Board logo

标题: 微点能防止arp攻击么 [打印本页]
作者: sxlf001     时间: 2007-8-1 15:00    标题: 微点能防止arp攻击么

最近,局域网内arp攻击猖獗,我用微点能有效防止arp攻击么??请版主作答。
作者: Legend     时间: 2007-8-1 15:25
通过微点的绑定MAC地址功能,将网关IP地址和同网段其它计算机IP地址与对于的MAC地址绑定后,能确保本机发往网关和本机发往其它计算机的单向数据链路的畅通,可以有效防止针对客户机进行的攻击的ARP欺骗问题
对于针对网关进行攻击的ARP欺骗问题,需要在网关设备或者交换机等硬件上做MAC绑定,已超出安全软件的管理控制范围,微点目前不能防御这种类型的ARP攻击
作者: sxlf001     时间: 2007-8-1 16:08
超级版主,你的意思是要把局域网内的所有机器都绑定??我网关是台路由器。我局域网有将近200台机器。全部绑定有点累!!不过试一下。
作者: Legend     时间: 2007-8-1 16:17
是的,网内的计算机上,都把网关IP-MAC和其它计算机IP-MAC绑定上,然后再在路由器上把网内的所有计算机IP-MAC绑定上,这样做双向绑定后,能彻底杜绝ARP欺骗问题,虽然麻烦,但属于一劳永逸治本的方法
另外,我们推荐在网内的计算机上,绑定自己的IP-MAC,以防止IP冲突类的ARP攻击
作者: sxlf001     时间: 2007-8-1 16:21
谢谢版主,我已经在路由器上绑定了ip了,部分计算机也绑定,还有一部分没有绑。等待进一步绑定。
另外,还有一个情况,我建了一个批处理文件,内容如下
arp -d
arp -s ip地址  mac地址 (网关的)
开机执行时重复执行第一行,一直执行。以前没有装微点时就能正常运行?请教这是什么原因!等待。。。。。。。。。。
作者: Legend     时间: 2007-8-1 16:33
通过微点将正确的网关IP-MAC和其它计算机IP-MAC绑定好后,就不需要通过这个命令进行绑定了
作者: sxlf001     时间: 2007-8-1 16:57
ok,知道了!不过通过微点绑定等的时间长一些!
作者: sxlf001     时间: 2007-8-1 17:27
版主,请看我的急救帖!!急!
作者: redSKY纛     时间: 2007-8-2 08:35
进来学习一下
作者: zj163168     时间: 2007-8-2 18:24


  Quote:
Originally posted by Legend at 2007-8-1 16:17:
是的,网内的计算机上,都把网关IP-MAC和其它计算机IP-MAC绑定上,然后再在路由器上把网内的所有计算机IP-MAC绑定上,这样做双向绑定后,能彻底杜绝ARP欺骗问题,虽然麻烦,但属于一劳永逸治本的方法
另外,我们 ...

这个不行,理论来说,双向绑定是能解决arp问题,实际中,不能,
真正有效的办法的是安装arp防火墙.
作者: 别里科夫     时间: 2007-8-2 18:30


  Quote:
Originally posted by zj163168 at 2007-8-2 18:24:


这个不行,理论来说,双向绑定是能解决arp问题,实际中,不能,
真正有效的办法的是安装arp防火墙.

去学学ARP的原理与形成和网络的七层模型再来说吧!
ARP这种发生在网络两层和三层之间的行为从软件上怎么搞都只能是被动抵抗,只有双向绑定才能彻底解决这个问题
作者: zj163168     时间: 2007-8-2 18:34
呵,原理我也看了不少,
在局域网中,遇到arp,首先的方案就是双绑,
可是效果就是不行,
使用了arp防火墙后,确实牛,
我只看结果.
作者: 别里科夫     时间: 2007-8-2 18:41
根本没弄好就不要来说了,学懂了再来吧
作者: zj163168     时间: 2007-8-2 18:47
在路由中,绑定客户机的ip与mac
在客户机中绑定网关的ip与mac

路由的mac是直接进路由抄的,客户的mac是ipconfig/all得来的,
我用的是这种方法,
请问你用的是哪种方法,如果有效,自当认错,还望指点一二.
作者: 别里科夫     时间: 2007-8-2 18:57
在网络的接入层、汇聚层和核心上,都把IP-MAC绑上
接入层上还根据交换机端口绑定MAC地址,根据不同的VLAN做广播风暴抑制
剩下的跟你的差不多,客户机上绑网关的、自己的、同网段其它计算机的这三种IP-MAC对应关系,工程是很浩大,慢慢来,一劳永逸的反正,这样下来效果非常好
作者: zj163168     时间: 2007-8-2 19:00


  Quote:
Originally posted by 别里科夫 at 2007-8-2 18:57:
在网络的接入层、汇聚层和核心上,都把IP-MAC绑上
接入层上还根据交换机端口绑定MAC地址,根据不同的VLAN做广播风暴抑制
剩下的跟你的差不多,客户机上绑网关的、自己的、同网段其它计算机的这三种IP-MAC对应关 ...

呵,多谢指点:D
作者: 别里科夫     时间: 2007-8-2 19:02
哪里哪里,大家一起交流
作者: gao1016     时间: 2007-8-2 21:57
学习··········
作者: feyqw     时间: 2007-8-3 00:13
还是ANTIARP有用啊,至少用了他之后就可以上网了,我们楼的网管哪有那个权利在路由器上去绑哦。他们就是没用的人
作者: jekin     时间: 2007-8-3 08:45
貌似很深奥,学习一下
作者: zj163168     时间: 2007-8-3 12:02


  Quote:
Originally posted by feyqw at 2007-8-3 00:13:
还是ANTIARP有用啊,至少用了他之后就可以上网了,我们楼的网管哪有那个权利在路由器上去绑哦。他们就是没用的人

你们楼的网管一个月多少钱?

网管这个名词被网吧给整惨了~~`
网管越来越被定义为一个没有技术含量的行业.

其实网管很重要,一个称职网管现在很难找的.
作者: jobcreep     时间: 2007-8-3 13:05
是啊,网管应该是指网络管理员,而不是网吧管理员啊



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn