ARP攻击防范方法总结

　　1：静态绑定网关MAC

　　2：ARP防火墙

　　3：VLAN和交换机端口绑定

　　1、静态绑定网关MAC

　　方法一、手工绑定：

　　(1).确定用户计算机所在网段

　　(2).查出用户网段网关IP

　　(3).根据网关IP查出用户网段网关Mac

　　(4).用命令 arp -s 网关IP 网关MAC

　　静态绑定网关IP和MAC

　　例如：“arp –s 192.168.1.1 AA-AA-AA-AA-AA-AA”。

　　Linux下绑定IP和MAC地址

　　新建一个静态的mac–>ip对应表文件：ip-mac，将要绑定的IP和MAC地下写入此文件，格式为 ip mac。

　　[root@localhost ~]# echo ’192.168.1.1 00:01:B5:38:09:38 ‘ > /etc/ip-mac

　　[root@localhost ~]# more /etc/ip-mac

　　192.168.1.1 00:01:B5:38:09:38

　　3、设置开机自动绑定

　　[root@localhost ~]# echo ‘arp -f /etc/ip-mac ‘ >> /etc/rc.d/rc.local4、手动执行一下绑定

　　[root@localhost ~]# arp -f /etc/ip-mac5、确认绑定是否成功

　　[root@localhost ~]# arp -a

　　2、ARP防火墙

　　免费的ARP防火墙软件很多的，可以百度找，一般的服务器维护软件都带有这个功能.

　　3、VLAN和交换机端口绑定

　　懂路由交换的朋友应该懂，看起来比较容易.

　　通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范方法。划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。有些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定.

　　缺陷：

　　(1)、没有对网关的任何保护，网关一旦被攻击，照样会造成全网上网的掉线和瘫痪。

　　(2)、不利于移动终端的接入

　　(3)、实施交换机端口绑定，整个交换网络的造价大大提高。思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：

　　Switch#config terminal

　　#进入配置模式

　　Switch(config)# Interface fastethernet 0/1

　　#进入具体端口配置模式

　　Switch(config-if)#Switchport port-secruity

　　#配置端口安全模式

　　Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)

　　#配置该端口要绑定的主机的MAC地址

　　Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)

　　#删除绑定主机的MAC地址

　　注意：

　　以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

　　其实现在有一种动态ARP检查的技术来防范ARP攻击，这种方法非常有效，它是根据DHCP所生成的DHCP

评论总数：0 条 [ 查看全部 ] 网友评论