ในตัวอย่างนี้ เราจะใช้ Anti-ARP Scan เพื่อป้องกันผู้โจมตีจากการระบุอุปกรณ์เครือข่ายทั้งหมดในเครือข่ายท้องถิ่น การสแกน ARP เป็นวิธีการที่ผู้โจมตีส่งแพ็คเก็ตคำขอ ARP หลายแพ็คเก็ตในช่วงเวลาสั้นๆ เพื่อส่งไปยังโดเมนบรอดคาสต์ทั้งหมด

image.png

หมายเหตุ:

ตัวอย่างในบทความนี้จะใช้ที่อยู่ IP ของเครือข่ายและมาสก์เครือข่ายย่อยทั้งหมด จุดเชื่อมต่อในหัวข้อนี้ใช้โปรไฟล์วิทยุและ SSID เริ่มต้น สำหรับหัวข้อนี้ เราจะอ้างถึง “Zenmap” ในฐานะเครื่องมือสแกน IP UI ทั้งหมดที่แสดงในบทความนี้นำมาจากสวิตช์ซีรีส์ XGS4600

1. การกำหนดค่าในสวิตช์

1-1. เข้าถึง GUI เว็บของสวิตช์

1-2. ไปที่ Advance Application > Anti-Arpscan > Configure ทำเครื่องหมายที่ช่อง Active และกำหนดค่าพอร์ตอัปลิงก์ (พอร์ต 24) เป็นสถานะ “Trusted” คลิก Apply

image.png
image.png

1-3 (ทางเลือก) ไปที่ Advanced Application > Errdisable > Errdisable Recovery ทำเครื่องหมายที่ช่อง Active และช่อง anti-arpscan จากนั้นคลิก Apply

image.png

2. ทดสอบผลลัพธ์

2-1. ดาวน์โหลดและติดตั้งซอฟต์แวร์ IP Scanning ลงใน Host-A และ Host-C

2-2. เชื่อมต่อ Host-A และ Host-B ผ่านจุดเชื่อมต่อไร้สาย

2-3. Host-A ควรเริ่มสแกนที่อยู่ IP 192.168.1.1 ถึง 192.168.1.20

image.png

2-4. โฮสต์ A จะไม่สามารถเข้าถึง USG ได้อีกต่อไป

image.png

2-5. เข้าถึง GUI เว็บของสวิตช์ ไปที่ Advance Application > Anti-Arpscan > Host Status รายการสำหรับ Host-A ควรปรากฏพร้อมสถานะ “Err-Disable”

image.png

หมายเหตุ:

หากได้กำหนดค่า Errdisable Recovery แล้ว รายการ Host-A ควรกู้คืนหลังจากช่วง Errdisable Recovery หลังจากนั้น Host-A จะสามารถเข้าถึง USG ได้

2-6. Host-B ควรยังคงสามารถเข้าถึง USG ได้

2-7. เชื่อมต่อ Host-C เข้ากับสวิตช์

2-8. Host-C ควรสแกนด่วนเพื่อหาที่อยู่ IP 192.168.1.1 ถึง 192.168.1.100

image.png

2-9. โฮสต์ C ไม่สามารถเข้าถึง USG ได้อีกต่อไป

image.png

2-10. เข้าถึง GUI เว็บของสวิตช์ ไปที่ Advance Application > Anti-Arpscan พอร์ต 2 ควรอยู่ในสถานะปิดใช้งาน Err แล้ว

image.png

หมายเหตุ:

หากได้กำหนดค่าการกู้คืน Errdisable แล้ว สถานะพอร์ต 2 ควรเปลี่ยนเป็นการส่งต่อหลังจากช่วงเวลาการกู้คืน Errdisable จากนั้น Host-C จะสามารถเข้าถึง USG ได้

3. สิ่งที่อาจผิดพลาด

3-1. หากไม่สามารถเข้าถึงเซิร์ฟเวอร์หรือเกตเวย์ภายในได้อีกต่อไปหลังจากเปิดใช้งาน Anti-Arpscan ให้ตรวจสอบให้แน่ใจว่ามีเพียงพอร์ตที่เชื่อมต่อโดยตรงกับโฮสต์หรือจุดเชื่อมต่อไร้สายเท่านั้นที่ “ไม่น่าเชื่อถือ” พอร์ตไปยังเซิร์ฟเวอร์และเกตเวย์ภายในควร “เชื่อถือได้”

3-2. หากโฮสต์ทั้งหมดที่เชื่อมต่อผ่านจุดเชื่อมต่อไร้สายไม่สามารถเข้าถึงเกตเวย์ภายในได้อีกต่อไป ให้ตรวจสอบว่าพอร์ตไปยังจุดเชื่อมต่อไร้สายได้เปลี่ยนเป็นสถานะ err-disable ใน Advance Application > Anti-Arpscan หรือไม่ หากเป็นเช่นนั้น ให้พิจารณาเพิ่มเกณฑ์พอร์ตใน Advance Application > Anti-Arpscan > Configure

image.png