2007-04-18, 05:24 PM | #1 |
注册日期: 2003-10-22
帖子: 11,053
积分:6
精华:24
现金:14348金币
资产:29325305金币
|
新版本的arp攻击解决办法
以前arp漫天飞的时候 靠客户机捆绑路由内网卡的mac地址和路由捆绑所有客户机的mac度过难关.现在又发现了arp攻击 上网查资料才知道是arp2007 依照过去的解决方法 已经不能防止被攻击了 解决方案1: 在可管理二层交换机中关闭MAC地址自学习,其结果就是ARP欺骗无效,代价是交换机也就变成了HUB。(L2以太网交换机的MAC地址表维护MAC地址到端口的映射。也就是可以通过MAC地址,找到其接入的端口。在开启MAC地址学习的时候,交换机可以通过查询收到报文的目的MAC地址对应的端口而决定在哪个端口上转发。但是当MAC地址自学习关闭后,MAC地址到端口的对应不存在了。交换机能够做的事情就是把收到的报文在其来路端口外的所有端口上转发,就变成HUB了。) 解决方案2 全网上802.1X认证 RADIUS上做IP+MAC+账户的绑定 这样ARP欺骗就绝对没有了 嘿嘿 自己做的一个学校项目就是这样 轻松多了 解决方案3 换三层交换机,作mac硬件绑定。 |
|