Настройка предотвращения атак ARP Spoofing на коммутаторах D-Link

При атаке ARP-спуфинг злоумышленник перехватывает в сети ARP-запрос и отправляет ложный ARP-ответ, в котором объявляет себя искомым устройством локальной сети, то есть указывает в ARP-ответе МАC-адрес ложного устройства и IP-адрес реального. Коммутатор получит ложный ARP-ответ и обновит ARP-таблицу. Таким образом, вместо того, чтобы отправлять трафик легитимному устройству, коммутатор начнет перенаправлять его на устройство злоумышленника.

При помощи настройки ARP Spoofing Prevention на коммутаторе можно защитить, например, адрес шлюза и тогда ARP-пакеты, чей IP-адрес отправителя совпадает с IP-адресом шлюза в записи, но поле MAC-адреса отправителя не совпадает с MAC-адресом шлюза в записи, будут отбрасываться системой.

На коммутаторах D-Link со стандартным CLI для настройки ARP Spoofing Prevention используется команда ip arp spoofing-prevention GATEWAY-IP GATEWAY-MAC interface INTERFACE-ID

Например, для создания записи с IP-адресом 192.168.1.100 и MAC-адресом 00-00-00-11-11-11 и активации этой записи на 10-м порту, надо написать:

Switch# configure terminal
Switch(config)# ip arp spoofing-prevention 192.168.1.100 00-00-00-11-11-11 interface Ethernet 1/0/10
Switch(config)# end

На коммутаторах с D-Link CLI используется команда config arp_spoofing_prevention [add gateway_ip <ipaddr> gateway_mac <macaddr> ports [<portlist> | all] | delete gateway_ip <ipaddr>]:

DGS-3000-28XMP# config arp_spoofing_prevention add gateway_ip 192.168.0.100 gateway_mac 00-00-00-11-11-11 ports 10