1。用户端绑定
在用户端计算机上绑定交换机网关的IP和MAC地址。
1)首先,要求用户获得交换机网关的IP地址和MAC地址,用户在DOS提示符下执行 arp –a命令,具体如下:
C:\Documents and Settings\user>arp -a
Interface: --- 0x2
Internet Address Physical Address Type
00-40-66-77-88-d7 dynamic
其中 和00-30-6d-bc-9c-d7分别为网关的IP 地址和MAC地址,因用户所在的区域、楼体和交换机不同,其对应网关的IP地址和MAC地址也不相同。
2)编写一个批处理文件 t,实现将交换机网关的MAC地址和网关的IP地址的绑定,内容如下:
@echo off
arp -d
arp -s 00-40-66-77-88-d7
用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址,填入arp –s后面即可,同时需要将这个批处理软件拖到“windows--开始--程序--启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件,对用户起到一个很好的保护作用。
2。网管交换机端绑定
在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。
1)IP和MAC地址的绑定。在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。
这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。具体实现方法如下:
(Configure)# arp 00:E0:4C:11:11:11
(Configure)# arp 00:E0:4C:22:22:22
(Configure)# arp 00:E0:4C:33:33:33
2)MAC地址与交换机端口的绑定。
根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。
3。采用VLAN技术隔离端口
局域网的网络管理员可根据本单位网络的拓卜结构,具体规划出若干个VLAN,当管理员发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可利用技术手段首先查找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离,以避免对其它用户的影响。
当然也可以利用将交换机端口Disable掉来屏蔽该用户对网络造成影响,从而达到安全防范的目的。
你安装个瑞星防火墙是不是方便多了
ARP工具对于局域网环境有着很大威胁,因此必须采取一些措施来提高网络的安全性。 (1) 建立静态ARP缓存表 所谓ARP的欺骗攻击就是通过更改主机上缓存的动态IP-MAC对应表来达到欺骗主机的目的。使用静态的IP-MAC对应表将IP地址与MAC地址进行静态绑定,则可以有效地解决ARP欺骗问题。
例如,可以建立如下的文件: 09:00:20:ab:a1:e2 oa。sdfi。edu。cn 09:00:20:dd:ad:1g 然后使用命令:ARP f filename将其加载到ARP表中,这样添加的ARP映射将不会过期和被新的ARP数据刷新,只能使用命令:ARP d删除。
但是这种方法破坏了动态的ARP协议,一旦合法主机的网卡地址改变后,就必须手工刷新ARP表。因此,这种方法不适合于经常变动的网络环境。 (2) 禁止ARP 可以通过命令:ipconfig interface –ARP来完全禁止ARP,这样,网卡将不会发送ARP和接受ARP数据包。
但前提是使用静态ARP表,否则计算机将不能通信。这个方法并不适用于大多数网络环境,因为它增加了网络管理的成本。但是对小规模的安全网络而言,还是有效可行的。 。
答:你只能眼睁睁的看着360的arp防火墙帮你拦截了! 装了360ARP防火墙就不用怕这个了!放心吧! 这里有高手的解决方法:详情>>
答:详情>>
