arp欺骗防范大讨论[怎没人拍砖，CU的网络&安全专家看不起这个问题吗，hoho]

toumy

好像arp的问题比较的严重， 我在局域网内如果突然上不了网，用arp -d 后，马上就可以ping到gateway，但是很快就又出现这个问题了， 一直没有比较好的解决方法， 而且在arp -a时能看到0.0.0.0 xx.xx.xx.xx.xx.xx的相关信息， 一直没弄懂为何arp里会显示出这种arp信息。

有高手一定要指点一下。

举家流浪

原帖由 7thguest 于 2006-3-31 09:50 发表


帧头上当然不能用其他MAC了,但ARP欺骗是在净载里改了MAC或IP,所以IP和MAC绑定没什么用的.

另外我在2950上试了,好象没有DYNAMIC ARP INSPECTION的功能,3750是有的.
但我认为这个功能应该在接入交换机的接口 ...

这个功能需要交换机的cpu来处理，如果大量的arp报文,可能会导致交换机cpu升高,影响交换机对数据的转发

MeiGbson

防范措施

　　1.建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

　　2.建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

　　3.网关机器关闭ARP动态刷新的过程，使用静态路邮，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。
　　网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：
　　192.168.2.32 08:00:4E:B0:24:47
　　然后再/etc/rc.d/rc.local最后添加：
　　arp -f 生效即可

　　4.网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警，查这些数据包（以太网数据包）的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

　　5.偷偷摸摸的走到那台机器，看看使用人是否故意，还是被任放了什么木马程序陷害的。如果后者，不声不响的找个借口支开他，拔掉网线，看看机器的当前使用记录和运行情况，确定是否是在攻击。
                                                                                 ----摘录

george_young

5 可以修改为：
偷偷的走到那台机器的使用者后面，一棒子敲下去，并且取出硬盘，用专用工具全盘写5次随机数据，然后将硬盘装回去，叫醒哪个鸟人，说他机器中病毒了，机器转换了线路将电连到他的键盘上了，把他击晕了。

这个病毒的名字叫cu

F.D.Roosevelt

arp 欺骗, 最方便的解决办法, 找到肇事者, 用肉体或者精神或者财政等等方法直接进行惩处
稍复杂的,做端口绑定, 配合 VLAN 更好.

如果不嫌烦, 你就慢慢耗着吧.