请问下在交换机上限制ＡＲＰ欺骗的问题？

无倦

一个vlan就够了嘛，现在很多交换机都有端口隔离的技术啦，就相当于CISCO的PVLAN，一个用户一个VLAN那还得了。。。现在的小区宽带很多都是采用这种技术的啦

独孤九贱

Snort中防ARP欺骗的插件写得挺好的，值得借鉴……我把它的代码提出来，稍加修改，运行得不错哈！

jake8

为什么不用mac地址绑定端口，如果网络不是很大的话。。。。。

diypig

原帖由 jake8 于 2006-3-7 20:11 发表
为什么不用mac地址绑定端口，如果网络不是很大的话。。。。。

请问是不是关闭2层交换机的MAC地址学习功能,然后取得客户机的每个网卡的MAC地址和他接在交换机上的相应端口指定只能这个MAC可以通信?

solaris_yschang

实际上，有些用技术实现，有些还得靠管理员。
比如可以这样来：不投入经费得前提下，在3层做ARP绑定并且实名制上网，发现有非法操作，比如楼主得arp欺骗行为，查到该同志，取消其上网资格，哈哈，有什么难？你管不了他吃饭，管他上网还不容易？？

jake8

恩，对，我觉得防止ＡＲＰ欺骗最好是使用2层端口与mac地址绑定再加上3层的ip与mac绑定就完美了，我以前在大二的时候帮学校搞过，以前学校只是简单的ip与mac绑定，有点能力的，都知道通过修改mac地址来骗过，结果整个学校变成arp欺骗大战，经常ip冲突。。。还有就是asp -s后win还是会被更新mac地址缓存的，linux就没这个毛病，而且linux/unix还有个ifconfig eth0 -arp 来禁止接收arp包。。。win就只能写个程序来解决了。

qmailer

arp的欺骗真的这么猖獗！？

zenith

呵呵呵，用交换机作DHCP+ip snoop+mac绑定，应该可以吧。

河里的鱼

原帖由 jake8 于 2006-3-8 23:22 发表
恩，对，我觉得防止ＡＲＰ欺骗最好是使用2层端口与mac地址绑定再加上3层的ip与mac绑定就完美了，我以前在大二的时候帮学校搞过，以前学校只是简单的ip与mac绑定，有点能力的，都知道通过修改mac地址来骗过，结果整 ...

请问:SW上绑定了MAC,你自己修改了MAC还能通过SW吗?

jake8

如果sw只是ip+mac地址绑定的话,你把自己的mac地址和ip 改成其他合法的mac地址和ip就可以冒充他人了,当然可以先使用arp欺骗把目标废了,自己就可以变成他了,如果是每个端口绑定个合法mac地址表,你自己改了mac地址,包都出不去的.....arp欺骗就没用了...
-------------------------------------------------------
今天广州的天气不错啊,很sunshine啊,终于有点夏天的感觉了,喜欢夏天.........天气不错,心情也不错.....