沈阳电脑维修网,沈阳上门维修电脑服务
当前位置: 主页 > 电脑维修技术>※沈阳电脑维修※防ARP攻击策略技巧 >

※沈阳电脑维修※防ARP攻击策略技巧

时间:2009-12-3来源:www.sypcwx.cn 作者: 沈阳电脑维修网点击:
沈阳电脑维修,上门维修电脑
防范方法如下   1、捆绑MAC和IP地址   杜绝IP地址盗用现象。如果是通过代理服务器上网:到代理服务器端让网络管理员把上网的静态IP地址与所记录计算机的网卡地址进行 捆绑。如:ARP-s192.16.10.400-EO-4C-6C-08-75。这样,就将上网的静态IP地址192.16.10.4与网卡地址为00-EO-4C-6C-08-75的计算机 绑定在一起了,即使别人盗用您的IP地址,也无法通过代理服务器上网。如果是通过交换机连接,可以将计算机的IP地址、网卡的MAC地址以 及交换机端口绑定。   2、修改MAC地址,欺骗ARP欺骗技术   就是假冒MAC地址,所以最稳妥的一个办法就是修改机器的MAC地址,只要把MAC地址改为别的,就可以欺骗过ARP欺骗,从而达到突破 封锁的目的。   3、使用ARP服务器   使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被攻击。   4、交换机端口设置   (1)端口保护(类似于端口隔离):ARP欺骗技术需要交换机的两个端口直接通讯,端口设为保护端口即可简单方便地隔离用户之间信息互通 ,不必占用VLAN资源。同一个交换机的两个端口之间不能进行直接通讯,需要通过转发才能相互通讯。   (2)数据过滤:如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL利用IP地址、TCP/UDP端口等对进出交换机的报 文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。华为和Cisco的交换机均支持IPACL和MACACL,每种ACL分别支持标准格 式和扩展格式。标准格式的ACL根据源地址和上层协议类型进行过滤,扩展格式的ACL根据源地址、目的地址以及上层协议类型进行过滤,异 词检查伪装MAC地址的帧。   5、禁止网络接口做ARP解析   在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击),可以做静态ARP协议设置(因为对方不会响应ARP请求报义)如:ARP–s ☆☆.☆☆.XX.X08-00-20-a8-2e-ac在很多操作系统中如:Unix,NT等,都可以结合“禁止相应网络接口做ARP解析”和“使用静态ARP表 ”的设置来对抗ARP欺骗攻击。而Linux系统,其静态ARP表项不会被动态刷新,所以不需要“禁止相应网络接口做ARP解析”,即可对抗ARP 欺骗攻击。   6、使用硬件屏蔽主机   设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。   7、定期检查ARP缓存   管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。定期轮询,检查主机上的ARP缓存。使用防火墙连续监控 网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。 技巧一则   址的方法个人认为是不实用的,首先,这样做会加大网络管理员的工作量,试想,如果校园网内有3000个用户,网络管理员就必须做3000 次端口绑定MAC地址的操作,甚至更多。其次,网络管理员应该比较清楚的是,由于网络构建成本的原因,接入层交换机的性能是相对较弱的, 功能也相对单一一些,对于让接入层交换机做地址绑定的工作,对于交换机性能的影响相当大,从而影响网络数据的传输。   建议用户采用绑定网关地址的方法解决并且防止ARP欺骗。   1)首先,获得安全网关的内网的MAC地址。(以windowsXP为例)点击"开始"→"运行",在打开中输入cmd。点击确定后将出现相关网络状 态及连接信息,然后在其中输入ipconfig/all,然后继续输入arp-a可以查看网关的MAC地址。   2)编写一个批处理文件rarp.bat(文件名可以任意)内容如下:   @echooff   arp-d   arp-s192.168.200.100-aa-00-62-c6-09   将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。   3)编写完以后,点击"文件"→"另存为"。注意文件名一定要是*.bat如arp.bat保存类型注意要选择所有类型。点击保存就可以了。最 后删除之前创建的"新建文本文档"就可以。   4)将这个批处理软件拖到"windows--开始--程序--启动"中,(一般在系统中的文件夹路径为C:\DocumentsandSettings\All Users\「开始」菜单\程序\启动)。   5)最后重新启动一下电脑就可以。   静态ARP表能忽略执行欺骗行为的ARP应答,我们采用这样的方式可以杜绝本机受到ARP欺骗包的影响。对于解决ARP欺骗的问题还有多 种方法:比如通过专门的防ARP的软件,或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案,但是软件的设置过程 并不比设置静态ARP表简单。后者对接入层交换机要求太高,如果交换机的性能指标不是太高,会造成比较严重的网络延迟,接入层交换机的 性能达到了要求,又会使网络安装的成本提高。   在应对ARP攻击的时候,除了利用上述的各种技术手段,还应该注意不要把网络安全信任关系建立在IP基础上或MAC基础上,最好设置静 态的MAC->IP对应表,不要让主机刷新你设定好的转换表,除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中  
上一篇:沈阳电脑维修※用ADSL播号上网速度慢之谜
下一篇:※沈阳电脑维修※最强的隐藏文件方法
查看[※沈阳电脑维修※防ARP攻击策略技巧]所有评论
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
用户名: 验证码:
推荐内容
关于我们 服务价格 联系我们 企业网站优化 沈阳网站建设 沈阳维修电脑