1. 如何进行IP和MAC地址绑定,以防范ARP欺骗?
用路由器做地址转换,上网频繁掉线,此时将PC机的网卡禁用一下或将PC机重启一下又可以上网了,并且不能上网时ping PC机的网关不通。这种情况一般来说,都是中了ARP欺骗病毒,可以通过以下方法进行防范。
方法一:在路由器上静态绑定PC机的IP地址和MAC地址,在PC机上绑定路由器内网口的IP地址和MAC地址。
步骤如下:
1) 在路由器上绑定PC机的IP地址和MAC地址,格式如下:
[H3C]arp static 192.168.1.2 00e1-7778-9876
注意:需要对该网段内的每一个IP都绑定MAC,没有使用的IP地址也需要绑定,可以任意指定其绑定的MAC地址,推荐使用0000-0000-0123等特殊MAC。
2) 在PC机上绑定路由器内网口的IP地址和MAC地址,命令格式如下:
arp –s 192.168.1.1 00-0f-e2-21-a0-01
方法二:让路由器定时发送免费ARP报文,刷新PC机的ARP表项
进入路由器相应的内网接口,配置如下命令:受到arp攻击
[H3C-Ethernet1/0]arp send-gratuitous-arp 1
方法三:ARP固化
可以在全局视图和接口视图下配置ARP固化功能,使动态ARP转化为固定ARP,有效防范ARP攻击。
固化ARP有三种方式:
1) 全局视图下配置动态ARP固化
[H3C] arp fixup
2) 接口视图下配置动态ARP固化
[H3C] interface ethernet 1/0/0
[H3C-Ethernet1/0/0] arp fixup
3) 配置指定固化ARP表项的功能
[H3C] arp fixed 10.1.0.1 00-11-22
【提示】
1) PC机重启后,静态配置的arp表项会丢失,需要重新配置,可以在PC机上制作一个.bat的批处理文件,放到启动项中。
2) arp send-gratuitous-arp 并非所有产品均支持,请查询网站上的配置手册和命令手册,确认您所使用的产品是否支持该功能。
3) ARP固化并非所有产品均支持,请确认您所使用的产品是否支持该功能。
方法四:授权arp方式(要求局域网中的PC动态获取IP)
# 启动DHCP服务。
[H3C] dhcp enable
#配置DHCP地址池
[H3C] dhcp server ip-pool 0
[H3C-dhcp-pool-0] network 192.168.1.0 mask 255.255.255.0
[H3C-dhcp-pool-0]gateway-list 192.168.1.1
# 针对DHCP全局地址池使能授权ARP。
[H3C-dhcp-pool-0] synchronize arp
[H3C-dhcp-pool-0] quit
# 禁止动态ARP学习,配置授权ARP表项的老化时间为120秒。
[H3C] interface ethernet 1/0/0 /*内网接口*/
[H3C-Ethernet1/0/0]ip add 192.168.1.1 24
[H3C-Ethernet1/0/0] arp security
[H3C-Ethernet1/0/0] arp security time-out 120
[H3C-Ethernet1/0/0] quit
方法五:IPS方式
# 打开IPS功能
[H3C] ips enable
# 创建并配置IPS检测策略
[H3C] ips policy 1
[H3C-ips-policy-1] defend-attack arp-reverse-query
# 在存在arp攻击的接口上应用攻击检测策略
[H3C] interface ethernet 1/0/0
[H3C-Ethernet1/0/0] ips policy 1 inbound
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论