0×001 静态绑定网关MAC

0×002 ARP防火墙

0×003 VLAN和交换机端口绑定

1、静态绑定网关MAC

方法一、手工绑定:

(1).确定用户计算机所在网段
(2).查出用户网段网关IP
(3).根据网关IP查出用户网段网关Mac
(4).用命令 arp -s 网关IP 网关MAC

静态绑定网关IP和MAC

例如:“arp –s 192.168.1.1 AA-AA-AA-AA-AA-AA”。

Linux下绑定IP和MAC地址

新建一个静态的mac–>ip对应表文件:ip-mac,将要绑定的IP和MAC地下写入此文件,格式为 ip mac。

[root@localhost ~]# echo '192.168.1.1 00:01:B5:38:09:38 ' > /etc/ip-mac
[root@localhost ~]# more /etc/ip-mac
192.168.1.1 00:01:B5:38:09:38

3、设置开机自动绑定

[root@localhost ~]# echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local

4、手动执行一下绑定

[root@localhost ~]# arp -f /etc/ip-mac

5、确认绑定是否成功

[root@localhost ~]# arp -a

2、ARP防火墙

免费的ARP防火墙软件很多的,可以百度找,一般的服务器维护软件都带有这个功能.

3、VLAN和交换机端口绑定

懂路由交换的朋友应该懂,看起来比较容易.

通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。有些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定.

缺陷:

(1)、没有对网关的任何保护,网关一旦被攻击,照样会造成全网上网的掉线和瘫痪。
(2)、不利于移动终端的接入
(3)、实施交换机端口绑定,整个交换网络的造价大大提高。

思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:

Switch#c onfig terminal
#进入配置模式
Switch(config)# Interface fastethernet 0/1
#进入具体端口配置模式
Switch(config-if)#Switchport port-secruity
#配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址

注意:

以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。

其实现在有一种动态ARP检查的技术来防范ARP攻击,这种方法非常有效,它是根据DHCP所生成的DHCP监听表,以及IP源防护中静态ip源绑定表的内容对ARP报文进行检测,有兴趣的可以百度了解.

[原文地址]

相关内容:

非同一网关C段劫持,利用IP冲突“获取服务器权限”,非Arp劫持局域网IP

金山贝壳 Arp 防火墙 v2.0、等其他 Arp 防火墙的破墙方法以及原理

Arp EMP v1.0 发布 & 技术文档 & 详细分析 hijackport + rdpproxy

嗅探、劫持 3389 端口、远程桌面、rdp 协议的一些经验技巧总结

金山贝壳ARP防火墙 v2.0 去广告、屏蔽升级 剔除安全隐患

Arp 欺骗挂马、嗅探、监听、攻击 - 以及 Arp 防火墙的原理解析

相关讨论:

hxdef_tiffany 2013-06-17 1楼

科普贴。。。顶一个

我是你的斯维登 2013-06-17 2楼

有是水货啊。。能不能来点实质的东西。这些都是皮毛 有个string("jb")用啊

pnig0s (10级) 知道创宇安全工程师 2013-06-17

@我是你的斯维登 还有很多人需要这样的科普文章,希望评论能和谐一些,尊重分享。

010 2013-06-17

@我是你的斯维登 觉得文章很水的时候 不妨想想自己都做了些什么。

近平 2013-06-17 3楼

思科的有个技术叫DAI,有兴趣的可以去看看,比端口绑定高级多了

chen248283935 (1级) 2013-06-17 4楼

科普贴,支持一个

lophyxp 2013-06-17 5楼

还有一招,很多交换机都支持,叫:端口隔离。

anlfi (1级) ??????????????????????????... 2013-06-17

@lophyxp 还有一个功能叫 端口镜像 比ARP有意思多了

jacker (1级) 成为天马博士一样的人。 2013-06-17 6楼

看来思科网络技术有新的知识啊

lion_00 2013-06-17 7楼

@jacker 这个不是CISCO 的知识,而是很早的技术了 这个技术就叫port security

Switch(config-if)#Switchport port-security 这条命令不能随便敲的,默认这句话敲上之后,这个端口,只会允许一个MAC地址,而且是第一个MAC 地址通过,如果这个接口下连着HUB 或者交换机的话,就废掉了,所以,再敲这个命令前一定要计算出,下面会有多少个MAC地址,如果是N个的话,还要敲上

switchport port-security maximum N 这样才比较稳妥。

另外,还有个防止ARP 的最好手段就是DAI 技术,有兴趣的可以自己搜一下

fake 2013-06-18

@lion_00 说的没错,我们这就配的DAI,靠谱的

manchesxia 2013-06-18 8楼

这文章连编号都对不齐啊

lion_00 2013-06-18 9楼

@fake 恩,DAI 可以比较好的防止ARP欺骗,地址欺骗。 用好了的话,是一个挺好的技术

我之前的手误了,“这个不是CISCO的知识”,应该是“不是CISCO的新知识 ”

刚用谷歌输入法,不习惯。