什么設(shè)備可以阻止ARP欺騙

trainee

1臺(tái)路由器\r\n1臺(tái)普通交換機(jī)\r\nN臺(tái)電腦，IP地址由路由器自動(dòng)分配，通過(guò)路由器上網(wǎng)。其中有一臺(tái)電腦有網(wǎng)絡(luò)病毒，不斷地發(fā)ARP包給其他電腦，欺騙大家它就是路由器。導(dǎo)致其他電腦無(wú)法上網(wǎng)。\r\n\r\n在無(wú)法給電腦殺毒的情況下，請(qǐng)問(wèn)如何通過(guò)更換路由器或交換機(jī)來(lái)解決這問(wèn)題，什么類型的路由器或交換機(jī)有阻止ARP欺騙的功能？\r\n謝謝。

apen

使用支持端口隔離的交換機(jī)可以解決這個(gè)問(wèn)題，電信常用這種設(shè)備，它只允許端口與上聯(lián)端口通訊，不允許端口與其它普通端口通訊，另外一種辦法是使用好一點(diǎn)的交換機(jī)進(jìn)行VLAN劃分，每個(gè)端口與上聯(lián)端口劃成一個(gè)VLAN，不同的普通端口不在同一個(gè)VLAN，如果不想在交換機(jī)上打主意，其它方法也可以，比如改用PPPoE方式上網(wǎng)，也可以解決這個(gè)問(wèn)題。

trainee

謝謝！\r\n本人對(duì)VLAN不是很熟，有些問(wèn)題還需請(qǐng)教：\r\n1。不同的VLAN是不是處于不同的網(wǎng)段，若是這樣，路由器只有一個(gè)內(nèi)網(wǎng)段，如何解決。

apen

原帖由 trainee 于 2007-4-27 11:12 發(fā)表\r\n謝謝！\r\n本人對(duì)VLAN不是很熟，有些問(wèn)題還需請(qǐng)教：\r\n1。不同的VLAN是不是處于不同的網(wǎng)段，若是這樣，路由器只有一個(gè)內(nèi)網(wǎng)段，如何解決。

\r\n這里的VLAN是二層的，不是三層，只是用來(lái)隔離廣播用，不要求分網(wǎng)段，感覺(jué)上有點(diǎn)像匯聚，例如你的交換機(jī)有２４的端口，其中第２４口用來(lái)連路由器，則將１和２４作一個(gè)VLAN，２和２４做一個(gè)VLAN，３和２４做一個(gè)VLAN等等。。。。以此來(lái)防止１和２之間的訪問(wèn)。

starfork

不錯(cuò)的方法，今天長(zhǎng)見(jiàn)識(shí)了

帶腳鐐跳舞

原帖由 apen 于 2007-4-27 11:20 發(fā)表\r\n\r\n這里的VLAN是二層的，不是三層，只是用來(lái)隔離廣播用，不要求分網(wǎng)段，感覺(jué)上有點(diǎn)像匯聚，例如你的交換機(jī)有２４的端口，其中第２４口用來(lái)連路由器，則將１和２４作一個(gè)VLAN，２和２４做一個(gè)VLAN，３和２４做一個(gè)V ...

\r\n\r\nPVLAN \r\n哈哈\r\n\r\n他那設(shè)備支持嗎?

tyser

又學(xué)習(xí)到東西了，呵喝．高手　實(shí)在是高　

studynet

請(qǐng)問(wèn)下PPPoE方式怎么上網(wǎng)

secstone

華為的S3026C應(yīng)該可以，不過(guò)我沒(méi)有設(shè)備，沒(méi)有測(cè)試。轉(zhuǎn)載配置如下：\r\n華為交換機(jī)防止同網(wǎng)段ARP欺騙攻擊配置案例\r\nS3552P是三層設(shè)備，其中IP：100.1.1.1是所有PC的網(wǎng)關(guān)，S3552P上的網(wǎng)關(guān)MAC地址為000f-e200-3999。PC-B上裝有ARP攻擊軟件�，F(xiàn)在需要對(duì)S3026_A進(jìn)行一些特殊配置，目的是過(guò)濾掉仿冒網(wǎng)關(guān)IP的ARP報(bào)文。\r\n1.1.2  配置步驟\r\n對(duì)于二層交換機(jī)如S3026C等支持用戶自定義ACL（number為5000到5999）的交換機(jī)，可以配置ACL來(lái)進(jìn)行ARP報(bào)文過(guò)濾。\r\n全局配置ACL禁止所有源IP是網(wǎng)關(guān)的ARP報(bào)文\r\nacl num  5000\r\nrule 0 deny 0806 ffff 24 64010101 ffffffff 40\r\nrule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34\r\n其中rule0把整個(gè)S3026C_A的端口冒充網(wǎng)關(guān)的ARP報(bào)文禁掉，其中斜體部分64010101是網(wǎng)關(guān)IP地址100.1.1.1的16進(jìn)制表示形式。Rule1允許通過(guò)網(wǎng)關(guān)發(fā)送的ARP報(bào)文，斜體部分為網(wǎng)關(guān)的mac地址000f-e200-3999。\r\n注意：配置Rule時(shí)的配置順序，上述配置為先下發(fā)后生效的情況。\r\n在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則：\r\n[S3026C-A] packet-filter user-group 5000 \r\n這樣只有S3026C_A上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送網(wǎng)關(guān)的ARP報(bào)文，其它主機(jī)都不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報(bào)文。\r\n1.2  三層交換機(jī)實(shí)現(xiàn)防攻擊\r\n1.2.1 配置組網(wǎng)\r\n1.2.2 防攻擊配置舉例\r\n對(duì)于三層設(shè)備，需要配置過(guò)濾源IP是網(wǎng)關(guān)的ARP報(bào)文的ACL規(guī)則，配置如下ACL規(guī)則：\r\nacl number 5000\r\nrule 0 deny 0806 ffff 24 64010105 ffffffff 40\r\nrule0禁止S3526E的所有端口接收冒充網(wǎng)關(guān)的ARP報(bào)文，其中斜體部分64010105是網(wǎng)關(guān)IP地址100.1.1.5的16進(jìn)制表示形式。\r\n2 仿冒他人IP的arp攻擊\r\n作為網(wǎng)關(guān)的設(shè)備有可能會(huì)出現(xiàn)ARP錯(cuò)誤表項(xiàng)，因此在網(wǎng)關(guān)設(shè)備上還需對(duì)仿冒他人IP的ARP攻擊報(bào)文進(jìn)行過(guò)濾。\r\n如圖1所示，當(dāng)PC-B發(fā)送源IP地址為PC-D的arp reply攻擊報(bào)文，源mac是PC-B的mac (000d-88f8-09fa)，源ip是PC-D的ip(100.1.1.3)，目的ip和mac是網(wǎng)關(guān)（3552P）的，這樣3552上就會(huì)學(xué)習(xí)錯(cuò)誤的arp，如下所示：\r\n---------------------  錯(cuò)誤 arp 表項(xiàng) --------------------------------\r\nIP Address    MAC Address     VLAN ID  Port Name       Aging Type\r\n100.1.1.4     000d-88f8-09fa   1        Ethernet0/2     20    Dynamic\r\n100.1.1.3     000f-3d81-45b4   1       Ethernet0/2     20    Dynamic\r\n從網(wǎng)絡(luò)連接可以知道PC-D的arp表項(xiàng)應(yīng)該學(xué)習(xí)到端口E0/8上，而不應(yīng)該學(xué)習(xí)到E0/2端口上。但實(shí)際上交換機(jī)上學(xué)習(xí)到該ARP表項(xiàng)在E0/2。通過(guò)如下配置方法可以防止這類ARP的攻擊。\r\n一、在S3552上配置靜態(tài)ARP，可以防止該現(xiàn)象：\r\narp static 100.1.1.3 000f-3d81-45b4 1 e0/8\r\n二、同理在圖2 S3526C上也可以配置靜態(tài)ARP來(lái)防止設(shè)備學(xué)習(xí)到錯(cuò)誤的ARP表項(xiàng)。 \r\n三、對(duì)于二層設(shè)備（S3050C和S3026E系列），除了可以配置靜態(tài)ARP外，還可以配置IP＋MAC＋port綁定，比如在S3026C端口E0/4上做如下操作： \r\nam user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4\r\n則IP為100.1.1.4并且MAC為000d-88f8-09fa的ARP報(bào)文可以通過(guò)E0/4端口，仿冒其它設(shè)備的ARP報(bào)文則無(wú)法通過(guò)，從而不會(huì)出現(xiàn)錯(cuò)誤ARP表項(xiàng)。 \r\n上述配置案例中僅僅列舉了部分Quidway S系列以太網(wǎng)交換機(jī)的應(yīng)用。在實(shí)際的網(wǎng)絡(luò)應(yīng)用中，請(qǐng)根據(jù)配置手冊(cè)確認(rèn)該產(chǎn)品是否支持用戶自定義ACL和地址綁定。僅僅具有上述功能的交換機(jī)才能防止ARP欺騙。\r\n相關(guān)圖片如下:\r\n \r\n6.jpg\r\n \r\n7.jpg

fczxg

我暈啊，一個(gè)靜態(tài)ARP就能搞定的事情，還搞那么多事出來(lái)！強(qiáng)烈BS樓上所有高手�。。。。。。�！\r\n在你的電腦上：\r\nC:\\>arp -s x.x.x.x hh-hh-hh-hh-hh-hh\n\n[ 本帖最后由 fczxg 于 2007-5-12 14:43 編輯 ]