (IP-адрес 10.0.0.1) и компьютер Б (IP-адрес 10.22.22.2) соединены сетью Ethernet. Компьютер А желает переслать пакет данных на компьютер Б, IP-адрес компьютера Б ему известен. Однако сеть Ethernet, которой они соединены, не работает с IP-адресами. Поэтому компьютеру А для осуществления передачи через Ethernet требуется узнать адрес компьютера Б в сети Ethernet (MAC-адрес в терминах Ethernet). Для этой задачи и используется протокол ARP. По этому протоколу компьютер А отправляет широковещательный запрос, адресованный всем компьютерам в одном с ним широковещательном домене. Суть запроса: «компьютер с IP-адресом 10.22.22.2, сообщите свой MAC-адрес компьютеру с IP-адресом 10.0.0.1». Сеть Ethernet доставляет этот запрос всем устройствам в том же сегменте Ethernet, в том числе и компьютеру Б. Компьютер Б отвечает компьютеру А на запрос и сообщает свой MAC-адрес (напр. 00:ea:d1:11:f1:11) Теперь, получив MAC-адрес компьютера Б, компьютер А может передавать ему любые данные через сеть Ethernet.
Наибольшее распространение ARP получил благодаря повсеместности сетей IP, построенных поверх Ethernet, поскольку практически в 100 % случаев при таком сочетании используется ARP. В семействе протоколов IPv6 ARP не существует, его функции возложены на ICMPv6.
у меня подобный вопрос, сначала мне антивирус написал что в моей сети, которую создает FI WI роутер у моего телевизора одинаковый IP а после выдал Обнаружена атака путём подделки записей кеша ARP, думаю что это просто ошибка, или стоит задуматься?
как подключился к домру начались всякие атаки, то трафик вредоносный с дублирующихся айпи теперь ети атаки. пипец какой то-_-
«Отравление» ARP (ARP Poisoning) — это тип кибератаки, которая использует слабые места широко распространенного протокола разрешения адресов (Address Resolution Protocol, ARP) для нарушения или перенаправления сетевого трафика или слежения за ним. В этой статье мы вкратце рассмотрим, зачем нужен ARP, проанализируем его слабые места, которые делают возможным отравление ARP, а также меры, которые можно принять для обеспечения безопасности организации.
ARP-спуфинг vs отравление ARP
Термины «ARP-спуфинг» и «отравление ARP» обычно используются как синонимы. Технически под спуфингом понимается выдача злоумышленником своего адреса за MAC-адрес другого компьютера, в то время как отравлением (подменой) называют повреждение ARP-таблиц на одной или нескольких машинах-жертвах. Однако на практике это элементы одной и той же атаки. Также эту атаку иногда называют «отравлением кэша ARP» или «повреждением ARP-таблицы».
Статические ARP-таблицы
Можно статически назначить все MAC-адреса в сети соответствующим IP-адресам. Это очень эффективно для предотвращения отравления ARP, но требует огромных трудозатрат. Любое изменение в сети потребует ручного обновления ARP-таблиц на всех хостах, в связи с чем для большинства крупных организаций использование статических ARP-таблиц является нецелесообразным. Но в ситуациях, когда безопасность имеет первостепенное значение, выделение отдельного сегмента сети для статических ARP-таблиц может помочь защитить критически важную информацию.
Шифрование
Хотя шифрование не предотвращает ARP-атаку, оно может снизить потенциальный ущерб. Раньше популярной целью атак MiTM было получение учетных данных для входа в систему, которые когда-то передавались в виде обычного текста. Благодаря распространению шифрования SSL/TLS совершать такие атаки стало сложнее.
Всего лишь одна из многих угроз
Хотя технология отравления ARP появилась значительно раньше, чем многие современные вредоносные программы, такие как вирусы-вымогатели, ARP Poisoning по-прежнему представляет собой угрозу, с которой необходимо бороться. Как и в отношении всех других киберугроз, лучше всего это делать комплексно. Решения по обнаружению угроз и реагированию помогут получить представление об общем уровне безопасности вашей организации. А решения типа Varonis Edge позволят обнаружить признаки утечки данных после отравления ARP.
Прошло чуть более года с момента публикации предыдущих статей (1, 2), и только недавно обстоятельства сложились так, что у меня появился повод для проведения новой атаки.
В этот раз физического доступа к сетевой инфраструктуре нет. Есть лишь ноутбук с доступом в интернет по Wi-Fi. Жертва – сосед по общежитию — подключена к другой точке доступа (DIR-320) по Ethernet, но пароль для подключения к точке известен почти всем, т.к. её хозяин предпочитает использовать в качестве средства разграничения доступа фильтрацию по MAC-адресам, добавляя и удаляя адреса из базы по мере необходимости. Моего MAC-адреса в списке разрешенных нет.
- пересылать мои фреймы в Ethernet сегмент, и доставлять ответы
- отвечать на ARP-запросы и принимать ARP-ответы
Единственное что точка доступа отказывается делать, так это взаимодействовать с чужаком на сетевом уровне, то есть IP-адрес она мне через DHCP не выдаёт, пропинговать её нельзя и в интернет через неё тоже не выйти.
Отказ в обслуживании (Denial of Service, DoS)
Какова цель отравления ARP?
Другой целью может быть значительное нарушение работы сети. Например, довольно часто DoS-атаки выполняются не очень опытными хакерами просто для получения удовольствия от созданных проблем.
Установка
Теперь нужно как-то заставить клиента запустить наш инсталлятор.
Ок, с автоматическими обновлениями ничего поделать не удается, остаётся надеяться на невнимательность пользователя. Попробуем внедрить инсталлятор в первый попавшийся скачиваемый исполняемый файл.
- Сохранить полученные данные в файл original.exe
- Если original.exe является исполняемым файлом и не имеет цифровой подписи, то запустить перестроение проекта-обертки, и вернуть результат компиляции. Иначе вернуть исходный файл без изменений.
Запустив всё, ждём. И, спустя пару дней, видим в логах сервера инъекций:
и в логах прокси-сервера:
Теперь можно идти к соседу и порадовать его, показав фокусы, которые мы можем делать с его компом (перезагрузить, выдать страшные звуки из аудиосистемы и т.п).
Получение контроля над машиной
Атаки Man-in-the-Middle
Что такое отравление ARP?
Последствия атак ARP Poisoning
Основной эффект отравления ARP заключается в том, что трафик, предназначенный для одного или нескольких хостов в локальной сети, вместо этого направляется на устройство, выбранное злоумышленником. Конкретные последствия атаки зависят от ее специфики. Трафик может направляться на машину злоумышленника или в несуществующее место. В первом случае заметного эффекта может не быть, в то время как во втором может быть заблокирован доступ к сети.
Само по себе отравление кэша ARP не оказывает длительного воздействия. Записи ARP кэшируются от нескольких минут на конечных устройствах до нескольких часов на коммутаторах. Как только злоумышленник перестает активно заражать таблицы, поврежденные записи просто устаревают, и вскоре возобновляется нормальный поток трафика. Само по себе отравление ARP не оставляет постоянной инфекции или «точек опоры» на машинах-жертвах. Однако нередко хакеры совершают ряд атак по цепочке, и отравление ARP может быть элементом более масштабной атаки.
ARP-Spoofing
Для тех кто не знает что такое ARP и ARP-Spoofing – небольшой ликбез. Сетевой уровень, на котором используются IP-адреса, используется поверх канального уровня (на нём используются MAC-адреса, задающиеся производителями сетевой карты). Отправляя IP-пакет, компьютер должен обернуть его в Ethernet-фрейм, указав MAC-адрес получателя (или шлюза). Чтобы узнать MAC-адрес получателя, компьютер делает широковещательный ARP-запрос вида «Компьютер с ip a.b.c.d, отзовись!». Компьютер a.b.c.d отвечает ARP-ответом вида «a.b.c.d – это я, мой MAC-адрес следующий: 00:11:22:33:44:55». Причем ответ можно посылать даже если не было запроса и он будет обработан. Все компьютеры поддерживают кэш соответствий IP → MAC и при каждом удобном случае (получен ARP-запрос/ответ) его обновляют.
Но, раз в интернет точка доступа меня не пускает, то классический вариант ARP-спуфинга – встать между жертвой и роутером – не пройдёт. Раз так, можно встать не между жертвой и роутером, а вместо роутера. Идём на рынок, покупаем USB-WiFi адаптер, подключаемся встроенным адаптером (отключив на нём IP-протокол) к целевой сети, а вторым – к своей, чтобы иметь канал в интернет. Создаём в VirtualBox виртуальную машину с двумя адаптерами, первый соединяем мостом с целевой сетью, на втором делаем NAT. Настраиваем NAT внутри виртуальной машины-роутера, запускаем на ней же arpspoof с целью убедить компьютер жертвы, что MAC-адрес роутера сменился на наш.
В результате жертва будет отправлять пакеты не настоящему роутеру, а нашему, который сможет маршрутизировать их в интернет, просматривая и модифицируя. Практически стандартная схема ARP-спуфинга. Лишь с одним небольшим недостатком – она не работает. Точнее работает, но с такими перебоями, что жертва не может не заметить проблем с сетью.
Посмотрев на трафик в сети, можно понять почему. Да, мы уведомляем раз в секунду роутер жертвы о том что адрес 192.168.0.105 принадлежит нам, и жертву о том, что ip адрес 192.168.0.1 принадлежит нам. Однако в сети есть и другая ARP-активность. Например роутер периодически вещает в сеть «192.168.0.109, где ты?», причем такого адреса в сети нет. Причины этой активности не очень ясны – возможно на роутере прокинут порт с внешнего ip на этот адрес. Но ни к чему хорошему такая общительность со стороны роутера не приводит. Компьютер жертвы видит этот широковещательный запрос, и, хоть запрос и не относится к нему, обновляет у себя в кэше информацию о MAC-адресе роутера. В итоге получается race condition, и жертва отправляет исходящие пакеты то на наш адрес, то на адрес настоящего роутера.
- Раз в пару секунд посылать широковещательный запрос ARP request всем адресам сегмента, чтобы выяснить, кто же есть в сети
- Раз в десять секунд для каждого IP-адреса, который мы давно не видели в сети, отправлять ARP reply роутеру, сообщая, что этот адрес принадлежит нам
После добавления такой функциональности в виде скрипта на python, парсящего вывод tcpdump arp и рассылающего ARP-запросы и ответы, сбоев связи стало гораздо меньше. Когда какой-либо компьютер подключается к сети, он обычно начинает свою деятельность с ARP запроса своего IP и IP роутера, вследствие чего мы видим что он появился и перестаем выдавать себя за него. Когда компьютер отключается, мы видим что он отключился и занимаем его место. В итоге у роутера теперь нет поводов посылать широковещательные ARP-запросы и сбивать компьютер жертвы с толку.
Физическая защита
Инсталлятор
Что такое ARP?
ARP предназначен для определения MAC-адреса по IP-адресу другого компьютера. ARP позволяет подключенным к сети устройствам запрашивать, какому устройству в настоящее время назначен конкретный IP-адрес. Устройства также могут сообщать об этом назначении остальной части сети без запроса. В целях эффективности устройства обычно кэшируют эти ответы и создают список текущих назначений MAC-IP.
Перехват сеанса
Перехват сеанса по своей природе похож на MiTM за исключением того, что злоумышленник не будет напрямую перенаправлять трафик с машины жертвы на целевое устройство. Вместо этого он захватывает подлинный порядковый номер TCP или файл cookie жертвы и использует его, чтобы выдавать себя за жертву. Так он может, к примеру, получить доступ к учетной записи данного пользователя в соцсети, если тот в нее вошел.
Сетевая изоляция
Хорошо сегментированная сеть может быть менее восприимчива к отравлению кэша ARP в целом, поскольку атака в одной подсети не влияет на устройства в другой. Концентрация важных ресурсов в выделенном сегменте сети с более строгими мерами безопасности может значительно снизить потенциальное влияние атаки ARP Poisoning.
Этапы отравления ARP
Этапы отравления ARP могут различаться, но обычно их минимальный перечень таков:
Бэкдор
Как обнаружить отравление кэша ARP
Существует множество платных программ и программ с открытым исходным кодом для обнаружения отравления кэша ARP, однако проверить ARP-таблицы на своем компьютере можно даже без установки специального ПО. В большинстве систем Windows, Mac и Linux ввод команды arp-a в терминале или командной строке отобразит текущие назначения IP-адресов и MAC-адресов машины.
Такие инструменты, как arpwatch и X-ARP, позволяют осуществлять непрерывный мониторинг сети и могут предупредить администратора о выявлении признаков отравления кэша ARP. Однако достаточно высока вероятность ложных срабатываний.
Выводы
Как предотвратить отравление ARP
Cуществует несколько методов предотвращения отравления ARP:
Типы атак ARP Poisoning
Имеется два основных способа отравления ARP: злоумышленник может либо дождаться запроса ARP в отношении конкретной цели и дать на него ответ, либо использовать самообращённые запросы (gratuitous ARP). Первый вариант ответа будет менее заметен в сети, но его потенциальное влияние также будет меньшим. Cамообращенные запросы ARP могут быть более эффективными и затронуть большее количество жертв, но они имеют обратную сторону — генерирование большого объема сетевого трафика. При любом подходе поврежденный кэш ARP на устройствах-жертвах может быть использован для дальнейших целей:
Защита коммутатора
DAI и аналогичные функции когда-то были доступны исключительно для высокопроизводительного сетевого оборудования, но теперь они представлены практически на всех коммутаторах бизнес-класса, в том числе используемых в небольших компаниях. Обычно рекомендуется включать DAI на всех портах, кроме подключенных к другим коммутаторам. Эта функция не оказывает значительного влияния на производительность; при этом, вместе с ней может понадобиться включение других функций, например DHCP Snooping.
Включение защиты порта на коммутаторе также может помочь минимизировать последствия отравления кэша ARP. Защиту порта можно настроить таким образом, чтобы разрешить использование только одного MAC-адреса на порте коммутатора, что лишает злоумышленника возможности применять несколько сетевых идентификаторов.
Читайте также: