在網(wǎng)絡(luò)方面的arp攻擊是很普遍的,所以很多朋友都會(huì)用交換機(jī)來(lái)防止arp攻擊��,那交換機(jī)如何防止arp攻擊呢�����?了解網(wǎng)絡(luò)安全常識(shí)��,首先就要了解常見(jiàn)電腦黑客攻擊類(lèi)型與預(yù)防方法�����,下面佰佰安全網(wǎng)小編就帶您認(rèn)識(shí)一下吧。
1�、配置靜態(tài)ARP
首先,確認(rèn)網(wǎng)關(guān)設(shè)備��、局域網(wǎng)內(nèi)重要服務(wù)器以及本機(jī)的IP地址�����、MAC地址����。
通過(guò)在DOS界面輸入ipconfig
/all命令可查本機(jī)IP、MAC和網(wǎng)關(guān)IP�。通過(guò)在DOS界面輸入arp –a命令可查網(wǎng)關(guān)IP所對(duì)應(yīng)的MAC地址。局域網(wǎng)內(nèi)其他重要服務(wù)器的IP����、MAC需登陸服務(wù)器再通過(guò)ipconfig /all查詢(xún)。
其次���,配置靜態(tài)ARP綁定�����。
新建一個(gè)記事本文檔�����,輸入以下命令:
arp–d //清空ARP緩存表
arp -d
arp -d
arp -s 192.168.16.1 00-00-00-00-01
//配置靜態(tài)ARP����,綁定網(wǎng)關(guān)的IP與MAC
arp -s 192.168.16.2 00-00-00-00-02
//配置靜態(tài)ARP��,綁定服務(wù)器的IP與MAC
arp -s 192.168.16.3 00-00-00-00-03
//配置靜態(tài)ARP��,綁定本機(jī)的IP與MAC
注:如果網(wǎng)關(guān)是兩交換機(jī)啟用了vrrp后的虛擬ip���,則應(yīng)該將網(wǎng)關(guān)ip綁定vrrp的虛mac����,格式為00-00-5e-00-01-[vrid](vrid是指啟用vrrp的備份組號(hào))���。
配置完成后�,將其另存為arp.bat文件(注意后綴名需為bat)�����。
最后,將arp.bat文件放入主機(jī)的啟動(dòng)項(xiàng)中����。
打開(kāi)電腦的啟動(dòng)項(xiàng)目錄。具體操作是點(diǎn)擊“開(kāi)始”→“程序” →“啟動(dòng)”右鍵單擊選擇“打開(kāi)所有用戶(hù)”���;
將arp.bat文件放入打開(kāi)的目錄中�,這樣程序就會(huì)在每次開(kāi)機(jī)時(shí)自動(dòng)運(yùn)行��;
2�、網(wǎng)關(guān)設(shè)備側(cè)攻擊防范
首先,對(duì)二層交換機(jī)(接入設(shè)備)配置規(guī)范����。
在與PC直接相連的端口上配置靜態(tài)MAC,同時(shí)禁止動(dòng)態(tài)學(xué)習(xí)MAC���。
[S2403H]mac-address static 0002-0002-0002 interface Ethernet0/7 vlan
10
[S2403H]interface Ethernet0/7
[S2403H- Ethernet0/7] mac-address max-mac-count 0
注:配置順序一定要注意��,要先配置靜態(tài)MAC���,再在端口下禁止動(dòng)態(tài)學(xué)習(xí)MAC;如要對(duì)靜態(tài)MAC綁定的數(shù)據(jù)做任何修改和刪除�����,也要先在對(duì)應(yīng)端口下刪除mac-address max-mac-count 0,修改完成后再在端口重新添加mac-address
max-mac-count 0��。否則設(shè)備易出錯(cuò)���,切記��!
完成了如上配置后,某端口下只能連接指定MAC的PC�,如果有非法PC企圖接入網(wǎng)絡(luò)或原合法PC機(jī)中毒后企圖發(fā)起一些變換MAC的攻擊,則新的MAC地址不會(huì)被端口所學(xué)習(xí)�。這樣,大大加強(qiáng)了二層網(wǎng)絡(luò)的安全性�����。
其次���,三層交換機(jī)(網(wǎng)關(guān)設(shè)備)配置規(guī)范�。
在三層交換機(jī)上配置靜態(tài)ARP綁定下掛PC機(jī)的IP與MAC地址�,防止下掛PC隨意變動(dòng)IP地址或發(fā)起ARP攻擊。
最后�����,交換機(jī)既作網(wǎng)關(guān)又作接入時(shí)的配置規(guī)范(綜合前兩項(xiàng))。
在與PC直接相連的端口上配置靜態(tài)MAC��,同時(shí)禁止動(dòng)態(tài)學(xué)習(xí)MAC����;
暫時(shí)不被使用的端口應(yīng)該手動(dòng)shutdown;
配置靜態(tài)ARP綁定下掛PC機(jī)的IP與MAC地址���,防止下掛PC隨意變動(dòng)IP地址或發(fā)起ARP攻擊����。
關(guān)于網(wǎng)絡(luò)安全小知識(shí)��,佰佰安全網(wǎng)小編為您介紹和普及這么多了��,看完上面的介紹�,您對(duì)“交換機(jī)如何防止arp攻擊”這個(gè)問(wèn)題了解多少了呢?綜上我們可以看到��,預(yù)防arp攻擊最好的辦法就是相關(guān)的安全操作以及安全設(shè)置�����,只有這樣才能夠減少arp的攻擊頻率。
責(zé)任編輯:慕丹萍
為更好的為公眾說(shuō)明安全知識(shí)的重要性,本站引用了部分來(lái)源于網(wǎng)絡(luò)的圖片插圖�,無(wú)任何商業(yè)性目的。適用于《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》第六條“為介紹���、評(píng)論某一作品或者說(shuō)明某一問(wèn)題����,在向公眾提供的作品中適當(dāng)引用已經(jīng)發(fā)表的作品”之規(guī)定�����。如果權(quán)利人認(rèn)為受到影響�,請(qǐng)與我方聯(lián)系��,我方核實(shí)后立即刪除����。
5053
