防arp攻击

防arp攻击
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
[安全科普]ARP攻击防范方法总结 Panni_007认证作者2013-06-17共248711人围观 ，发现 14 个不明物体 新手科普系统安全
0×001 静态绑定网关MAC

0×002 ARP防火墙

0×003 VLAN和交换机端口绑定

1、静态绑定网关MAC

方法一、手工绑定：

(1).确定用户计算机所在网段
(2).查出用户网段网关IP
(3).根据网关IP查出用户网段网关Mac
(4).用命令 arp -s 网关IP 网关MAC
静态绑定网关IP和MAC

例如：“arp –s 192.168.1.1 AA-AA-AA-AA-AA-AA”。

Linux下绑定IP和MAC地址

新建一个静态的mac–>ip对应表文件：ip-mac，将要绑定的IP和MAC地下写入此文件，格式为 ip mac。

[root@localhost ~]# echo '192.168.1.1 00:01:B5:38:09:38 ' > /etc/ip-mac
[root@localhost ~]# more /etc/ip-mac
192.168.1.1 00:01:B5:38:09:38
3、设置开机自动绑定

[root@localhost ~]# echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local
4、手动执行一下绑定

[root@localhost ~]# arp -f /etc/ip-mac
5、确认绑定是否成功

[root@localhost ~]# arp -a

2、ARP防火墙

免费的ARP防火墙软件很多的，可以百度找，一般的服务器维护软件都带有这个功能.

3、VLAN和交换机端口绑定

懂路由交换的朋友应该懂，看起来比较容易.

通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范方法。划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。有些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定.

缺陷：

（1）、没有对网关的任何保护，网关一旦被攻击，照样会造成全网上网的掉线和瘫痪。
（2）、不利于移动终端的接入
（3）、实施交换机端口绑定，整个交换网络的造价大大提高。
思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：

Switch＃c onfig terminal
＃进入配置模式
Switch(config)# Interface fastethernet 0/1
＃进入具体端口配置模式
Switch(config-if)#Switchport port-secruity
＃配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
＃配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
＃删除绑定主机的MAC地址
注意：

以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

其实现在有一种动态ARP检查的技术来防范ARP攻击，这种方法非常有效，它是根据DHCP所生成的DHCP监听表，以及IP源防护中静态ip源绑定表的内容对ARP报文进行检测，有兴趣的可以百度了解.

Panni_007
3 篇文章
等级： 3级
||
上一篇：如何使用Linux通用后门下一篇：6月一个被忽视的微软漏洞MS13-051——记大牛分析过程
这些评论亮了

我是你的斯维登 回复
有是水货啊。。能不能来点实质的东西。这些都是皮毛 有个string("jb")用啊
)13(亮了

lion_00 回复
@jacker 这个不是CISCO 的知识，而是很早的技术了 这个技术就叫port security
Switch(config-if)#Switchport port-security 这条命令不能随便敲的，默认这句话敲上之后，这个端口，只会允许一个MAC地址，而且是第一个MAC 地址通过，如果这个接口下连着HUB 或者交换机的话，就废掉了，所以，再敲这个命令前一定要计算出，下面会有多少个MAC地址，如果是N个的话，还要敲上
switchport port-security maximum N 这样才比较稳妥。
另外，还有个防止ARP 的最好手段就是DAI 技术，有兴趣的可以自己搜一下
)8(亮了
发表评论已有 14 条评论

hxdef_tiffany 2013-06-17回复 1楼
科普贴。。。顶一个

亮了(1)

我是你的斯维登 2013-06-17回复 2楼
有是水货啊。。能不能来点实质的东西。这些都是皮毛 有个string("jb")用啊

亮了(13)

pnig0s 认证作者(7级) FreeBuf技术处书记 2013-06-17回复
@我是你的斯维登 还有很多人需要这样的科普文章，希望评论能和谐一些，尊重分享。

亮了(2)

010 2013-06-17回复
@我是你的斯维登 觉得文章很水的时候 不妨想想自己都做了些什么。

亮了(3)

近平 2013-06-17回复 3楼
思科的有个技术叫DAI，有兴趣的可以去看看，比端口绑定高级多了

亮了(4)

chen248283935 (1级) 2013-06-17回复 4楼
科普贴,支持一个

亮了(1)

lophyxp 2013-06-17回复 5楼
还有一招，很多交换机都支持，叫：端口隔离。

亮了(1)

anlfi (5级) 2013-06-17回复
@lophyxp 还有一个功能叫 端口镜像 比ARP有意思多了

亮了(1)

jacker (6级) Ubuntu Arch Vim爱好者 2013-06-17回复 6楼
看来思科网络技术有新的知识啊

亮了(1)

lion_00 2013-06-17回复 7楼
@jacker 这个不是CISCO 的知识，而是很早的技术了 这个技术就叫port security

Switch(config-if)#Switchport port-security 这条命令不能随便敲的，默认这句话敲上之后，这个端口，只会允许一个MAC地址，而且是第一个MAC 地址通过，如果这个接口下连着HUB 或者交换机的话，就废掉了，所以，再敲这个命令前一定要计算出，下面会有多少个MAC地址，如果是N个的话，还要敲上

switchport port-security maximum N 这样才比较稳妥。

另外，还有个防止ARP 的最好手段就是DAI 技术，有兴趣的可以自己搜一下

亮了(8)

fake 2013-06-18回复
@lion_00 说的没错，我们这就配的DAI，靠谱的

亮了(2)

manchesxia 2013-06-18回复 8楼
这文章连编号都对不齐啊

亮了(2)

lion_00 2013-06-18回复 9楼
@fake 恩，DAI 可以比较好的防止ARP欺骗，地址欺骗。 用好了的话，是一个挺好的技术

我之前的回复手误了，“这个不是CISCO的知识”，应该是“不是CISCO的新知识 ”

刚用谷歌输入法，不习惯。

亮了(2)

heiben 2013-11-08回复 10楼
ARP防御？！。。请用IPV6更彻底。。。

亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我

Panni_007认证作者

点云安全信息技术有限公司安全工程师

3
文章数
23
评论数
最近文章
[安全科普]ARP攻击防范方法总结
2013.06.17

你必须了解的Session的本质
2013.06.09

敢偷用我的Wi-Fi？看我怎么治你
2013.06.08

浏览更多
相关阅读
美国国家信息安全漏洞库（NVD）被黑写给金融首席安全官的一封信：请随时准备好，大规模网络攻击随时到来彻底曝光黑客组织“隐匿者”，目前作恶最多的网络攻击团伙“可汗探索2014”：APT1的复出？快讯 | 美国男子以网络攻击要挟公司雇佣他，悲剧获刑三年
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank